In qualità di avvocato esperto in questioni di privacy e in particolare di Regolamento Generale sulla Protezione dei Dati (GDPR), ho esaminato le modifiche proposte dalla Commissione europea nel pacchetto Digital Omnibus (Pacchetto Digitale Omnibus) relative alla legislazione sulla privacy, in particolare il Regolamento (UE) 2016/679 (GDPR) e la Direttiva 2002/58/CE (Direttiva ePrivacy).
Il Digital Omnibus è presentato come un primo passo per ottimizzare e semplificare il quadro normativo digitale dell'UE, riducendo gli oneri amministrativi per imprese e amministrazioni pubbliche, stimando risparmi fino a 5 miliardi di euro entro il 2029 [1-3]. Nonostante l'obiettivo dichiarato di mantenere standard elevati di protezione dei dati [4-6], le modifiche proposte hanno generato posizioni nettamente contrastanti.
Di seguito vengono elencati i punti di vista contrapposti e i principali argomenti avanzati a sostegno o contro le proposte di modifica alla legislazione sulla privacy.
I sostenitori del Digital Omnibus, in larga parte rappresentati dalla Commissione, da associazioni industriali e da imprese (incluse le PMI), argomentano che le modifiche sono mirate, tecniche e necessarie per allineare il quadro normativo alla realtà tecnologica, aumentare la certezza giuridica e stimolare la competitività [1, 7-9].
| Ambito di Modifica | Argomenti a Favore | Riferimenti |
|---|---|---|
| Definizione di Dato Personale e Pseudonimizzazione | La modifica introduce chiarezza giuridica, stabilendo che un'informazione non è considerata dato personale per una determinata entità se questa non dispone di mezzi ragionevolmente probabili per identificare la persona fisica interessata. Questo approccio è più aderente alla giurisprudenza recente della Corte di Giustizia e al concetto di relatività del dato personale. Contribuisce inoltre a incoraggiare l'uso della pseudonimizzazione, che riduce i rischi e non è intesa ad ostacolare altre misure di protezione. | Fonti: 10, 11, 12, 13, 14, 15, 16, 17 |
| Trattamento Dati per l'Intelligenza Artificiale (AI) | Chiarisce che lo sviluppo e l'uso di sistemi o modelli di AI possono basarsi sul legittimo interesse (Art. 6(1)(f) GDPR), se appropriato e con adeguate salvaguardie. Questo è fondamentale per sostenere l'innovazione europea e la competitività globale in un contesto in cui Stati Uniti e Cina hanno accesso a enormi quantità di dati. Viene introdotta anche una deroga per il trattamento residuale di categorie particolari di dati (es. dati biometrici/sensibili) se necessario per lo sviluppo dell'AI (ad esempio per rilevare e correggere i bias), a condizione che si adottino misure rigorose per rimuoverli o proteggerli dalla divulgazione. | Fonti: 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29 |
| Adesione e Rifiuto dei Cookie (ePrivacy/GDPR) | Affronta la stanchezza da consenso (consent fatigue) e la complessità dei cookie banner, che generano oneri amministrativi per le piccole imprese e ostacolano la navigazione degli utenti. Consente il trattamento di dati da terminal equipment per scopi a basso rischio (es. misurazione aggregata dell'audience, sicurezza del servizio) senza richiedere il consenso. Stabilisce l'obbligo di consentire il rifiuto con un singolo clic e di rispettare tale rifiuto per un periodo di almeno sei mesi, aumentando il controllo effettivo dell'utente. | Fonti: 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40 |
| Limitazione del Diritto di Accesso (Abuso del Diritto) | L'emendamento mira a contrastare l'abuso del diritto di accesso ai dati personali (Art. 15 GDPR) quando utilizzato per fini strumentali e non di protezione dei dati, come nel contenzioso lavorativo. Permette al titolare del trattamento di rifiutare la richiesta o di addebitare un costo ragionevole se questa è manifestamente infondata o eccessiva, consentendo alle aziende di gestire le risorse in modo più efficiente. | Fonti: 26, 41, 42, 43, 44 |
| Notifica di Data Breach | Armonizza la soglia di notifica all'autorità di controllo (Art. 33 GDPR) con quella per la comunicazione all'interessato (Art. 34 GDPR), richiedendo la notifica solo in caso di rischio elevato. Questo riduce l'onere amministrativo legato alla notifica di violazioni a basso rischio e consente alle autorità di controllo di concentrarsi sui casi più gravi. Il termine per la notifica viene esteso a 96 ore. | Fonti: 45, 46, 47, 48 |
| DPIA (Valutazione d'Impatto) | Si introduce la creazione di liste uniche a livello UE (di trattamenti che richiedono e che non richiedono DPIA), oltre a un modello e una metodologia comuni. Questo risponde alla necessità di armonizzazione e di chiarezza sulla nozione di "rischio elevato", e aiuta in particolare le PMI a conformarsi. | Fonti: 49, 50, 51, 52, 53 |
Le associazioni per i diritti digitali (come Noyb) e alcuni osservatori critici ritengono che il Digital Omnibus rappresenti un indebolimento dei principi fondamentali del GDPR, che è visto come un "attacco massiccio" ai diritti digitali europei. I critici sostengono che le modifiche favoriscono le grandi aziende tecnologiche (Big Tech) a scapito della protezione dei cittadini e della trasparenza.
