Il parere congiunto del Comitato europeo per la protezione dei dati (“EDPB”) e del Garante europeo (“EDPS”) analizza la proposta di regolamento sul “Digital Omnibus” (Comunicazione COM (2025)836), il cui intento è la semplificazione di alcune norme digitali sui dati dell’UE, tra cui il GDPR e la direttiva ePrivacy. In generale, il parere accoglie positivamente gli obiettivi di semplificazione perseguiti dall’Omnibus, specialmente quelli che supportano la ricerca scientifica e le agevolazioni previste sul trattamento di dati sensibili per l’addestramento dell’IA), ma chiede chiarimenti e garanzie aggiuntive. In particolare: la ridefinizione dei “dati personali” suscita forti dubbi, in quanto potrebbe ridurre ingiustamente la protezione; l’uso del legittimo interesse nell’IA è riconosciuto possibile ma non necessita di essere esplicitamente codificato in legge; l’eccezione per dati sensibili in IA va vincolata a condizioni e garanzie specifiche e le norme sulla trasparenza e sulle decisioni automatizzate sono ampliate ma richiedono chiarezza per non indebolire i diritti degli interessati. Inoltre, il parere fornisce le opinioni sulle proposte che modificano la Direttiva ePrivacy.
Obiettivi generali
Il 19 novembre 2025 la Commissione europea ha presentato il disegno di legge “Omnibus Digitale”, che apporta modifiche a molte norme dell’UE nel settore digitale (GDPR, Direttiva e-Privacy, e altre norme sui dati, tra cui il Data Act, ecc.). Il 25 novembre 2025 EDPB ed EDPS sono stati formalmente consultati. Nel parere congiunto (adottato il 10 febbraio 2026) i Garanti accolgono con favore l’obiettivo di semplificare le regole e rafforzare i diritti dei cittadini, ma osservano che la proposta non era accompagnata da una valutazione d’impatto completa sui rischi per i diritti fondamentali. Raccomandano di tener conto di questi effetti negativi nelle future valutazioni periodiche (ex art. 97 GDPR). Si propone di seguito una breve sintesi dei commenti dei Garanti sui punti più rilevanti delle modifiche proposte alla normativa sui dati.
Modifiche al GDPR
Nozione di dati personali
Come ormai noto, la proposta introduce cambiamenti nell’ambito oggettivo di applicazione del GDPR, in particolare nella definizione di “dato personale”. I Garanti ricordano che questa definizione è al centro del GDPR (art. 4), e modificarla può alterare l’intera portata delle norme. La proposta cerca di codificare alcune interpretazioni della Corte di giustizia ma i Garanti avvertono che prendere un solo elemento giurisprudenziale fuori contesto è pericoloso e temono che ciò possa ridurre inconsapevolmente la protezione. Inoltre, l’Omnibus propone che la Commissione, con atti di esecuzione, precisi i criteri per stabilire quando dati pseudonimizzati smettono di essere personali per alcune entità. L’EDPB/EDPS contesta questa impostazione riaffermando che dovrebbero essere le autorità di controllo (ed eventualmente i giudici) a fornire interpretazioni sull’applicazione della normativa, nonché linee guida e orientamenti a supporto dei titolari. Per i Garanti, dunque, la concessione alla Commissione di tali poteri rischia di spostare l’originaria competenza attribuita dal GDPR senza la dovuta supervisione giurisdizionale.
Limitazione delle finalità e trattamento ulteriore per finalità di ricerca
Il parere commenta anche le modifiche proposte ai princìpi base del GDPR (ex art. 5). In particolare, l’intervento dei Garanti riguarda il principio di limitazioni delle finalità e la compatibilità dei trattamenti: sotto tale profilo, le modifiche proposte sono accolte positivamente nella misura in cui viene chiaramente affermato che i trattamenti successivi per scopi di ricerca scientifica sono di norma compatibili con lo scopo originario. Tuttavia, i Garanti osservano che le modifiche proposte non si discontano molto da quanto già affermato nel GDPR al Considerando 50; per cui, suggerisce di chiarire se, e a quali condizioni, sia necessaria una base giuridica distinta dalla base giuridica per la raccolta dei dati personali per un ulteriore trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.
