19

Immagine creata con IAAI-generated image

Digital Omnibus e GDPR: i dubbi di EDPB ed EDPS sulla nuova definizione di dato personale

Mentre il Digital Omnibus on AI è giunto al traguardo, il pacchetto gemello che incide su GDPR ed ePrivacy è ancora in cammino, e porta con sé la questione più delicata: la modifica della definizione di dato personale. Nella Joint Opinion 2/2026 del 10 febbraio 2026, EDPB ed EDPS aprono alla semplificazione ma tracciano una linea rossa: esortano con forza i co-legislatori a non adottare le modifiche proposte. Vediamo perché.

Del c.d. Digital Omnibus ci siamo occupati sul versante dell’AI Act. Ma il pacchetto di semplificazione proposto dalla Commissione con la COM(2025) 836 ha un secondo fronte, che tocca il cuore del diritto europeo della protezione dei dati: GDPR, Regolamento (UE) 2018/1725, direttiva ePrivacy e Data Act, oltre all’abrogazione di più atti del c.d. data acquis. Su questo fronte si sono pronunciati congiuntamente il Comitato europeo per la protezione dei dati e il Garante europeo, con la Joint Opinion 2/2026, adottata il 10 febbraio 2026. Riteniamo questa sia la sede opportuna per esaminarne i passaggi salienti.

La linea rossa: la definizione di dato personale

Il punto più severo del parere riguarda la proposta di modifica della definizione di dato personale. Le due autorità osservano che la modifica proposta va ben oltre un intervento mirato sul GDPR, un mero emendamento tecnico o una semplice codificazione della giurisprudenza della Corte di giustizia dell’Unione europea, e che essa determinerebbe altresì un’interpretazione più restrittiva del concetto di dato personale, limiterebbe l’ambito di applicazione del GDPR e inciderebbe così negativamente sulla tutela dei diritti e delle libertà fondamentali delle persone, aumentando al contempo l’incertezza giuridica per le organizzazioni. Donde la conclusione, di rara nettezza istituzionale: EDPB ed EDPS esortano con forza i co-legislatori a non adottare le modifiche proposte alla definizione di dato personale.

Analoga fermezza sul tema, connesso, della pseudonimizzazione disciplinata per atti di esecuzione: un atto di esecuzione come quello proposto potrebbe di fatto incidere sull’ambito di applicazione materiale del diritto dell’Unione in materia di protezione dei dati, ridefinendo in concreto quando e per chi un’informazione è considerata dato personale, laddove dovrebbe spettare alle autorità di controllo, sotto il controllo dei giudici competenti, applicare in modo indipendente le definizioni del GDPR, come garantito dall’articolo 8, paragrafo 3, della Carta. In altri termini: il perimetro del diritto fondamentale non si ridisegna in via esecutiva.

Le aperture: dove la semplificazione convince

Il parere è tutt’altro che una bocciatura integrale; al contrario, registra convergenze significative, che è bene conoscere perché prefigurano il diritto che verrà.

Sulla ricerca scientifica: EDPB ed EDPS accolgono con favore l’obiettivo della proposta di armonizzare la nozione di «ricerca scientifica» nel contesto del GDPR e dell’EUDPR, in quanto ciò può rafforzare la certezza del diritto e contribuire a sostenere la ricerca scientifica, in coerenza con le Guidelines 1/2026 dell’EDPB sul trattamento di dati personali per finalità di ricerca scientifica.

Sui data breach: le autorità sostengono l’innalzamento della soglia di notifica alle autorità di controllo, che non dovrebbe incidere in misura sostanziale sul livello di protezione degli interessati ma ridurrebbe significativamente l’onere amministrativo per i titolari del trattamento, nonché l’estensione del termine di notifica da 72 a 96 ore.

Sulla DPIA: viene accolta con favore la creazione di un modello e di una metodologia comuni, ricordando che l’EDPB aveva già annunciato che avrebbe redatto un simile modello da utilizzare in tutto lo Spazio economico europeo, come poi puntualmente avvenuto con il template DPIA adottato dal Comitato nell’aprile 2026, con il caveat che all’EDPB dovrebbe essere pienamente affidata sia la predisposizione sia l’approvazione di tali documenti.

Sulla biometria per autenticazione: favore per la nuova deroga limitata alle situazioni in cui il trattamento di dati biometrici è necessario ai fini della conferma dell’identità dichiarata di un interessato (verifica basata su un confronto uno-a-uno), purché circoscritta ai casi in cui i dati biometrici o i mezzi necessari alla verifica siano sotto il controllo esclusivo dell’interessato.

Il fronte ePrivacy: cookie fatigue e apparecchiature terminali

Sul terreno della direttiva ePrivacy, le autorità sostengono con forza l’obiettivo di porre rimedio alla proliferazione dei banner: EDPB ed EDPS appoggiano con decisione l’obiettivo della proposta di fornire una soluzione normativa alla stanchezza da consenso e alla proliferazione dei banner sui cookie e di semplificare le regole applicabili alla protezione delle apparecchiature terminali degli utenti finali, salutando altresì i segnali automatizzati e leggibili meccanicamente delle scelte dell’interessato. Ma con una riserva strutturale: la proposta separazione delle regole sull’accesso e sull’archiviazione di informazioni nelle apparecchiature terminali fra diversi strumenti giuridici potrebbe generare incertezza giuridica.

Conclusioni

La Joint Opinion 2/2026 traccia con chiarezza il discrimine tra due semplificazioni: quella che riduce oneri senza toccare il livello di tutela, accolta con favore, e quella che, sotto la veste della manutenzione tecnica, ridisegna l’ambito di applicazione del diritto fondamentale alla protezione dei dati, respinta con fermezza. L’esito legislativo dirà quale delle due anime prevarrà; per titolari e responsabili, intanto, il messaggio è di non anticipare adeguamenti su un testo ancora mobile.

Alla luce di quanto esposto, ci si domanda se i co-legislatori raccoglieranno il monito delle autorità di protezione dei dati: la distanza tra una semplificazione che alleggerisce gli oneri e una che arretra sul livello di tutela passa, in ultima analisi, per l’integrità di quella nozione di dato personale su cui, da un decennio, si regge l’intero edificio del GDPR.

Autore: Avv. Valentina Grazia Sapuppo