Digital Omnibus: i garanti europei esprimono forti preoccupazioni sulle criticità per la tutela dei dati personali
In data 11 febbraio 2026 il Comitato europeo per la protezione dei dati (European Data Protection Board) e il Garante europeo della protezione dei dati (European Data Protection Board) hanno adottato congiuntamente il parere 2/2026 sulla proposta del Digital Omnibus, che ha l’obiettivo di armonizzare e semplificare la normativa europea sulla protezione dei dati.
La proposta di regolamento Digital Omnibus andrà a modificare un ampio corpus della legislazione digitale dell’UE, tra cui il GDPR, il Regolamento EUDPR (Regolamento UE 2018/1725 sulla protezione dei dati personali applicabile specificamente alle istituzioni dell’Unione Europea), il Data Act, la Direttiva ePrivacy, la Direttiva sulla sicurezza delle reti e dell’informazione, la NIS 2 e anche il Data Governance Act.
I garanti europei sostengono l’obiettivo della proposta di semplificare la conformità al regolamento digitale, rafforzare l’effettivo esercizio dei diritti individuali e promuovere la competitività dell’UE: in particolare, sottolineano l’importanza che le semplificazioni proposte chiariscano gli obblighi e garantiscano la certezza del diritto, mantenendo al contempo la fiducia e un elevato livello di protezione dei diritti e delle libertà individuali.
Le modifiche relative al GDPR nel Digital Omnibus - Anche se European Data Protection Board e European Data Protection Board accolgono favorevolmente le proposte volte a migliorare armonizzazione, coerenza normativa e certezza del diritto, nonché a ridurre oneri amministrativi non necessari per operatori pubblici e privati, ma d’altra parte esprimono forti preoccupazioni, come ha rimarcato Anu Talus, Presidente dell'European Data Protection Board:
“La semplificazione è essenziale per ridurre la burocrazia e rafforzare la competitività dell’UE, ma non deve andare a scapito dei diritti fondamentali. Accogliamo con favore i passi della Commissione verso una maggiore armonizzazione, coerenza e certezza del diritto. Tuttavia, esortiamo con forza i colegislatori a non adottare le modifiche proposte nella definizione dei dati personali, poiché rischiano di indebolire in modo significativo la protezione dei dati individuali”.
In particolare, le preoccupazioni delle due principali istituzioni europee per la tutela della privacy riguardano la restrizione della definizione di dato personale, ritenuta lesiva del diritto fondamentale alla protezione dei dati e non coerente con la giurisprudenza della Corte di Giustizia dell’Unione Europea, e la disciplina sulla pseudonimizzazione, che inciderebbe indebitamente sull’ambito di applicazione della normativa, senza adeguata base giuridica.
(Nella foto: Anu Talus, Presidente dell'European Data Protection Board)
In relazione ad alcune innovazioni, il parere dei garanti europei riconosce l’obiettivo perseguito, ma richiede adeguamenti:
- uso del legittimo interesse nell’intelligenza artificiale, ritenuto già sufficientemente disciplinato
- eccezioni per il trattamento incidentale di dati sensibili nell’addestramento dei sistemi di IA, da delimitare con maggiori garanzie
- limitazioni al diritto di accesso, da collegare esclusivamente a un’intenzione abusiva
- nuove deroghe in materia di trasparenza, da chiarire per garantire effettiva tutela degli interessati
- decisioni automatizzate, per le quali deve restare il divieto generale, con eccezioni rigorosamente motivate.
Viene infine sostenuta la necessità di un allineamento tra GDPR ed EUDPR, pur riconoscendo l’opportunità di mantenere alcune differenziazioni.
Modifiche alla direttiva ePrivacy - Le autorità sostengono l’obiettivo di ridurre la tecnica della “stanchezza da consenso” e la proliferazione dei banner sui cookie, semplificando il quadro normativo.
È valutata positivamente l’introduzione di deroghe limitate al divieto di accesso ai dati nei terminali degli utenti, nonché il rafforzamento del ruolo delle autorità di controllo; persistono tuttavia timori circa la frammentazione normativa derivante dalla separazione delle regole in diversi strumenti giuridici, con conseguente rischio di incertezza applicativa.
I garanti europei sottolineano inoltre la necessità di attribuire alle autorità poteri correttivi effettivi e di valutare un’eccezione per la pubblicità contestuale.
Modifiche all’acquis in materia di dati - L’EDPB e l’EDPS apprezzano la semplificazione normativa e l’integrazione del DGA e della direttiva Open Data nel Data Act, in quanto funzionale a una maggiore coerenza regolatoria, e raccomandano di:
- chiarire che non sussiste un obbligo generale di concedere accesso ai dati personali
- limitare la condivisione in situazioni emergenziali a dati pseudonimizzati, in assenza di alternative anonime
- rafforzare le garanzie nei servizi di intermediazione e altruismo dei dati.
In materia di enforcement, viene richiesta una cooperazione strutturata tra autorità competenti e un chiarimento delle rispettive competenze: si propone di attribuire alla Commissione il potere generale di adottare linee guida, in coordinamento con European Data Protection Board e European Data Protection Board
Fonte: European Data Protection Board
