La Commissione Europea presenterà il 19 novembre 2025 il cosiddetto Digital Omnibus, un pacchetto che nelle intenzioni dovrebbe semplificare le normative digitali; nella sostanza rischia di smantellare garanzie fondamentali. I documenti trapelati in due bozze (link sotto) rivelano modifiche profonde al GDPR e all’AI Act, un vero e proprio cambio di paradigma. Il tutto con una procedura fast-track che ha concesso ad alcuni uffici solo cinque giorni lavorativi per commentare oltre 180 pagine di modifiche normative.
Le bozze del Digital Omnibus riflettono un chiaro orientamento verso la semplificazione normativa e la riduzione degli oneri amministrativi per le imprese, specialmente in ambito digitale e AI. Tuttavia, alcune delle modifiche proposte rappresentano un potenziale indebolimento delle protezioni per la privacy e i diritti fondamentali.
Dietro questa fretta c’è una pressione evidente. La Germania, uno dei principali sponsor delle modifiche, ha inviato un non-paper che sembra essere stato copiato quasi letteralmente nella bozza. Anche se da parte dell’Italia non c’è una posizione chiara, Mario Draghi, ex Presidente del Consiglio italiano e ex Presidente della BCE nel suo rapporto sulla competitività europea presentato a settembre 2024, ha citato esplicitamente il GDPR come ostacolo all’innovazione AI; sul rapporto ha inoltre argomentato la necessità di riforme per migliorare la competitività europea. Le bozze trapelati online sono disponibili sul sito di netzpolitik.org : Digital Package on Simplification (bozza 1) e Digital Package on Simplification (bozza 2) .
Digital Omnibus : un regalo miliardario alle Big Tech
Le modifiche proposte nel Digital Omnibus legalizzano esplicitamente l’uso dell’interesse legittimo come base giuridica per addestrare sistemi di intelligenza artificiale con dati personali, anche sensibili. Questo significa che Google, Meta, OpenAI e altri potranno usare informazioni senza chiedere il consenso preventivo; agli interessati resta solo un teorico diritto di opposizione. Quasi nessuno saprà che i propri dati vengono usati, perché le aziende non hanno modo di identificare i soggetti coinvolti. E anche chi scoprisse l’uso dovrebbe opporsi manualmente a centinaia di controller diversi, uno per uno, senza sapere quali dati specifici sono stati raccolti.
La bozza introduce una vera e propria wildcard; non solo lo sviluppo ma anche l’operazione di sistemi AI beneficerebbe di questo trattamento privilegiato. Quindi, elaborare dati con un database tradizionale richiederà come sempre basi giuridiche rigorose; farlo tramite AI diventerà automaticamente un interesse legittimo. Si privilegia una tecnologia rispetto a tutte le altre forme di trattamento dati. Nel frattempo la definizione di dati sensibili viene ristretta drasticamente; protezioni rafforzate solo per informazioni “direttamente rivelate”, non per quelle dedotte.
La proposta introduce numerosi periodi di grazia per la conformità (per esempio, per i sistemi AI soggetti agli obblighi di watermarking); ritardano l’implementazione piena delle protezioni per la privacy. L’articolo 12 della bozza riforma radicalmente il regime dei cookie:
- Elimina il regime dualistico ePrivacy/GDPR applicabile ai dispositivi terminali
- Allinea il trattamento dei dati personali sui dispositivi terminali esclusivamente al GDPR
- Consente un nuovo meccanismo di preferenze automatizzate per il consenso ai cookie
Questo cambiamento potrebbe indebolire significativamente il controllo sulla profilazione online; permetterebbe di utilizzare basi giuridiche alternative al consenso (come il “legittimo interesse“), che offrono minore protezione per gli utenti.
Il prezzo della competitività europea
Questi provvedimenti sembrano privilegiare la competitività e l’innovazione tecnologica; a discapito delle protezioni per la privacy, senza garantire sufficienti salvaguardie per i diritti fondamentali. L’Europa si trova di fronte a una scelta che definirà la sua identità digitale per i prossimi decenni. Da un lato la pressione competitiva con USA e Cina, dove regole più permissive hanno accelerato lo sviluppo AI; dall’altro il rischio concreto di svendere quello che era diventato il gold standard mondiale della protezione dati. Jan Philipp Albrecht, uno degli architetti originali del GDPR, pone la domanda chiave; stiamo assistendo alla fine della protezione dati come sancita nei trattati europei e nella Carta dei Diritti Fondamentali ?
I sostenitori delle modifiche del Digital Omnibus parlano di aiuto alle PMI e riduzione della burocrazia. Secondo altri i principali beneficiari sarebbero società valutate trilioni di dollari. Le piccole imprese europee vedranno benefici marginali. Altri settori interi – pubblicità online, data broker, tracking – potrebbero uscire completamente dalla copertura GDPR se passerà la ridefinizione di “dato personale” che introduce un approccio soggettivo.
Il diritto di accesso, rettifica e cancellazione verrebbe limitato a “finalità di protezione dati“, impedendo a dipendenti, giornalisti e ricercatori di usare questi diritti per altri scopi legittimi. Persino l’accesso remoto ai dispositivi degli interessati diventerebbe possibile su base di interesse legittimo, aprendo nuovi scenari. La Commissione ha ancora tempo per correggere il tiro prima della presentazione ufficiale; resta da vedere se prevarrà la ragione o la fretta di compiacere le lobby tecnologiche.
