A quasi un decennio dall’entrata in vigore del Regolamento generale sulla protezione dei dati personali (GDPR), la Commissione europea si appresta a introdurre quello che molti definiscono un punto di svolta, altri una svolta pericolosa: il cosiddetto “Digital Omnibus”, un pacchetto di semplificazioni e modifiche orizzontali volto ufficialmente ad aggiornare e armonizzare il quadro giuridico digitale dell’Unione, che interviene su più di dieci normative, dal GDPR al regolamento eIDAS2, fino al Data Governance Act e alla direttiva ePrivacy.

Le modifiche stanno infatti suscitando un acceso dibattito: molte voci autorevoli avvertono che, dietro l’obiettivo dichiarato di alleggerire gli oneri per le imprese e garantire coerenza con l’AI Act e la NIS2, si celi in verità una revisione più profonda dell’impianto valoriale che fonda il diritto europeo alla protezione dei dati personali.

Semplificare o smantellare il GDPR: il dilemma del Digital Omnibus

Il progetto della Commissione rischierebbe infatti di “smantellare le fondamenta del GDPR“, introducendo modifiche che non si limitano a correggere tecnicismi ma che incidono sull’essenza stessa del diritto fondamentale alla protezione dei dati personali.

Questo perché, dietro la promessa di armonizzazione e competitività, sembra intravedersi un’operazione più radicale: la ridefinizione, per via normativa, del rapporto tra libertà individuale, innovazione tecnologica e interesse economico soprattutto in un momento in cui l’Unione appare intenzionata ad accelerare la propria transizione digitale, anche a costo di rinegoziare i propri principi fondativi.

Motivo per cui la prospettata revisione sostanziale dei pilastri concettuali del Regolamento europeo – la cui coerenza con gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione è destinata a diventare oggetto di intenso scrutinio giurisprudenziale e dottrinale – si colloca nel più ampio disegno di rafforzamento della tanto desiderata “competitività europea”.

Sacrificare la privacy sull’altare dell’AI

L’iniziativa assume così una connotazione eminentemente politica: rivedere le garanzie di privacy per “liberare” il potenziale economico dell’intelligenza artificiale e ridurre gli oneri di conformità per le imprese, in particolare per le PMI, nel tentativo di colmare il divario tecnologico tra Europa, Stati Uniti e Asia, ma nella tensione fra semplificazione e deregolamentazione si gioca molto più che un aggiustamento tecnico ovvero l’identità stessa del modello europeo di diritto digitale.

Se così fosse, il “Digital Omnibus” che la Commissione intende presentare il 19 novembre 2025, inaugurerebbe una stagione di semplificazione che, più che sfoltire la burocrazia, rifocalizza l’intero edificio europeo dal diritto fondamentale alla protezione dei dati alla mera gestione del rischio e ci troveremmo dinanzi a una torsione costituzionale del progetto digitale dell’Unione, poiché la retorica della competitività – “A simpler and faster Europe” – seppur legittimi l’operazione sul piano politico, tocca, in realtà, sul piano giuridico, la definizione stessa di “dato personale”, la portata dei diritti degli interessati, il regime dei dati sensibili e, soprattutto, il baricentro tra art. 7 e 8 della Carta e le esigenze d’impresa.

I dettagli della proposta italiana

La bozza italiana ufficiale di proposta, infatti, pur rivendicando l’intento “tecnico” e la continuità teleologica con il GDPR, ammette che occorre “chiarire” nozioni chiave (dato personale, categorie particolari), facilitare taluni obblighi informativi e rendere più prevedibile il trattamento per training e sviluppo dell’IA e contestualmente accorpa in un unico strumento la disciplina del “data acquis”, centralizza i flussi di notifica tramite uno sportello unico ENISA e trasferisce parti di ePrivacy nel GDPR per superare l’odierna dicotomia cookie/ulteriore trattamento, fino a prevedere segnali machine-readable di consenso/obiezione governati da standard futuri.

Il tutto sotto il vessillo della riduzione degli oneri per PMI e small mid-caps, ma con effetti sistemici che eccedono la mera deregolazione puntuale.

Viene ridefinita la nozione di dato personale

L’aspetto che desta maggiore inquietudine in dottrina è la ridefinizione della nozione di “dato personale” che nella bozza assume una valenza soggettiva, ancorata alla capacità concreta del singolo titolare di identificare un individuo.

Si tratta di una rottura con vent’anni di giurisprudenza europea che aveva interpretato il concetto in senso funzionale, ponendo l’accento sulla possibilità astratta di identificare la persona fisica, anche mediante strumenti terzi.

Infatti, nel merito della fattispecie, è opportuno specificare che il passaggio da un criterio oggettivo a uno soggettivo non è un semplice affinamento tecnico, ma una dislocazione del potere di delimitare la sfera di tutela: il titolare diventa arbitro della qualificazione dei dati e il cittadino si trova costretto a difendere la propria identità giuridica nel limbo della discrezionalità aziendale.

In altre parole, è la privatizzazione della soglia di identità digitale, fatto che in termini sistemici si traduce in una compressione della certezza del diritto e in una potenziale violazione del principio di proporzionalità, perché sposta il perimetro di applicazione del Regolamento dal dato alla percezione di chi lo tratta, scardinando l’universalità del diritto alla protezione dei dati.

Le criticità del ridimensionamento delle “categorie particolari”

Non meno problematico è il ridimensionamento delle “categorie particolari” ex art. 9, che verrebbero tutelate solo se rivelate “direttamente”.

In un ecosistema dominato dall’inferenza algoritmica, dove l’identità è spesso dedotta piuttosto che dichiarata, la limitazione della tutela alle sole informazioni esplicite corrisponde a un arretramento di civiltà giuridica: non tutela chi ha più bisogno di protezione, ma solo chi già gode di visibilità.