| Ambito di Modifica | Argomenti Contro | Riferimenti |
|---|---|---|
| Definizione di Dato Personale e Pseudonimizzazione | L'introduzione di un approccio "soggettivo" (basato sui mezzi a disposizione di una specifica entità) crea un'enorme scappatoia legale. Le aziende potrebbero dichiarare di non voler o non poter identificare gli utenti (ad esempio, tramite ID casuali o pseudonimi) per operare fuori dal campo di applicazione del GDPR. Questo renderebbe impossibile per gli utenti o le autorità di controllo sapere se il GDPR si applica e di fatto renderebbe la legge inapplicabile a causa di dibattiti infiniti sulle reali intenzioni delle aziende. | Fonti: 31, 54, 58, 59, 60, 61 |
| Trattamento Dati per l'Intelligenza Artificiale (AI) | Consente alle Big Tech di utilizzare dati altamente personali (come i contenuti dei profili social media) per addestrare algoritmi di AI, senza il consenso preventivo degli utenti. Il passaggio al meccanismo di opt-out è inefficace: le aziende spesso non hanno i contatti aggiornati degli utenti, e l'utente dovrebbe opporsi "migliaia di volte l'anno". Ciò è percepito come un regalo all'industria statunitense. La Commissione sta agendo con "visione a tunnel sull'AI", consentendo un "jolly" che legalizzerebbe il trattamento se eseguito tramite AI, anche se altrimenti illegale. | Fonti: 22, 56, 62, 63, 64, 65, 66, 67 |
| Adesione e Rifiuto dei Cookie (ePrivacy/GDPR) | La Direttiva ePrivacy protegge la riservatezza delle comunicazioni (Art. 7 CDFUE) e non solo la protezione dei dati (Art. 8 CDFUE). La proposta indebolisce questa protezione introducendo eccezioni per scopi di "sicurezza" o "statistiche aggregate". Il testo è vago e l'ampia interpretazione della categoria "finalità di sicurezza" potrebbe permettere alle aziende di frugare nei dispositivi degli utenti anche quando non strettamente necessario. | Fonti: 41, 61, 68, 69 |
| Limitazione del Diritto di Accesso (Abuso del Diritto) | La limitazione consentirebbe ai datori di lavoro di rifiutare richieste usate per ottenere prove in controversie (es. ore lavorate). Ciò è visto come una chiara violazione della giurisprudenza della Corte di Giustizia UE (CJEU) e dell'Articolo 8(2) della Carta dei Diritti Fondamentali, che consentono l'esercizio di tali diritti per qualsiasi scopo, inclusi contenziosi. L'effetto sarà bloccare anche giornalisti e ricercatori. | Fonti: 41, 67, 70, 71, 72 |
| Metodo Legislativo | Le riforme sono state portate avanti senza le dovute procedure, saltando le consuete valutazioni d’impatto e consultazioni pubbliche, il che la rende una "reazione di panico" o un tentativo di "passare sopra" agli oppositori. Questo approccio crea norme illogiche, complesse e non adatte allo scopo, aumentando l'incertezza legale e favorendo la concentrazione del mercato. | Fonti: 57, 73, 74, 75 |
Il Digital Omnibus cerca un nuovo equilibrio tra il diritto alla protezione dei dati e l'esigenza di sbloccare il potenziale di innovazione guidata dai dati e dall'AI [76, 77].
I favorevoli vedono la proposta come una calibrazione necessaria per il GDPR, che non ne altera i principi fondamentali, ma fornisce strumenti più pratici per l'economia digitale. Sostengono che la semplificazione di definizioni cruciali e procedure ridurrà la burocrazia a vantaggio di PMI e competitività.
I contrari considerano le modifiche un deliberato "snellimento" delle tutele per soddisfare le richieste delle Big Tech, specialmente riguardo l'accesso a dati per l'addestramento dell'AI. Temono che l'introduzione di criteri soggettivi e la limitazione dei diritti degli interessati indeboliranno l'applicabilità e l'efficacia del GDPR.
In sostanza, il dibattito si concentra su se le proposte costituiscano una semplificazione che mantiene standard elevati, o una deregolamentazione che apre scappatoie sfruttando l'urgenza competitiva dell'UE nel settore AI.