Dal dato personale al dato relativo: il Digital Omnibus e l’eclissi dell’universalismo europeo nella protezione dei dati
La proposta di regolamento Digital Omnibus, presentata dalla Commissione europea il 19 novembre 2025, viene generalmente letta attraverso la lente della semplificazione normativa: meno oneri per le imprese, più coerenza tra i testi legislativi, razionalizzazione degli adempimenti.
Questa lettura, per quanto corretta sul piano descrittivo, rischia però di oscurare la portata reale dell’operazione in corso. Ciò che si sta profilando non è un mero aggiustamento tecnico dell’acquis digitale europeo, ma una trasformazione concettuale profonda che investe il cuore stesso del diritto alla protezione dei dati personali: la definizione di ciò che è “personale”. Ed è su questo terreno, apparentemente astratto ma dalle conseguenze straordinariamente concrete, che si gioca una partita decisiva per l’identità giuridica europea.
Per comprendere la portata del cambiamento occorre richiamare l’architettura concettuale del GDPR. Il Regolamento del 2016 ha costruito la nozione di dato personale su un fondamento che potremmo definire ontologico: è personale qualsiasi informazione che, per sua natura e in virtù del complesso delle circostanze oggettivamente valutabili, consente di identificare direttamente o indirettamente una persona fisica. Il considerando 26 del GDPR, nel richiamare i “mezzi ragionevolmente utilizzabili” per l’identificazione, non ha mai inteso relativizzare questa nozione al singolo operatore, ma ha piuttosto delineato un parametro di ragionevolezza ancorato all’insieme dei soggetti potenzialmente coinvolti nel trattamento.
In altri termini, il dato è personale non perché qualcuno lo sa, ma perché qualcuno potrebbe saperlo. La protezione precede la conoscenza, non la segue.
Il Digital Omnibus propone un’inversione di questa logica. La nuova formulazione della definizione di dato personale sposta il baricentro dalla natura intrinseca dell’informazione alla posizione conoscitiva del soggetto che la tratta. Un dato è personale solo se il titolare del trattamento può “ragionevolmente identificare” l’interessato attraverso i mezzi e le conoscenze concretamente a sua disposizione. Si passa, in sostanza, da una concezione universalistica a una concezione prospettica della protezione: lo stesso dato può essere personale per un soggetto e non esserlo per un altro, a seconda della sua capacità epistemica. La protezione non dipende più da ciò che il dato è, ma da ciò che il titolare sa.
Questa torsione concettuale non nasce nel vuoto. La Commissione si appoggia dichiaratamente alla sentenza della Corte di Giustizia dell’Unione europea nella causa C-413/23 P del 4 settembre 2025, la cosiddetta “sentenza Deloitte”, in cui la CGUE ha stabilito che i dati pseudonimizzati trasmessi a un terzo che non dispone dei mezzi per re-identificare gli interessati possono non costituire dati personali per quel terzo. La Corte, tuttavia, ha formulato questo principio in un contesto specifico – il trasferimento di commenti pseudonimizzati dal Single Resolution Board a Deloitte nell’ambito della risoluzione del Banco Popular Español – e con cautele significative: la valutazione deve essere caso per caso, le misure tecniche e organizzative devono essere robuste, e soprattutto il titolare originario resta pienamente vincolato al GDPR. Il Digital Omnibus, invece, eleva questa pronuncia giurisprudenziale a principio generale di sistema, estendendola ben oltre il perimetro della pseudonimizzazione e investendo la definizione stessa di dato personale.
(Nella foto: l'Avv.Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
È qui che emerge la frattura più significativa. La Commissione si spinge a prevedere la possibilità di adottare atti di esecuzione per stabilire quando i dati pseudonimizzati non costituiscano più dati personali per determinati soggetti. Si tratta, come hanno osservato con nettezza l’EDPB e l’EDPS nel parere congiunto dell’11 febbraio 2026, di un’attribuzione di competenza che incide direttamente sull’ambito di applicazione di un diritto fondamentale riconosciuto dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea. Delegare a un atto esecutivo la determinazione dei confini di un diritto fondamentale significa, di fatto, sottrarre al legislatore e alla giurisprudenza il governo di una questione costituzionale per affidarlo a un procedimento tecnico-amministrativo. Non si tratta, come sottolineano le due autorità, di una questione redazionale minore: è in gioco l’accesso stesso al GDPR.
La questione assume una dimensione ulteriore se letta in connessione con l’evoluzione dell’intelligenza artificiale. I modelli di apprendimento automatico operano per inferenza statistica: estraggono correlazioni, costruiscono profili, anticipano comportamenti a partire da dati che, considerati singolarmente, potrebbero apparire irrilevanti o anonimi.
Un indirizzo IP, un pattern di navigazione, la frequenza di accesso a determinati servizi: nessuno di questi elementi, preso isolatamente, identifica una persona. Ma la loro combinazione algoritmica può produrre un’identificazione più precisa di qualsiasi nome o codice fiscale.