È un tradimento del principio di precauzione e una deviazione dall’impostazione della Convenzione 108 che considera “sensibile” anche l’informazione potenzialmente desumibile.

Da un punto di vista tecnico-giuridico, questo intervento è inoltre incompatibile con l’articolo 6 della Convenzione del Consiglio d’Europa e con la giurisprudenza della Corte di giustizia, che riconosce il carattere sensibile di qualsiasi trattamento che permetta, anche indirettamente, di dedurre aspetti intimi della persona.

La controversia sull’uso dei dati personali per addestrare l’AI

Particolarmente controversa è anche la previsione che consente l’utilizzo dei dati personali per l’addestramento dei sistemi di intelligenza artificiale, attraverso un ampliamento delle basi giuridiche di trattamento e una lettura più elastica del legittimo interesse.

Questa modifica introduce un regime di favore per l’IA, violando di fatto la neutralità tecnologica del GDPR e creando una gerarchia tra strumenti di trattamento che la logica del diritto europeo aveva sinora respinto.

Infatti, nel momento in cui il legislatore europeo consente di trattare gli stessi dati in modo più libero solo perché la tecnologia impiegata è più avanzata, rinuncia alla neutralità come principio regolatore e apre la strada a una forma di privilegio digitale di sistema.

Ma non solo, tale assetto produce anche un effetto di erosione indiretta dei diritti degli interessati.

Infatti, limitare l’esercizio di accesso, rettifica e cancellazione ai soli “scopi di protezione dei dati” comporta la perdita della funzione sociale e redistributiva che tali strumenti avevano assunto nel GDPR: non più meccanismi di riequilibrio nei rapporti contrattuali, di lavoro, di credito o di reputazione, ma diritti sterilizzati e confinati a un orizzonte burocratico.

E non è un caso che la stessa architettura di enforcement ne risulta indebolita, perché riducendo l’esercitabilità dei diritti individuali si impoverisce anche la capacità delle autorità di ricevere, interpretare e sanzionare condotte illecite.

L’onere di tutela passa dall’istituzione al cittadino

La semplificazione normativa, così concepita, si traduce allora in una forma di deresponsabilizzazione pubblica, non un alleggerimento della burocrazia, ma uno spostamento dell’onere di tutela dall’istituzione al cittadino.

Sarà quindi il cittadino che dovrà opporsi, controllare, scoprire che i suoi dati sono stati utilizzati per addestrare un modello d’intelligenza artificiale e, infine, difendersi.

Ma questo è un compito tecnicamente impossibile nella gran parte dei casi, come dimostrano le difficoltà di individuare i titolari del trattamento nei sistemi di scraping massivo. Si finisce, così, per costruire una finzione giuridica di autodeterminazione che maschera un vuoto di effettività.

Sul piano assiologico, ciò che preoccupa non è solo l’indebolimento delle garanzie, ma la mutazione del linguaggio legislativo: la privacy, da diritto fondamentale, diventerebbe variabile di bilanciamento economico, componente di un “trade-off” tra tutela e crescita e la sostituzione della grammatica dei diritti con quella della competitività è il segnale più chiaro di un cambiamento di paradigma.

L’Europa che aveva fondato la propria sovranità digitale sulla protezione della persona, rischia ora di fondarla sulla misurabilità dei rischi, trasformando il cittadino in un parametro statistico di compatibilità normativa.

Ed è qui che la riflessione giuridica deve farsi più profonda: la semplificazione non è neutra e ogni riscrittura semantica del GDPR produce effetti antropologici prima ancora che legali.

Nel momento in cui si introduce l’idea che l’identificabilità sia relativa, si introduce la possibilità che anche la responsabilità lo sia; nel momento in cui si affida all’intelligenza artificiale una base giuridica privilegiata, si accetta che la tecnologia non sia più soggetta al diritto, ma lo plasmi e nel momento in cui si riduce il diritto di accesso, si limita il diritto di conoscenza, cioè la capacità stessa del cittadino di essere titolare del proprio destino digitale.

È ormai lapalissiano: la progressiva sostituzione del linguaggio dei diritti con quello dell’efficienza economica segna una mutazione semantica che non è soltanto normativa, ma culturale.

Il diritto non viene più percepito come limite, ma come strumento e la persona non più come soggetto, ma come risorsa. È la trasformazione del civis digitalis in un oggetto di governance algoritmica, nella quale la libertà individuale è parametrizzata alla compatibilità con la crescita.

L’Europa davanti a un bivio

Il “Digital Omnibus” segna dunque un bivio. Potrebbe essere lo strumento per modernizzare un quadro ormai complesso e frammentato, oppure la breccia attraverso cui la centralità del diritto fondamentale alla protezione dei dati viene assorbita nel pragmatismo economico della transizione digitale.

Ma il confine tra semplificazione e deresponsabilizzazione è sottile e il rischio di piegare il diritto alla velocità della tecnica è quello di disancorarlo dalla sua funzione primaria: proteggere l’uomo, non il processo. La vera sfida, per l’Unione, sarà quindi mantenere la promessa fondativa del suo diritto: innovare senza rinunciare alla dignità, perché il principio di proporzionalità, nella sua essenza, non è un compromesso tra libertà e sviluppo, ma il luogo in cui la libertà trova misura nel progresso e il progresso trova senso nella libertà.

E allora la domanda che resta aperta è la più semplice e la più radicale: fino a che punto un’Europa che riscrive la propria architettura dei diritti per favorire la corsa dell’intelligenza artificiale può ancora dirsi fedele alla sua idea di persona?

Fino a che punto, cioè, possiamo accettare che sia l’innovazione a definire il diritto e non più il diritto a definire i limiti dell’innovazione?