Bruxelles, 11 febbraio - Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno adottato un parere congiunto sulla proposta di regolamento omnibus digitale.* Questa proposta mira a semplificare il quadro normativo digitale dell'UE, ridurre gli oneri amministrativi e migliorare la competitività delle organizzazioni europee.
L'EDPB e il GEPD si concentrano sugli aspetti relativi al GDPR, all'EUDPR, alla direttiva relativa alla vita privata e alle comunicazioni elettroniche e all'acquis in materia di dati.** Più specificamente, valutano se la proposta 1) porti a una reale semplificazione e faciliti la conformità, 2) apporti maggiore certezza del diritto e 3) incida sui diritti fondamentali delle persone.
Modifiche al GDPR e all'EUDPR
Modifiche che sollevano preoccupazioni significative
Alcune modifiche proposte sollevano notevoli preoccupazioni in quanto possono incidere negativamente sul livello di protezione di cui godono le persone fisiche, creare incertezza giuridica e rendere più difficile l'applicazione della normativa in materia di protezione dei dati.
L'EDPB e il GEPD esortano vivamente i colegislatori a non adottare le modifiche proposte alla definizione di dati personali in quanto vanno ben oltre una modifica mirata o tecnica del GDPR. Inoltre, non riflettono in modo accurato e vanno chiaramente oltre la giurisprudenza della CGUE e comporterebbero una riduzione significativa del concetto di dati personali. La Commissione europea non dovrebbe essere incaricata di decidere, mediante un atto di esecuzione, quali non siano più i dati personali dopo la pseudonimizzazione, in quanto incidono direttamente sull'ambito di applicazione del diritto dell'UE in materia di protezione dei dati.
"La semplificazione è essenziale per ridurre la burocrazia e rafforzare la competitività dell'UE, ma non a scapito dei diritti fondamentali. Accogliamo con favore i passi della Commissione verso una maggiore armonizzazione, coerenza e certezza del diritto. Tuttavia, esortiamo vivamente i colegislatori a non adottare le modifiche proposte nella definizione di dati personali, in quanto rischiano di indebolire in modo significativo la protezione dei dati individuali."
Presidente dell'EDPB, Anu Talus
"Esortiamo vivamente i colegislatori a non adottare le modifiche proposte alla definizione di dati personali. Tali modifiche non sono in linea con la giurisprudenza della Corte e ridurrebbero in modo significativo il concetto di dati personali. Dobbiamo assicurarci che qualsiasi modifica al GDPR e all'EUDPR chiarisca effettivamente gli obblighi e porti certezza giuridica, mantenendo nel contempo la fiducia e un elevato livello di protezione dei diritti e delle libertà individuali."
Garante europeo della protezione dei dati, Wojciech Wiewiórowski
Passi nella giusta direzione
L'EDPB e il GEPD sono favorevoli all'aumento della soglia di rischio che comporta l'obbligo di notificare una violazione dei dati all'autorità competente per la protezione dei dati e la proroga del termine per la presentazione di tale notifica. Ciò ridurrebbe notevolmente gli oneri amministrativi per le organizzazioni senza incidere sulla protezione dei dati personali delle persone fisiche. Inoltre, i modelli e gli elenchi comuni proposti per le violazioni dei dati e levalutazioni d'impatto sulla protezione dei dati sono positivi.
L'EDPB e il GEPD accolgono inoltre con favore la proposta di introdurre una nuova deroga per il trattamento di categorie particolari di datiai fini dell'autenticazione biometrica, qualora i mezzi di verifica siano sotto il controllo esclusivo della persona.
Infine, sostengono l'armonizzazione della nozione di "ricerca scientifica"e altre modifiche correlate, poiché rafforzano la certezza del diritto e contribuiscono a una maggiore armonizzazione.
Modifiche che richiedono una messa a punto
Come indicato nel parere 28/2024 dell'EDPB sui modelli di IA, in alcuni casi l'interesse legittimo può essere utilizzato come base giuridica nel contesto dello sviluppo e della diffusione di modelli o sistemi di IA. Pertanto, l'EDPB e il GEPD non ritengono necessario includere una disposizione specifica al riguardo nel GDPR.
L'EDPB e il GEPD accolgono con favore l'obiettivo della proposta di introdurre una deroga specifica al divieto di trattare dati sensibili, a determinate condizioni, che copra il trattamento incidentale e residuo di tali dati nel contesto dello sviluppo e del funzionamento di sistemi o modelli di IA. Tuttavia, raccomandano diversi miglioramenti, come chiarire l'ambito di applicazione della deroga e garantire garanzie durante l'intero ciclo di vita.
L'EDPB e il GEPD concordano con l'obiettivo della Commissione di fornire chiarezza giuridica ai titolari del trattamento in caso di abuso dei diritti da parte degli interessati. Tuttavia, essi ritengono che l'esercizio del diritto di accesso per finalità diverse dalla protezione dei dati personali non dovrebbe costituire un elemento che definisca cosa sia un abuso. Per quanto riguarda la nuova deroga per la trasparenza, l'EDPB e il GEPD sostengono la semplificazione degli obblighi di informazione e la riduzione degli oneri amministrativi, in particolare per le PMI, ma suggeriscono chiarimenti per garantire la certezza del diritto e garantire che le persone possano ancora ricevere informazioni pertinenti sui loro dati quando necessario.