In un ecosistema in cui l’identificabilità non è più una proprietà statica dell’informazione ma un risultato dinamico della capacità computazionale, ancorare la protezione alla posizione conoscitiva del singolo titolare significa creare una zona d’ombra crescente, nella quale enormi masse di informazioni sfuggono alla tutela proprio perché chi le tratta non è – o non è ancora – in grado di ricollegarle a individui specifici.
Il paradosso è evidente: la proposta di semplificazione rischia di produrre forti problematiche senza precedenti. Se la qualificazione del dato personale dipende dalla prospettiva soggettiva del titolare, le autorità di controllo si troveranno a dover valutare, caso per caso e soggetto per soggetto, se un determinato trattamento ricada o meno nell’ambito del GDPR.
L’applicazione transfrontaliera diventerà più frammentata, non più coerente. Le imprese stesse, lungi dal beneficiare di una riduzione della complessità, dovranno confrontarsi con un’incertezza strutturale su quali dati siano soggetti a tutela e quali no, con il rischio concreto di contenzioso e di divergenze interpretative tra autorità nazionali.
Non si può ignorare, in questo contesto, la dimensione geopolitica dell’operazione. Da più parti è stato osservato come le pressioni per una semplificazione del quadro regolatorio europeo non siano estranee a sollecitazioni provenienti dall’altra sponda dell’Atlantico. L’amministrazione statunitense ha ripetutamente segnalato la necessità che l’Europa allenti i vincoli normativi per restare competitiva nella corsa tecnologica con la Cina. Ma i principali beneficiari di un indebolimento del GDPR non sarebbero le piccole e medie imprese europee – che necessitano semmai di certezza e prevedibilità normativa – bensì le grandi piattaforme tecnologiche extraeuropee, che da sempre considerano il GDPR un ostacolo ai propri modelli di business fondati sulla massimizzazione dell’estrazione di dati. Semplificare è legittimo e necessario; depotenziare la tutela sotto le vesti della semplificazione è un’operazione di tutt’altro segno.
Il contrasto con l’approccio adottato dal legislatore italiano, sulla scorta dell’AI Act, nella Legge 23 settembre 2025, n. 132 sull’intelligenza artificiale è illuminante. La normativa italiana ha scelto un’impostazione dichiaratamente antropocentrica, nella quale la persona umana è il centro gravitazionale di ogni regolazione tecnologica. I principi di trasparenza, non discriminazione e supervisione umana che permeano la Legge 132/2025 presuppongono una concezione forte del dato personale come proiezione dell’identità e della dignità individuale.
Se il Digital Omnibus dovesse relativizzare questa nozione, trasformando il dato personale in una categoria mobile e soggettivamente determinata, l’intero impianto della legge italiana rischierebbe di perdere il proprio ancoraggio normativo di riferimento. L’integrazione funzionale tra GDPR e regolazione dell’intelligenza artificiale, che la Legge 132/2025 ha tentato di costruire, verrebbe compromessa alla radice.
Ciò che colpisce maggiormente, in definitiva, è la sproporzione tra l’ambizione dichiarata – la semplificazione – e la portata reale dell’intervento. Semplificare le procedure di notifica dei data breach, armonizzare gli obblighi di valutazione d’impatto, ridurre la “cookie fatigue” sono obiettivi condivisibili che l’EDPB stesso ha accolto con favore. Ma ridefinire il concetto di dato personale significa toccare le fondamenta costituzionali della protezione dei dati in Europa. Significa passare da un sistema in cui il diritto precede e orienta la tecnologia a un sistema in cui la tecnologia, con le sue asimmetrie informative e le sue capacità di elaborazione differenziate, determina l’estensione del diritto. È una rivoluzione copernicana al contrario: non è più il diritto a definire l’orbita della protezione, ma la posizione del singolo operatore tecnologico.
Il legislatore europeo si trova dunque di fronte a un bivio che trascende ampiamente la dimensione tecnico-normativa. La scelta di accogliere o respingere la ridefinizione proposta dal Digital Omnibus è, in ultima analisi, una scelta sull’identità costituzionale dell’Unione. L’Europa ha costruito la propria credibilità globale nel campo della regolazione digitale proprio sulla solidità e sull’universalità della tutela dei dati personali.
Rinunciare a questa universalità, frammentandola in una molteplicità di prospettive soggettive, non significherebbe solo indebolire i diritti dei cittadini europei, ma smarrire quella voce distintiva che, nel panorama internazionale, ha fatto dell’Europa un punto di riferimento normativo per democrazie e ordinamenti di tutto il mondo. La vera semplificazione non consiste nel ridurre l’ambito dei diritti, ma nel rendere più agevole il loro esercizio effettivo. Su questo principio si misurerà̀ la qualità del negoziato legislativo che si apre.
