Argomenti trattati
- Commissione europea, allarme EDPB ed EDPS sul pacchetto Digital Omnibus
- La definizione di dato personale: perché è centrale
- Pseudonimizzazione e ruolo degli atti esecutivi
- Semplificazioni apprezzate, ma con condizioni
- Intelligenza artificiale, ricerca e biometria: deroghe limitate
- Cookie, pubblicità contestuale e consenso
Commissione europea, allarme EDPB ed EDPS sul pacchetto Digital Omnibus
La Commissione europea ha presentato il pacchetto definito Digital Omnibus con l’obiettivo di semplificare gli adempimenti normativi per le imprese e le pubbliche amministrazioni. Il parere congiunto del Comitato europeo per la protezione dei dati (EDPB) e del Garante europeo (EDPS) esprime però forti riserve.
Secondo il documento, alcune proposte del pacchetto potrebbero erodere la tutela dei diritti fondamentali in materia di dati personali. Gli esperti segnalano ambiguità applicative che rischiano di generare effetti strutturali sul quadro normativo e sulle garanzie per gli interessati.
Il parere evidenzia criticità operative e giuridiche che richiedono chiarimenti puntuali. Le autorità invitano la Commissione a rivedere le formulazioni più generiche per evitare interpretazioni difformi tra gli Stati membri.
Il pronunciamento dell’EDPB e dell’EDPS potrebbe influenzare i successivi negoziati legislativi e le valutazioni degli operatori del settore.
La definizione di dato personale: perché è centrale
Una delle modifiche più discusse riguarda la riscrittura della definizione di dato personale. Secondo l’EDPB e l’EDPS, non si tratta di un aggiornamento puramente tecnico ma di una trasformazione che può ridurre il campo di applicazione del regolamento. Modificare la nozione di dati personali incide sul momento in cui scattano obblighi, diritti e responsabilità. Ciò comporta conseguenze operative e legali per le imprese che trattano informazioni sensibili o identificabili.
Per gli operatori il cambiamento può tradursi in una diversa valutazione del rischio e in nuovi criteri per le misure di compliance. In particolare, potrebbero mutare le soglie per le notifiche di violazione e gli obblighi di valutazione d’impatto. Le autorità di controllo nazionali, inoltre, dovranno interpretare e applicare il nuovo perimetro nelle istruttorie e nei provvedimenti.
Conseguenze pratiche per imprese e PA
La modifica della definizione sposta la valutazione dall’identificabilità oggettiva a criteri interpretativi meno definiti. Le autorità di controllo nazionali dovranno Ne può derivare una zona grigia in cui resta incerto quali dati ricadano effettivamente nella protezione normativa.
Lo scenario aumenterà il rischio di contenziosi e produrrà differenze di applicazione tra gli Stati membri. Potranno inoltre fermarsi o rallentare investimenti e progetti, con impatto rilevante sulle PMI che richiedono certezza normativa per pianificare sviluppo e compliance. Si prevede una crescente domanda di chiarimenti a livello europeo e linee guida operative per ridurre le divergenze applicative.
Pseudonimizzazione e ruolo degli atti esecutivi
A livello europeo si segnala un nuovo meccanismo che delega a atti di esecuzione la valutazione sulle condizioni in cui i dati pseudonimizzati possono cessare di essere considerati personali per taluni soggetti. La proposta solleva perplessità perché trasferisce scelte di portata normativa a strumenti di carattere tecnico-amministrativo. Per le autorità di controllo, la definizione del perimetro dei diritti non è neutra: coinvolge questioni di garanzia costituzionale che richiedono scelte legislative trasparenti e formalmente deliberate.
Il rischio della discrezionalità tecnica
Affidare alla Commissione la definizione di criteri tecnici mediante atti delegati può generare disomogeneità nell’applicazione e aumentare l’incertezza per imprese e amministrazioni. Le autorità di controllo osservano che tale approccio potrebbe ridurre le garanzie concrete per gli interessati. Inoltre, le organizzazioni rischiano di dover interpretare regole tecniche che incidono su responsabilità, obblighi di compliance e limiti del trattamento.
Semplificazioni apprezzate, ma con condizioni
In seguito alle novità normative, le autorità europee riconoscono alcuni alleggerimenti normativi come utili, purché siano accompagnati da garanzie operative chiare.
EDPB ed EDPS valutano positivamente, ad esempio, l’innalzamento della soglia per la notifica dei data breach e l’estensione del termine di notifica da 72 a 96 ore.
Queste misure possono ridurre il carico amministrativo delle piccole e medie imprese e migliorare la qualità delle segnalazioni, a condizione che non compromettano la tempestività delle risposte.
Coordinamento e un punto di accesso unico
Le autorità sostengono l’istituzione di un single-entry point, inteso come punto unico europeo per le notifiche di incidente, sebbene richiedano garanzie sulla sicurezza e sulla governance del sistema.
È necessario adottare solide misure tecniche per proteggere le informazioni sensibili trasferite e definire responsabilità chiare per evitare ambiguità istituzionali.
Gli enti richiedono inoltre l’armonizzazione dei tempi e delle procedure tra i diversi regimi normativi, come quelli per la cybersecurity e la resilienza operativa, per prevenire sovrapposizioni e conflitti interpretativi.
Il prossimo passo indicato dalle autorità riguarda l’elaborazione di linee guida condivise per la governance del punto unico e la definizione di standard tecnici interoperabili.
Intelligenza artificiale, ricerca e biometria: deroghe limitate
Le autorità europee hanno espresso un parere sul rapporto tra IA e protezione dei dati che stabilisce criteri più rigorosi per le deroghe. Il documento riconosce che il legittimo interesse può costituire una base giuridica in casi specifici. Tuttavia le istituzioni sottolineano la necessità di norme chiare per ridurre l’incertezza normativa.
Per i dati sensibili, in particolare la biometria, EDPB ed EDPS autorizzano solo deroghe chiaramente circoscritte. Tali deroghe devono rispettare il principio di incidentalità e prevedere misure di tutela lungo l’intero ciclo di vita dei dati. Le autorità sollecitano infine indicazioni operative e garanzie tecniche per assicurare interoperabilità e controlli efficaci.
Le autorità europee hanno richiamato l’attenzione sulla gestione del consent fatigue e sull’applicazione delle regole ePrivacy relative a cookie e identificatori. Esse riconoscono la necessità di ridurre l’onere dei banner informativi, ma avvertono che la soluzione non può tradursi in un sistema a doppio binario tra dati personali e non personali. Qualsiasi deroga deve preservare le garanzie fondamentali e non creare incoerenze normative.
Per la pubblicità contestuale le autorità considerano possibili semplificazioni, purché siano strettamente circoscritte e vietino profilazioni retroattive. EDPB ed EDPS invitano i colegislatori a perseguire una semplificazione di precisione: strumenti comuni, modelli e armonizzazione sono accettabili se eliminano ridondanze senza diminuire le tutele per gli interessati. Contestualmente sollecitano indicazioni operative e garanzie tecniche per assicurare interoperabilità e controlli efficaci, e chiedono che i prossimi provvedimenti traducano il parere in norme applicabili e verificabili.