Il 19 novembre, a Bruxelles, il Digital Omnibus è entrato nella fase decisiva dei negoziati tra Commissione, Parlamento e Consiglio. Presentato come intervento “tecnico” per semplificare la complessa architettura normativa dell’Unione in tema digitale dell’Unione, il pacchetto – oltre 150 pagine – interviene su pilastri normativi come GDPR, AI Act, Data Act, ePrivacy, NIS2, Cyber Resilience Act.
L’obbiettivo dichiarato è ridurre oneri e sovrapposizioni, Tuttavia, molte delle modifiche introdotte appaiono tutt’altro che marginali: riguardano la definizione stessa di dato personale, i requisiti per l’addestramento dell’AI e l’esercizio dei diritti degli interessati. L’impatto potenziale è quindi sistemico.
Oltre il perimetro del GDPR
Negli ultimi anni, la strategia digitale europea si è basata su una relazione chiara: diritti fondamentali come base dell’innovazione responsabile. Il GDPR ha definito un perimetro uniforme di tutela; l’AI Act ne ha recepito la logica, imponendo trasparenza e supervisione; il Data Act ha abilitato la condivisione dei dati senza intaccare la protezione degli interessati.
Il Digital Omnibus rischia di alterare questo equilibrio: nel tentativo di semplificazione, introduce, tra gli altri, elementi che potrebbero restringere il perimetro del dato personale e trasformare la pseudonimizzazione in uno strumento di deregolamentazione. Questo porrebbe l’UE davanti a un cambio di paradigma non esplicitato.
Il principio in discussione è quindi duplice:
- La definizione di dato personale, cardine del GDPR.
- Il confine tra sicurezza, innovazione e diritti fondamentali, centrale nell’AI Act e nel Cyber Resilience Act.
La ridefinizione del dato pseudonimizzato
La modifica in discussione introduce il concetto che una informazione è un dato personale se l’interessato è identificabile “con mezzi ragionevolmente utilizzabili”. Le bozze del Digital Omnibus prevedono inoltre che una informazione possa essere considerata “non personale” se il titolare non è in grado di reidentificarlo.
Questo sposta l’analisi dall’oggettività alla soggettività tecnica del singolo titolare, con conseguenze dirette sull’intero sistema di protezione.
Questa revisione altera l’impostazione originaria del GDPR:
- la valutazione dell’identificabilità diventerebbe soggettiva, dipendente dalle capacità del singolo titolare;
- si aprirebbe la strada all’uso non regolato di dataset “pseudo-anonimizzati”, con notevoli impatti su training AI, analytics e sorveglianza comportamentale.
Implicazioni sul training dei modelli di intelligenza artificiale
L’AI Act richiede dataset accurati, rappresentativi e trattati in conformità al GDPR. Se parte dei dati pseudonimizzati viene esclusa dal GDPR:
- i dataset di training potrebbero includere categorie speciali di dati senza le garanzie dell’art. 9 GDPR;
- si creerebbero zone grigie sull’origine dei dati, riducendo trasparenza, auditability e accountability dei sistemi ad alto rischio;
- aumenterebbe la difficoltà per gli interessati di verificare se i propri dati sono stati utilizzati per addestrare un modello.
Rischi per la protezione dei dati
- Erosione del perimetro di protezione: più informazioni ricadrebbero fuori dal GDPR, aumentando i rischi di reidentificazione.
- Opacità nei modelli AI: la riclassificazione dei dataset renderebbe più difficile applicare obblighi di trasparenza e audit previsti dall’AI Act.
- Asimmetria competitiva: le Big Tech trarrebbero vantaggio dalla deregolamentazione, grazie a capacità tecniche superiori nella gestione di grandi volumi di dati pseudo-anonimizzati.
- Certezza del diritto ridotta per PMI e PA, che si troverebbero a operare in un ecosistema normativo meno chiaro e più frammentato.
La semplificazione non deve trasformarsi in riduzione delle garanzie.
In una fase storica in cui l’AI richiede maggiore trasparenza, tracciabilità e responsabilità, ridurre il perimetro del dato personale significa spostare l’ago della bilancia dal lato dell’efficienza a scapito dei diritti fondamentali.
La posta in gioco non è soltanto la protezione dei dati, ma la credibilità del modello europeo:
- se l’UE assottiglia il proprio standard di tutela, perde la sua leadership regolatoria globale;
- se mantiene coerenza e rigore, può offrire alle imprese un contesto di innovazione sostenibile, fondato su governance, trasparenza e accountability.
Il futuro dell’AI europea dipende dalla capacità di preservare l’equilibrio tra innovazione e diritti, senza arretrare sui principi che hanno reso il GDPR un benchmark mondiale.
