Le autorità esprimono preoccupazioni su alcune modifiche che possono influire negativamente sul livello di protezione dei cittadini (Garante per la protezione di dati personali, nota 20 febbraio 2026, n. 543).

Il Comitato europeo per la protezione dei dati personali (EDPB) e il Garante europeo (EDPS) hanno emanato un parere congiunto sul cosiddetto “Digital Omnibus”, ossia l’insieme di modifiche legislative proposte dalla Commissione europea volte a semplificare il quadro normativo nel settore digitale. A darne notizia è il Garante italiano per la privacy.  

Nel documento vengono accolte con favore le misure proposte dalla Commissione per garantire una maggiore armonizzazione, coerenza e certezza giuridica. Allo stesso tempo, EDPB e EDPS esprimono preoccupazioni su alcune modifiche che possono influire negativamente sul livello di protezione di cui godono le persone, oltre a creare incertezza giuridica e rendere più difficile l'applicazione della normativa in materia di protezione dei dati.

In particolare, l’attenzione è rivolta alla nuova nozione di dato personale, che rischia di spostare il baricentro della tutela da un criterio oggettivo a uno soggettivo, restringendone la portata e indebolendo in modo significativo la tutela degli individui. EDPB ed EDPS esortano quindi i colegislatori a non adottare tali modifiche, ritenendo peraltro che vadano ben oltre una modifica mirata o tecnica del GDPR e non riflettano precisamente la giurisprudenza della Corte di giustizia dell'Unione europea.

Il parere considera positivamente le semplificazioni relative agli adempimenti correlati alla notifica di data breach e alla valutazione d’impatto sulla protezione dei dati, così come le precisazioni in materia di ricerca scientifica e la proposta di introdurre una nuova deroga per il trattamento di dati per l’autenticazione biometrica, laddove i mezzi di verifica rimangano sotto il controllo esclusivo dell’individuo.

Pur accogliendo con favore l'obiettivo della proposta di introdurre una deroga specifica al divieto di trattare dati sensibili nell’ambito dei sistemi o modelli di intelligenza artificiale, il parere raccomanda tuttavia diversi miglioramenti, volti a chiarire l'ambito della deroga e a garantire le necessarie tutele lungo l'intero ciclo di vita dell’AI. Non pare infine necessaria una specifica norma che sancisca la possibilità di ricorrere - per i trattamenti funzionali allo sviluppo e al funzionamento di sistemi di IA – al legittimo interesse, già riconosciuto come possibile base giuridica dal Parere EDPB 28/2024.