Il Digital Omnibus propone di modificare la definizione di dato personale nel GDPR. Analisi delle criticità e della risposta delle istituzioni europee.
Il Consiglio dell’Unione europea boccia la proposta della Commissione di riscrivere la nozione di “dato personale”. Al centro del dibattito sul Digital Omnibus – il pacchetto di semplificazione normativa che tocca GDPR e AI Act – c’è una modifica che, nelle intenzioni, doveva alleggerire gli oneri burocratici delle imprese, ma che rischia di svuotare uno dei cardini del diritto europeo alla privacy.
Il pacchetto e la proposta controversa
Pubblicato dalla Commissione europea il 19 novembre 2025, il Digital Omnibus si compone di due proposte: la prima modifica il GDPR e la Direttiva ePrivacy (semplificazione del consenso per i cookie, revisione delle definizioni); la seconda interviene sull’AI Act, differendo alcune scadenze per i sistemi ad alto rischio dal 2026 al 2027/2028.
Entrambe le proposte sono entrate nella procedura legislativa ordinaria tra gennaio e febbraio 2026 e sono attualmente in fase di esame da parte del Parlamento europeo e del Consiglio.
Il nodo più controverso riguarda la ridefinizione di “dato personale”: la Commissione propone di codificare una visione “soggettiva” dell’identificabilità, per cui un’informazione non sarebbe considerata “personale” per un’azienda qualora quest’ultima non disponga di mezzi ragionevoli per identificare l’individuo, anche se un terzo potrebbe farlo.
In pratica, i dati pseudonimizzati potrebbero essere trattati al di fuori del perimetro GDPR da chi non detiene le chiavi di de-pseudonimizzazione.
Perché la proposta è problematica
L’art. 4, n. 1, GDPR vigente adotta una prospettiva oggettiva: un dato è personale se può essere ricondotto a un individuo da chiunque – inclusi soggetti terzi – disponga di mezzi ragionevolmente disponibili.
Questa impostazione è stata più volte confermata dalla Corte di Giustizia UE, in particolare nella sentenza Breyer (C-582/14), dove la Grande Sezione ha stabilito che la valutazione dell’identificabilità deve tenere conto anche delle possibilità di re-identificazione da parte di terzi.
La proposta della Commissione inverte questa logica, introducendo almeno quattro criticità strutturali:
- Frammentazione del regime di tutela: lo stesso dataset potrebbe essere “personale” per un soggetto e “non personale” per un altro.
- Dinamicità del rischio di re-identificazione, destinato ad aumentare con l’evoluzione delle tecniche di analisi.
- Potenziale di abuso da parte di chi struttura i propri sistemi per aggirare la qualifica di dato personale.
- Incompatibilità con l’art. 8 della Carta dei diritti fondamentali dell’UE.
La risposta delle istituzioni: Consiglio e autorità di controllo
L’EDPB (Comitato europeo per la protezione dei dati) ha espresso un netto rifiuto con il Parere 2/2026 del 10 febbraio 2026, qualificando la proposta come una misura che “svuoterebbe” il GDPR e contraddirebbe la giurisprudenza consolidata della Corte.
Analoga posizione ha assunto il Garante europeo per la protezione dei dati (GEPD), che ha sottolineato come la modifica priverebbe le Autorità nazionali di controllo del titolo per vigilare su trattamenti potenzialmente reidentificabili.
Sul fronte consiliare, le bozze di compromesso di febbraio 2026 rivelano che un gruppo consistente di Stati membri si oppone alla ridefinizione. Il Consiglio appare orientato a eliminarla dal testo finale, preferendo affidarsi alle linee guida dell’EDPB per chiarire i casi applicativi più complessi.
Il Parlamento europeo, con il proprio draft report, propone 24 emendamenti e introduce scadenze fisse per l’AI Act (2 dicembre 2027 e 2 agosto 2028) in sostituzione del meccanismo discrezionale della Commissione.
La scadenza di agosto 2026 e i rischi per le imprese
Un problema pratico urgente riguarda le imprese che sviluppano sistemi AI ad alto rischio: la scadenza del 2 agosto 2026 prevista dall’AI Act rimane formalmente vigente finché il Digital Omnibus non viene approvato.
Se il trilogo – atteso tra il secondo e terzo trimestre del 2026 – non si chiudesse in tempo, le imprese che hanno confidato nel differimento si troverebbero in inadempimento formale rispetto a obblighi che l’Omnibus promette di rinviare.
Si tratta, all’evidenza, di un problema di normativa contraddittoria che gli uffici legali delle istituzioni hanno già segnalato.
Prospettive
Lo scenario più probabile è quello di una “semplificazione senza ridefinizione”: il Digital Omnibus viene approvato nelle sue componenti meno controverse – consenso per i cookie, razionalizzazione dei registri, scadenze AI Act con date certe – mentre la proposta di modifica dell’art. 4, n. 1, GDPR viene eliminata o sostituita da linee guida interpretative.
La vera semplificazione non consiste nel ridurre il perimetro dei diritti fondamentali, ma nel rendere più agevole l’adempimento all’interno di un sistema di tutela immutato nella sostanza.
