Il 10 febbraio scorso il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno adottato il loro secondo parere congiunto sulla proposta di regolamento volta alla semplificazione del quadro legislativo digitale dell’Unione (Digital Omnibus).
La proposta della Commissione, presentata il 19 novembre 2025, interviene su un ampio corpus della normativa digitale europea, tra cui il Regolamento (UE) 2016/679 (GDPR), il Regolamento (UE) 2018/1725 (EUDPR), la Direttiva 2002/58/CE (Direttiva ePrivacy), il Regolamento (UE) 2023/2854 (Data Act), il Regolamento (UE) 2022/868 (Data Governance Act) e il Regolamento (UE) 2024/1689 (AI Act), con l’obiettivo dichiarato di razionalizzare e rendere più coerente il digital rulebook. Mentre il primo parere congiunto, adottato il 20 gennaio scorso, era incentrato sull’attuazione delle norme armonizzate in materia di intelligenza artificiale e sulle proposte di modifica dell’AI Act, il secondo parere si concentra sulle modifiche prospettate a GDPR ed EUDPR, direttiva ePrivacy e, più in generale, al digital acquis.
Nelle osservazioni introduttive, le autorità dichiarano di sostenere l’obiettivo della Commissione di semplificare la compliance al quadro digitale europeo, rafforzare l’esercizio effettivo dei diritti individuali e stimolare la competitività dell’Unione, a condizione che le semplificazioni proposte aumentino la certezza del diritto e mantengano un elevato livello di tutela dei diritti e delle libertà fondamentali.
Con particolare riferimento a GDPR ed EUDPR, l’opinione esamina una serie articolata di interventi. Tra i profili accolti con favore figurano l’introduzione di una definizione di “ricerca scientifica”, la precisazione che, nel caso in cui dati personali già raccolti per uno scopo vengano successivamente utilizzati per ricerca scientifica, il titolare non deve effettuare l’ulteriore valutazione di compatibilità normalmente richiesta dal GDPR per i cambi di finalità e la previsione di una deroga circoscritta agli obblighi di informativa verso gli interessati.
È inoltre sostenuta la nuova eccezione al divieto di trattamento di categorie particolari di dati per finalità di autenticazione biometrica, purché i mezzi di verifica siano sotto il controllo esclusivo dell’interessato, così come le modifiche relative alle notifiche di violazioni dei dati personali e alle valutazioni d’impatto, inclusa la predisposizione di modelli e liste comuni a livello europeo.
Accanto a tali elementi di apertura, il parere esprime tuttavia significative riserve in relazione ad alcune modifiche ritenute idonee a incidere negativamente sul livello di tutela garantito agli interessati o a generare nuove incertezze applicative. In particolare, il fulcro della critica riguarda la proposta di modifica della definizione di “dato personale”.
La proposta di Digital Omnibus introduce, infatti, un nuovo paragrafo negli articoli del GDPR e dell’EUDPR dedicati alla definizione di dato personale, con cui si precisa che la qualificazione di un’informazione come dato personale dipenderebbe dalla concreta possibilità, per il singolo soggetto che la detiene, di identificare l’interessato sulla base dei mezzi ragionevolmente a sua disposizione; viene inoltre chiarito che tale informazione non diverrebbe dato personale per quel soggetto per il solo fatto che un eventuale destinatario successivo possa essere in grado di identificare la persona cui si riferisce.
EDPB ed EDPS sottolineano che la definizione di dato personale costituisce il nucleo del diritto dell’Unione in materia di protezione dei dati, poiché da essa dipende l’ambito materiale di applicazione della normativa: modificarla significa incidere direttamente sul perimetro entro il quale trovano applicazione il GDPR e l’EUDPR. In tale ottica, le Autorità osservano che la modifica proposta si configura come una codificazione selettiva di un singolo elemento di una decisione della Corte di giustizia dell’Unione europea (C-413/23 P, EDPS v SRB), priva del necessario contesto. Un simile intervento determinerebbe un restringimento significativo del concetto di dato personale, con effetti sul livello di tutela garantito agli interessati e con il rischio di accrescere l’incertezza giuridica.
Viene inoltre sottolineato che una definizione formulata in termini “negativi”, ossia volta a stabilire quando un’informazione non costituisce dato personale, è suscettibile di aumentare l’incertezza giuridica anziché ridurla.
Un’ulteriore critica riguarda la proposta di attribuire alla Commissione il potere di adottare atti di esecuzione per stabilire quando dati risultanti da pseudonimizzazione non costituiscano più dati personali per determinate entità. Secondo le Autorità, poiché la delimitazione di ciò che rientra o meno nella nozione di dato personale incide direttamente sull’ambito di applicazione del diritto dell’Unione, tale valutazione non dovrebbe essere rimessa a un atto di esecuzione della Commissione.
Le posizioni espresse nel parere congiunto hanno trovato un primo riflesso nel dibattito istituzionale: secondo un testo di compromesso del Consiglio datato 20 febbraio 2026, sarebbe stata eliminata la definizione riveduta di dato personale, così come la previsione che consentiva l’adozione di atti di esecuzione sui criteri di pseudonimizzazione.
________
*Giovanni De Gregorio, Rebecca Pupella, POLLICINO & PARTNERS AIDVISORY