Il parere congiunto dell’EDPB e dell’EDPS sul Digital Omnibus sostiene l’obiettivo della Commissione europea di semplificare le norme digitali dell’UE e rafforzare la competitività.
Tuttavia, si oppone fermamente alle modifiche proposte alla definizione di dati personali di cui al GDPR, avvertendo che tali cambiamenti potrebbero restringere l’ambito di applicazione del diritto europeo in materia di protezione dei dati e indebolire i principi consolidati a livello giurisprudenziale. Questa tensione tra semplificazione e cambiamento strutturale è al centro dell’attuale dibattito politico.
Adottato il 10 febbraio 2026 dal Comitato europeo per la protezione dei dati (“EDPB“) e dal Garante europeo della protezione dei dati (“EDPS“), il parere è al tempo stesso pragmatico e prudente. Accoglie favorevolmente riforme mirate, ma traccia una linea chiara quando sono in gioco concetti fondamentali.
Cosa sostiene il parere congiunto EDPB-EDPS sul Digital Omnibus
Il parere congiunto dell’EDPB e dell’EDPS sul Digital Omnibus non respinge la riforma. Al contrario, sostiene diverse misure volte a migliorare la chiarezza e ridurre gli oneri non necessari. In particolare, le autorità di controllo supportano:
- gli adeguamenti alle regole di notifica delle violazioni dei dati personali
- i chiarimenti sulle Valutazioni d’Impatto sulla Protezione dei Dati (DPIA)
- le disposizioni che facilitano il trattamento dei dati per la ricerca scientifica
- l’uso lecito dei dati biometrici per la verifica dell’identità
- le iniziative per ridurre la “cookie banner fatigue” nel quadro ePrivacy.
Questi cambiamenti mirano a ottimizzare l’applicazione del quadro normativo digitale e a migliorare l’armonizzazione e la certezza del diritto tra gli Stati membri.
Questo riflette un approccio realistico: la compliance può essere semplificata senza abbassare gli standard di protezione.
Il punto centrale di disaccordo: la ridefinizione dei dati personali
Il vero elemento di frizione evidenziato nel parere congiunto EDPB-EDPS sul Digital Omnibus riguarda la proposta di modifica dell’articolo 4, comma 1, del GDPR.
La Commissione suggerisce di chiarire che un’informazione non dovrebbe essere considerata dato personale per un’entità se tale entità non può ragionevolmente identificare l’individuo interessato, anche se un’altra entità potrebbe farlo. A prima vista, la questione appare tecnica. Tuttavia, per le autorità di controllo si tratta di un cambiamento strutturale.
Secondo il parere congiunto, ridefinire i dati personali in questo modo rischia di restringere l’ambito e di discostarsi dalla giurisprudenza consolidata della Corte di giustizia dell’Unione europea. Il parere critica anche l’idea di definire i dati personali descrivendo ciò che non sono, ritenendo che ciò possa aumentare l’incertezza giuridica.
Inoltre, l’EDPB e l’EDPS si oppongono alla possibilità di conferire alla Commissione il potere, tramite atti di esecuzione, di stabilire quando i dati pseudonimizzati cessano di essere dati personali. Una decisione di questo tipo incide direttamente sull’ambito di applicazione del diritto europeo in materia di protezione dei dati. Non si tratta di una questione redazionale minore, ma dell’accesso stesso al GDPR.
Perché questo dibattito è importante per la pseudonimizzazione e l’IA
Il parere congiunto EDPB-EDPS sul Digital Omnibus arriva in un momento delicato. L’EDPB sta aggiornando le linee guida sulla pseudonimizzazione, mentre le imprese devono gestire l’interazione tra GDPR, Data Act e regolamentazione sull’intelligenza artificiale.
Se i dati personali diventano più dipendenti dal contesto dell’entità che li tratta, emergono diverse questioni pratiche:
- l’applicazione transfrontaliera resterà coerente?
- le autorità di controllo potrebbero interpretare diversamente l’identificabilità?
- come gestiranno le organizzazioni i conflitti tra obblighi GDPR e requisiti di condivisione dei dati previsti dal Data Act?
- l’anonimizzazione diventerà più flessibile o più incerta?
Il parere congiunto solleva inoltre preoccupazioni riguardo a:
- il legittimo interesse come base giuridica per l’addestramento dei modelli di IA
- le garanzie relative alle decisioni automatizzate
- il trattamento incidentale di categorie particolari di dati
- la frammentazione tra GDPR e strumenti ePrivacy
La questione, quindi, non è teorica. Incide direttamente sull’innovazione, sulla progettazione della compliance e sulla coerenza dell’enforcement.
Semplificazione contro cambiamento strutturale
Il Digital Omnibus della Commissione mira a modernizzare e semplificare la regolamentazione digitale europea. L’obiettivo è comprensibile: le imprese hanno bisogno di prevedibilità e coerenza. Tuttavia, il parere congiunto EDPB-EDPS sul Digital Omnibus evidenzia una distinzione cruciale: semplificare le procedure non equivale a ridefinire i concetti giuridici fondamentali.
La definizione di dato personale determina quando il GDPR si applica. Modificarla significa cambiare l’ambito di applicazione dell’intero quadro normativo. Si tratta di una scelta strategica. Una definizione più contestuale potrebbe offrire maggiore flessibilità, ma anche introdurre frammentazione se diversi attori valutano in modo differente l’identificabilità. La domanda diventa quindi chiara: l’Europa può modernizzare il proprio quadro normativo digitale preservando al tempo stesso un concetto stabile e uniforme di dato personale?
Implicazioni più ampie
Il parere congiunto EDPB-EDPS sul Digital Omnibus segnala sostegno alla competitività e all’innovazione, insistendo al contempo sulla necessità di mantenere la fiducia e un elevato livello di tutela dei diritti fondamentali. La fiducia resta il fondamento della governance europea dei dati.
Se la semplificazione riduce la burocrazia preservando la certezza del diritto, rafforza il sistema. Se invece ridefinizioni strutturali creano zone grigie, potrebbero generare nuove forme di incertezza. I prossimi negoziati legislativi determineranno se l’Omnibus resterà un esercizio di ottimizzazione tecnica o diventerà una ricalibrazione più profonda dell’architettura europea della protezione dei dati. In ogni caso, il dibattito sul parere congiunto EDPB-EDPS sul Digital Omnibus rappresenta un momento cruciale nell’evoluzione del GDPR.
About the Author: Giulio Coraggio