Infine, le modifiche apportate alla disposizione sul processo decisionale individuale automatizzato dovrebbero essere chiarite per rendere tali modifiche significative e giuridicamente valide.
Modifiche alla direttiva relativa alla vita privata e alle comunicazioni elettroniche
L'EDPB e il GEPD sostengono fermamente l'obiettivo di fornire una soluzione normativa per affrontare l'affaticamento del consenso e la proliferazione dei banner sui cookie. Ciò riguarda, ad esempio, i requisiti proposti sull'uso di indicazioni automatizzate e leggibili meccanicamente delle scelte delle persone in merito al trattamento dei loro dati. L'uso di mezzi tecnici può semplificare la conformità da parte dei titolari del trattamento e aiutare le persone a rendere efficaci le loro scelte online.
L'EDPB e il GEPD accolgono inoltre con favore le limitate deroghe aggiuntive al divieto generale di conservare o ottenere l'accesso ai dati personali nell'apparecchiatura terminale e invitano ulteriormente i colegislatori a incentivare la pubblicità contestuale piuttosto che la pubblicità comportamentale, aggiungendo un'eccezione specifica circondata da alcune garanzie.
L'EDPB e il GEPD accolgono con favore il fatto che il controllo di tali questioni sarà affidato alle autorità di protezione dei dati.
Allo stesso tempo, l'EDPB e il GEPD sottolineano le difficoltà giuridiche e tecniche sollevate dalla coesistenza di due regimi diversi per i dati personali e non personali. Forniscono inoltre ulteriori raccomandazioni per rafforzare la certezza del diritto, ridurre al minimo il rischio e promuovere l'innovazione responsabile.
Modifiche all'acquis in materia di dati
L'EDPB e il GEPD sostengono la semplificazione dell'acquis in materia di dati attraverso l'integrazione nel regolamento sui dati delle norme dell'atto sulla governance dei dati e della direttiva sui dati aperti sul riutilizzo dei dati e dei documenti detenuti dagli enti pubblici.
Per quanto riguarda l'accesso concesso dagli enti pubblici per il riutilizzo, essi raccomandano di mantenere la chiarezza offerta dall'attuale quadro giuridico, vale a dire che esso non obbliga gli enti pubblici a consentire il riutilizzo, né fornisce una base giuridica per la concessione dell'accesso.
Per quanto riguarda le emergenze pubbliche, l'EDPB e il GEPD raccomandano di affermare che i dati personali possono essere condivisi solo in forma pseudonimizzata con gli enti pubblici, nei casi in cui i dati anonimi non siano sufficienti per rispondere all'emergenza pubblica.
Per quanto riguarda i servizi di intermediazione dei dati e le organizzazioni per l'altruismo dei dati, l'EDPB e il GEPD sottolineano l'importanza di una condivisione dei dati affidabile e responsabile. Raccomandano di mantenere garanzie specifiche, favorendo la trasparenza e il controllo.
L'EDPB e il GEPD raccomandano di razionalizzare ulteriormente le disposizioni in materia di applicazione (ad esempio consentendo lo scambio interregolamentare di informazioni sull'applicazione, anche con le autorità di protezione dei dati, e chiarendo il ruolo delle autorità di protezione dei dati nell'applicazione della legge sui dati).
L'EDPB e il GEPD accolgono con favore la conferma da parte della proposta del ruolo del comitato europeo per l'innovazione in materia di dati (EDIB) nel sostenere l'applicazione coerente della normativa sui dati. Per quanto riguarda l'elaborazione di orientamenti, raccomandano di conferire alla Commissione il potere di emanare orientamenti su qualsiasi argomento riguardante la legge sui dati e di chiarire il ruolo dell'EDIB nell'assistere la Commissione in questo processo. Ciò consentirebbe alla Commissione di elaborare orientamenti congiunti con l'EDPB e all'EDIB di fornire consulenza e assistenza alla Commissione nell'elaborazione di tali orientamenti.
Nota per gli editori:
*Il 19 novembre 2025 la Commissione ha adottato una proposta Digital Omnibus che modifica un ampio corpus della legislazione digitale dell'UE, tra cui il GDPR, l'EUDPR, la legge sui dati, la direttiva e-privacy e la direttiva NIS 2.
Il 25 novembre 2025 la Commissione ha consultato formalmente l'EDPB e il GEPD conformemente all'articolo
42, paragrafo 2, dell'EUDPR e ha chiesto un parere sugli aspetti relativi al GDPR, all'EUDPR, alla direttiva relativa alla vita privata e alle comunicazioni elettroniche e all'acquis in materia di dati.
Il 20 gennaio 2026, su richiesta della Commissione, l'EDPB e il GEPD hanno inoltre adottato un parere congiunto sull'"Omnibus digitale sull'IA".
** L'"acquis in materia di dati", parte della proposta sull'omnibus digitale, mira ad abrogare l'atto sulla governance dei dati, la direttiva sull'apertura dei dati e il regolamento sulla libera circolazione dei dati non personali e integra nel regolamento sui dati le pertinenti disposizioni modificate di tali atti.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.