La Commissione Europea ha presentato ufficialmente il Digital Omnibus, una proposta legislativa massiccia che mira a riformare l’intricato labirinto normativo dell’UE.
A sette anni dall’entrata in vigore del GDPR, Bruxelles tenta un cambio di paradigma: ridurre la burocrazia per favorire la competitività delle imprese, rispondendo agli allarmi lanciati dal recente rapporto Draghi.
Tuttavia, quella che viene presentata come un’operazione di “semplificazione” sta sollevando un dibattito feroce.
Il timore di giuristi e attivisti è che, nel nome dell’efficienza, si stiano erodendo i principi fondamentali che hanno reso l’Europa il faro globale della protezione dei dati.
Obiettivo: Tagliare la Burocrazia del 25%
L’input è chiaro: il carico amministrativo deve scendere. La Commissione punta a una riduzione degli oneri del 25% per tutte le imprese e del 35% per le PMI.
Il pacchetto normativo interviene chirurgicamente e simultaneamente su tutti i pilastri del diritto digitale: dal GDPR all’AI Act, dalla Direttiva ePrivacy (cookie) alla NIS2 per la sicurezza informatica, fino al Data Act.
La Rivoluzione del “Dato Personale”: Verso un Approccio Soggettivo
La modifica più silenziosa ma potenzialmente più dirompente riguarda il cuore del GDPR: la definizione di dato personale.
La proposta introduce un approccio soggettivo: se un’informazione non permette al titolare del trattamento di identificare direttamente una persona, tale dato potrebbe restare fuori dal perimetro del GDPR.
Questo significherebbe un’esenzione generale per i dati “pseudonimi” (come ID utenti o cookie di tracciamento) se l’azienda non possiede le chiavi per risalire al nome.
Una mossa che ribalterebbe vent’anni di giurisprudenza della Corte di Giustizia UE e che farebbe la fortuna dell’industria dell’AdTech e dei data broker, liberando enormi moli di dati dai vincoli della privacy.
Intelligenza Artificiale: Via Libera al Training sui Dati
Il Digital Omnibus stende un tappeto rosso per lo sviluppo dell’IA. Viene introdotta una norma che qualifica lo sviluppo e l’operatività dei sistemi AI come legittimo interesse del titolare.
Tradotto: le aziende potrebbero addestrare i propri algoritmi utilizzando i dati personali presenti sul web e sui social network senza richiedere il consenso, ma basandosi su un bilanciamento di interessi che pende favorevolmente verso l’innovazione.
Inoltre, si allentano le maglie sui dati sensibili inferiti (es. dedurre l’orientamento politico dalla navigazione), che subirebbero meno vincoli rispetto a quelli rivelati direttamente, facilitando la profilazione algoritmica.
AI Act: Rinvio al 2027 e Autocertificazioni
Sul fronte del Regolamento per l’Intelligenza Artificiale, la Commissione sta valutando il meccanismo “stop-the-clock”. Con gli standard tecnici in ritardo, l’applicazione delle regole per i sistemi ad alto rischio (prevista per agosto 2026) potrebbe slittare ad agosto 2027.
Ancora più controversa è la proposta di consentire alle aziende di auto-declassificare un sistema AI da “alto rischio” a “basso rischio” senza notifica e senza registrazione nel database UE.
Una mossa che rischia di rendere opaca la gestione del rischio e difficile la ricostruzione delle responsabilità in caso di incidenti discriminatori.
Nascono le “Small-Mid Caps” (SMC)
Viene coniata una nuova categoria dimensionale: le Small-Mid Caps (SMC). Si tratta di imprese con meno di 750 dipendenti e fatturato fino a 150 milioni di euro.
Molte realtà oggi considerate “grandi” rientreranno in questa fascia, beneficiando di deroghe significative, come l’esonero dalla tenuta del registro dei trattamenti (ex art. 30 GDPR) per le attività non a rischio elevato.
Addio “Consent Fatigue”: La Riforma dei Cookie
Per combattere la stanchezza da consenso, l’UE vira verso l’automazione. Si amplia l’uso di cookie senza consenso (per sicurezza e misurazione audience) e si spinge per meccanismi che leggano le preferenze direttamente dalle impostazioni del browser.
Sebbene l’obiettivo sia ridurre i banner, il rischio segnalato dagli esperti è il passaggio da un sistema opt-in (consenso preventivo) a uno sostanzialmente opt-out, dove l’utente deve attivarsi per non essere tracciato.
Decisioni Automatizzate e Diritti dei Lavoratori
Si abbassa la soglia di tutela dell’art. 22 GDPR sulle decisioni automatizzate.
Sarà più facile utilizzare algoritmi per decisioni che impattano sulle persone (come il rating dei rider o lo screening dei CV) giustificandole sulla base della necessità contrattuale, anche se l’intervento umano sarebbe teoricamente possibile.
Parallelamente, vengono posti limiti all’esercizio dei diritti degli interessati (accesso, portabilità) se il titolare dimostra che la richiesta ha fini diversi dalla pura protezione dati (es. raccolta prove per cause di lavoro).
La Semplificazione Tecnica: Il Portale Unico ENISA
Tra le note positive per chi si occupa di compliance, spicca il principio “report once, share with all”.
Un portale unico gestito dall’ENISA permetterà di notificare un incidente di sicurezza una sola volta, assolvendo simultaneamente agli obblighi di GDPR, NIS2, DORA e eIDAS. Un taglio netto alla frammentazione burocratica attuale.
Le Reazioni: “Un Rollback dei Diritti”
La proposta ha scatenato la reazione immediata di 127 organizzazioni per i diritti civili (tra cui NOYB ed EDRi), che denunciano quello che definiscono il “più grande rollback dei diritti digitali nella storia dell’UE”.
Secondo i critici, dietro la facciata della semplificazione tecnica si celano pressioni geopolitiche, in particolare dagli USA, per deregolamentare il mercato europeo e favorire le Big Tech nella corsa all’AI contro la Cina.
Ora la palla passa al Parlamento Europeo e al Consiglio. Si preannuncia una battaglia legislativa senza esclusione di colpi, dove la posta in gioco è l’anima digitale dell’Europa del prossimo decennio.
