La bozza del Digital Omnibus propone un cambio di paradigma per il trattamento dati. L’Europa abbraccerà un 2026 più flessibile e più competitivo.
La storia del GDPR (Regolamento Generale sulla Protezione dei Dati Personali) è stata complessa e ricca di diatribe all’interno del Parlamento Europeo perché, nella sostanza, si trattava di questo: non solo un aggiornamento alla precedente normativa sulla privacy, ma un vero e proprio cambiamento di paradigma. Finalmente i dati venivano considerati una materia prima essenziale per l’economia e non qualcosa di astratto.
È stato un percorso che nasceva dalla necessità di aggiornare la normativa sulla privacy del 1995 con l’obiettivo di proteggere i dati personali nell’ormai consolidata era digitale, definendo diritti dei cittadini e obblighi per chi trattava quei dati. Adottato nel 2016 e in vigore in Italia dal 25 maggio 2018, il suddetto Regolamento ha di fatto sostituito la vecchia direttiva, armonizzando le leggi europee e introducendo principi come la Privacy by design, la responsabilità attiva e sanzioni significative.
Ora, a quasi dieci anni dalla sua entrata in vigore, l’Unione europea si prepara a una nuova fase della regolazione digitale. L’eccessiva complessità della normativa (che non si riferisce solo al GDPR ma anche alla cybersecurity, all’AI con l’AI Act e ai dati con il Data Act) ha portato l’Europa a creare un quadro più coerente e meno frammentato, in grado di rendere l’ecosistema digitale più competitivo e gestibile.
La bozza di Regolamento “Digital Omnibus”, attesa per il 2026, nasce con un obiettivo dichiarato: razionalizzare e semplificare un ecosistema normativo diventato estremamente complesso, soprattutto per le piccole e medie imprese, senza rinunciare alla tutela dei diritti fondamentali dei cittadini. In questo contesto, la privacy non viene abbandonata, ma “ricalibrata” alla luce dell’evoluzione tecnologica, in particolare dell’intelligenza artificiale.
REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
che modifica i regolamenti (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 e (UE) 2023/2854 e le direttive 2002/58/CE, (UE) 2022/2555 e (UE) 2022/2557 per quanto riguarda la semplificazione del quadro legislativo nel settore digitale e che abroga i regolamenti (UE) 2018/1807, (UE) 2019/1150 e (UE) 2022/868 e la direttiva (UE) 2019/1024 (omnibus digitale)
Il presupposto di partenza è chiaro: le regole introdotte dal GDPR nel 2016 hanno rappresentato un punto di svolta globale nella protezione dei dati personali, ma nel tempo hanno mostrato anche limiti strutturali. Costi di compliance elevati, incertezza interpretativa e un approccio spesso percepito come eccessivamente formale hanno inciso in modo sproporzionato sulle attività di piccole dimensioni e sulle startup innovative.
Allo stesso tempo, l’esplosione dell’AI ha messo in crisi categorie giuridiche pensate per un mondo digitale molto diverso.
Il Digital Omnibus tenta quindi una sintesi: mantenere un alto livello di tutela per le persone fisiche riducendo però la rigidità e le sovrapposizioni normative. Il cuore di questo ripensamento riguarda due elementi fondamentali del GDPR: la nozione di dato personale e la disciplina delle categorie particolari di dati.
Vediamo insieme le principali novità che verranno introdotte:
Dal “tutto è dato personale” a un approccio più funzionale
Uno degli aspetti più criticati del GDPR è l’ampiezza della definizione di dato personale. Secondo l’attuale articolo 4, è dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile”. Nel tempo, questa formulazione è stata interpretata in modo sempre più estensivo, fino a ricomprendere dati indiretti, pseudonomizzati, probabilistici o inferiti da modelli algoritmici.
La bozza del Digital Omnibus propone un altro cambio di paradigma: non tanto una riscrittura radicale della definizione, quanto una distinzione più netta tra dati astrattamente riferibili a una persona e dati che, nel contesto concreto, comportano un rischio reale per i diritti e le libertà dell’interessato.
In pratica, si introduce un criterio di “significatività giuridica” ovvero: un’informazione sarà considerata dato personale solo se l’identificabilità della persona non è meramente teorica, ma ragionevolmente possibile tenendo conto di costi, tempi e tecnologie disponibili. Questo approccio, già parzialmente presente nella giurisprudenza europea, viene ora esplicitato per ridurre l’iperestensione del GDPR a contesti a basso rischio.