Intelligenza artificiale: legittimo interesse e dati sensibili
La proposta Omnibus introduce nuovi articoli sul trattamento dei dati nell’ambito dell’intelligenza artificiale (art. 88-quater e art. 9, par. 2, lett. k, GDPR). Su questo tema, l’EDPB/EDPS fanno due osservazioni principali:
1. Per quanto riguarda il legittimo interesse (art. 88-quater): secondo i Garanti, la possibilità di basare sul legittimo interesse il trattamento di dati nel contesto dello sviluppo e del funzionamento di un sistema di IA, è già esplicitamente ammesso nella “Opinion 28/2024 on AI models” dell’EDPB. Aggiungere una norma del genere non fornisce, dunque a loro avviso, nuova chiarezza. Anzi, l’espressione “may be pursued” (ossia “può essere usato”) non fornisce i necessari chiarimenti sulla complessa situazione giuridica; inoltre, non vengono fornite indicazioni sulle garanzie necessarie che devono essere adottate prima di poter far ricorso a tale condizione giuridica (conduzione del “three-step assessment”).
2. Per quanto concenre l’eccezione per il trattamento di dati particolari (art. 9, par. 2, lett. k, GDPR): ad avviso dei Garanti, questo tema è più delicato. La proposta introduce infatti una deroga specifica che consente di processare dati sensibili (ad esempio, dati relativi alla salute) incidentalmente durante lo sviluppo di IA, se l’anonimizzazione risulti “impossibile o richieda uno sforzo sproporzionato”. L’EDPB/EDPS apprezzano lo sforzo di innovare in tal senso ma sottolineano che servono condizioni stringenti, e consigliano in particolare di esplicitare nell’articolo che il titolare deve documentare l’impossibilità della cancellazione (ad esempio, perché distruggere quei dati bloccherebbe l’IA) e che l’analisi dia prova di aver usato le migliori tecnologie e di aver valutato l’impatto sui diritti delle persone. Inoltre, propongono che si specifichi di implementare salvaguardie robuste durante tutto il ciclo di vita del sistema IA: in pratica, se si estrae un dato sensibile ma non si può poi cancellare, va tenuto isolato e protetto e non utilizzato per altri scopi. Sostanzialmente, i Garanti accolgono la nuova deroga ma chiedono di prevedere garanzie aggiuntive (quali, ad esempio, controlli/documentazione/limitazione al solo scopo dichiarato).
Trasparenza e decisioni automatizzate
Sotto tale L’EDPB e l’EDPS condividono l’obiettivo della proposta di chiarire l’ambito di applicazione del divieto espresso dall’art. 22, GDPR, anche alla luce della giurisprudenza della Corte di giustizia dell’Unione europea. In particolare, viene chiarito il significato del requisito della “necessità”, precisando che esso non implica che il titolare debba dimostrare l’impossibilità assoluta di adottare la decisione con intervento umano. Tuttavia, l’EDPB e l’EDPS evidenziano che la formulazione proposta potrebbe generare incertezza interpretativa, in quanto potrebbe essere intesa nel senso di consentire più ampiamente il ricorso a decisioni automatizzate. Per tale motivo, raccomandano di chiarire ulteriormente la disposizione, al fine di evitare interpretazioni eccessivamente estensive.
Normativa ePrivacy
Per quanto riguarda la Direttiva e-Privacy e, più in generale, la normativa sui cookie (destinata a confluire all’interno del GDPR per gli strumenti di tracciamento che permettono il trattamento di dati personali), si segnala innanzitutto che i Garanti accolgono favorevolmente l’obiettivo della proposta di affrontare il fenomeno della cosiddetta “consent fatigue” e la proliferazione dei banner cookie, ossia l’eccessiva frequenza delle richieste di consenso agli utenti.
Tuttavia, l’EDPB e l’EDPS evidenziano che le modifiche proposte in materia di accesso e memorizzazione delle informazioni nei dispositivi terminali possono generare incertezze giuridiche, in particolare laddove comportino una distinzione tra dati personali e dati non personali trattati all’interno dello stesso dispositivo. In tali situazioni, il medesimo dato o insieme di dati potrebbe essere soggetto a regimi giuridici differenti, con conseguenti difficoltà applicative per gli operatori, chiamati a determinare caso per caso la normativa applicabile. Inoltre, i Garanti segnalano il rischio di una frammentazione delle competenze di vigilanza, qualora le nuove disposizioni determinino una ripartizione delle funzioni di controllo tra le autorità di protezione dei dati e altre autorità competenti ai sensi della normativa ePrivacy. A tale riguardo, l’EDPB e l’EDPS sottolineano che la disciplina relativa all’accesso e alla memorizzazione di informazioni nei dispositivi terminali è strettamente collegata sia al diritto alla protezione dei dati personali sia al diritto alla riservatezza delle comunicazioni, entrambi garantiti dal quadro giuridico dell’Unione europea. Di conseguenza, i Garanti evidenziano la necessità che le nuove disposizioni assicurino un adeguato livello di tutela di entrambe queste dimensioni e garantiscano coerenza nell’applicazione e nella supervisione delle norme.
Avv. Lorenzo Baudino Bessone e Dott.ssa Giulia Gitto
