Chiara Sartoris, abilitata alle funzioni di professore di seconda fascia in Diritto privato, è docente…
Digital Omnibus e protezione dei dati: il parere congiunto di European Data Protection Board e European Data Protection Supervisor tra semplificazione e tutela dei diritti
L’11 febbraio 2026 il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno adottato un parere congiunto sulla proposta di regolamento “Digital Omnibus”, presentata dalla Commissione europea con l’obiettivo di semplificare il quadro normativo digitale dell’Unione, ridurre gli oneri amministrativi e rafforzare la competitività delle organizzazioni europee.
Il parere esamina in particolare gli effetti della proposta sul Regolamento generale sulla protezione dei dati, sul regolamento applicabile alle istituzioni e agli organi dell’Unione (EUDPR), sulla Direttiva ePrivacy e sul cosiddetto “data acquis”, ossia l’insieme delle norme europee in materia di dati. L’analisi mira a verificare se le modifiche prospettate producano una reale semplificazione, accrescano la certezza giuridica e rispettino i diritti fondamentali delle persone.
Secondo EDPB ed EDPS, alcune proposte sollevano preoccupazioni rilevanti perché potrebbero ridurre il livello di protezione garantito agli individui e rendere più complessa l’applicazione del diritto in materia di dati personali. In particolare, le due autorità invitano i colegislatori a non adottare le modifiche alla definizione di “dato personale”, ritenute eccessivamente ampie e non coerenti con la giurisprudenza della Corte di giustizia dell’Unione europea. Tali cambiamenti rischierebbero di restringere in modo significativo l’ambito di applicazione della normativa europea. Analogamente, EDPB ed EDPS considerano problematico attribuire alla Commissione il potere di stabilire, tramite atti di esecuzione, quali dati non siano più personali dopo la pseudonimizzazione, poiché ciò inciderebbe direttamente sul perimetro delle tutele.
Il parere riconosce tuttavia anche diversi elementi positivi. Le autorità sostengono l’innalzamento della soglia di rischio che fa scattare l’obbligo di notifica delle violazioni di dati personali alle autorità di controllo e l’estensione del termine per effettuare tale notifica, misure che possono ridurre il carico amministrativo per le organizzazioni senza compromettere la protezione degli interessati. Sono inoltre valutate favorevolmente l’introduzione di modelli e liste comuni per la gestione dei data breach e delle valutazioni d’impatto, la previsione di una deroga per il trattamento di dati biometrici nell’autenticazione quando gli strumenti restano sotto il controllo esclusivo dell’individuo e l’armonizzazione della nozione di “ricerca scientifica”, che contribuisce a una maggiore certezza giuridica.
Con riferimento allo sviluppo e all’uso dei sistemi di intelligenza artificiale, EDPB ed EDPS osservano che il legittimo interesse può già costituire, in alcuni casi, una base giuridica adeguata, rendendo superflua una disposizione specifica nel GDPR. Accolgono invece con cautela la proposta di una deroga per il trattamento incidentale di dati sensibili in tale contesto, raccomandando chiarimenti sull’ambito di applicazione e l’introduzione di garanzie lungo l’intero ciclo di vita delle tecnologie. Le due autorità condividono l’obiettivo di contrastare l’abuso dei diritti da parte degli interessati, ma sottolineano che l’uso del diritto di accesso per finalità diverse dalla protezione dei dati non dovrebbe essere considerato automaticamente un abuso. Analogamente, chiedono che le modifiche sulle decisioni automatizzate siano rese più chiare e giuridicamente solide.
Sul fronte ePrivacy, EDPB ed EDPS sostengono l’intento di ridurre la cosiddetta “consent fatigue” e la proliferazione dei banner sui cookie, anche attraverso soluzioni tecniche che permettano di esprimere in modo automatizzato e leggibile dalle macchine le preferenze degli utenti. Accolgono inoltre alcune deroghe limitate al divieto di accesso ai dati nei terminali e invitano a favorire forme di pubblicità contestuale, anziché comportamentale, accompagnate da adeguate salvaguardie.
Per quanto riguarda il “data acquis”, le due autorità appoggiano l’integrazione nel Data Act delle regole sul riutilizzo dei dati e dei documenti detenuti dagli enti pubblici oggi contenute in atti separati come il Data Governance Act e la direttiva Open Data, raccomandando tuttavia di mantenere la chiarezza del quadro attuale: gli enti pubblici non sono obbligati a consentire il riutilizzo dei dati e tale riutilizzo non costituisce automaticamente una base giuridica per l’accesso. In caso di emergenze pubbliche, EDPB ed EDPS suggeriscono di ribadire che la condivisione di dati personali avvenga solo in forma pseudonimizzata, quando i dati anonimi non siano sufficienti.
Nel complesso, il parere congiunto riconosce il valore dell’obiettivo di semplificazione perseguito dal Digital Omnibus, ma ribadisce che tale percorso deve procedere di pari passo con il mantenimento di un elevato livello di tutela dei diritti fondamentali, affinché la competitività europea si fondi anche sulla fiducia dei cittadini nel sistema di protezione dei dati.
Approfondimenti:
Articoli correlati