Nella pratica, per le aziende di piccole dimensioni, ciò significa meno obblighi formali su dataset che non permettono un’identificazione concreta degli individui. Per i cittadini, invece, il beneficio è una maggiore focalizzazione delle tutele sui trattamenti che incidono davvero sulla sfera personale, evitando un uso inflazionato del concetto di privacy che rischia di indebolirne il valore.
Dati pseudonimizzati, anonimizzati e dati sintetici
Un’altra area chiave di intervento riguarda la classificazione dei dati tecnici. Il GDPR ha sempre distinto tra dati personali e dati anonimizzati, escludendo questi ultimi dal proprio ambito di applicazione. Tuttavia, nella pratica, la soglia dell’anonimizzazione è stata interpretata in modo così rigoroso da rendere difficile, se non impossibile, qualificare un dataset come realmente anonimo.
Il Digital Omnibus introduce una categoria intermedia più chiaramente definita: i dati a rischio trascurabile, che include dati fortemente pseudonomizzati, aggregati o sintetici utilizzati per addestrare sistemi di AI o per analisi statistiche. Per questi dati, gli obblighi vengono notevolmente ridotti, pur restando il divieto di re-identificazione intenzionale.
Questa modifica è pensata per favorire lo sviluppo dell’intelligenza artificiale in Europa, evitando che l’innovazione venga soffocata da requisiti pensati per trattamenti molto diversi, come il marketing individuale o la profilazione commerciale.
La revisione delle categorie particolari di dati
Ancora più rilevante è la proposta di revisione delle categorie particolari di dati personali, i cosiddetti “dati sensibili”. Attualmente, il GDPR include informazioni su salute, origine etnica, opinioni politiche, convinzioni religiose, orientamento sessuale e dati biometrici, imponendo, per questi dati, un regime di tutela rafforzata quasi automatico.
La bozza del Digital Omnibus non elimina queste categorie, ma ne ridimensiona l’automatismo. Il principio guida diventa il contesto e la finalità del trattamento. Ad esempio: dati biometrici utilizzati localmente per lo sblocco di un dispositivo potrebbero non essere più equiparati, sotto il profilo degli obblighi, a dati biometrici utilizzati per la sorveglianza di massa.
Inoltre, viene proposta una distinzione tra:
- dati intrinsecamente sensibili, il cui trattamento comporta sempre un rischio elevato (come i dati sanitari clinici);
- dati contestualmente sensibili, che diventano problematici solo in determinati usi o combinazioni.
Questo approccio consente una valutazione più realistica del rischio e riduce l’onere burocratico per trattamenti a basso impatto, pur mantenendo un livello di protezione molto alto nei casi realmente critici.
Impatti per le imprese: meno burocrazia, più responsabilità sostanziale
Per le aziende, soprattutto PMI e startup, il messaggio è chiaro: meno adempimenti standardizzati, più responsabilità sostanziale. Il Digital Omnibus sposta l’attenzione dalla produzione di documentazione formale alla gestione effettiva del rischio. Valutazioni d’impatto più mirate, obblighi di trasparenza proporzionati e una maggiore enfasi sulla governance interna sostituiscono checklist spesso percepite come inutili.
Questo non significa un “liberi tutti”, ma un cambio di mentalità: chi tratta dati con impatti limitati non viene più gravato da obblighi pensati per grandi piattaforme digitali.
Cosa cambia per i cittadini
Dal punto di vista dei cittadini, la riforma mira a rendere la protezione dei dati più comprensibile ed efficace. Riducendo l’uso indiscriminato del consenso e concentrando le tutele sui trattamenti realmente invasivi, il sistema diventa più leggibile. Meno banner inutili, più diritti concreti nei contesti che contano davvero.
In prospettiva, il Digital Omnibus punta a rafforzare la fiducia: una privacy meno formale, ma più sostanziale, capace di convivere con l’innovazione tecnologica senza sacrificare i diritti fondamentali.
La privacy UE del 2026 non segna la fine del GDPR, ma la sua evoluzione. Il Digital Omnibus tenta di correggere gli eccessi di un modello pensato per un’altra epoca digitale, introducendo maggiore flessibilità, soprattutto nella definizione di dato personale e nella gestione dei dati speciali.
Se l’equilibrio sarà raggiunto, l’Europa potrebbe finalmente coniugare tutela dei diritti, competitività economica e sviluppo dell’intelligenza artificiale, senza rinunciare alla propria identità regolatoria.
© RIPRODUZIONE RISERVATA
