Il Digital Omnibus, il pacchetto di aggiornamenti che ritocca il GDPR e altre norme digitali, riscrive la meccanica dell’intero sistema privacy europeo, difatti arrivano definizioni più aderenti alla realtà, nuove basi per lo sviluppo dei modelli di IA, modelli e liste DPIA a livello UE, una gestione dei data breach più coerente e, soprattutto, segnali di consenso/opposizione standardizzati.

Perché intervenire ora? Non perché il GDPR “non basti”, ma perché deve reggere il peso dell’IA in un contesto in cui l’AI Act rischia di non essere pienamente operativo. L’obiettivo è evitare un vuoto regolatorio e canalizzare l’innovazione dentro binari comprensibili, oggi.

Una definizione “relativa” di dato personale: il contesto conta

Il cambio di passo più delicato sta nella nozione di “dato personale”. Non basta più chiedersi se, da qualche parte, esista un soggetto in grado di identificare una persona partendo da un’informazione. La domanda diventa: l’operatore che tratta quel dato ha mezzi ragionevolmente probabili per farlo? Se no, per quell’operatore l’informazione non è un dato personale.

È un’eleganza moderna, con un rovescio della medaglia: in un mondo in cui i dataset si combinano e si arricchiscono, dire che un dato è personale “solo per alcuni” rischia di produrre valutazioni difformi.

In parallelo, entrano (o vengono chiarite) definizioni operative che mancavano di una cornice univoca — terminal equipment, electronic communications networks, web browser, media service/media service provider, online interface — e si aggiorna il concetto di “ricerca scientifica”, legandolo al contributo alla conoscenza e al rispetto di standard etici riconosciuti. 

IA, dati particolari e legittimo interesse

Arriva una nuova eccezione dell’Art. 9 che apre, in via residuale, al trattamento di categorie particolari di dati per lo sviluppo e il funzionamento di sistemi o modelli di IA. Le condizioni sono stringenti: bisogna evitare a monte la raccolta di dati sensibili e rimuoverli se affiorano. Se la rimozione è sproporzionata, scatta l’obbligo di impedirne l’uso negli output e la divulgazione.

Un nuovo articolo 88c, invece, chiarisce che la costruzione e l’operatività dei modelli possono poggiare sul legittimo interesse. Tuttavia, si tratta di un legittimo interesse “rafforzato”: minimizzazione sin dalla scelta delle fonti e nelle fasi di training e testing, protezione attiva contro la fuoriuscita di residui dal modello, trasparenza potenziata e diritto di opposizione incondizionato per gli interessati, con un’attenzione specifica ai minori.

Decisioni automatizzate: l’ibrido uomo‑macchina

Sul fronte dell’Art. 22 GDPR arriva un chiarimento atteso: le decisioni basate esclusivamente su trattamenti automatizzati restano ammesse nelle tre ipotesi note — contratto, obbligo di legge, consenso — ma non serve più dimostrare che, per la necessità contrattuale, la decisione “possa essere presa solo” in automatico. È il riconoscimento del modello che i mercati già adottano: automatizzare dove ha senso, far intervenire un umano dove serve.

Dati sui dispositivi e segnali standard: addio cookie banner (così come lo conosciamo)

Il nuovo art. 88a fissa come regola generale: per memorizzare o accedere a dati personali sul terminale dell’utente serve il consenso. Eccezioni sempre ammesse sono: a) trasmissione della comunicazione, b) erogazione del servizio esplicitamente richiesto dall’utente, c) misurazione di audience aggregata in ambito first party, d) sicurezza del servizio o del terminale. Per tutto il resto, si torna alle basi giuridiche ordinarie.

Sul design dello user journey arrivano obblighi concreti: rifiuto con un clic e, in caso di diniego, stop alla riproposizione per almeno sei mesi. La svolta vera, però, è infrastrutturale. L’utente potrà esprimere consenso o opposizione tramite segnali standardizzati a livello di browser, sistema operativo o wallet. I titolari dovranno riconoscere e rispettare istruzioni machine‑readable; l’UE definirà standard con presunzione di conformità e, trascorso un periodo transitorio, anche i browser non‑PMI dovranno implementare i necessari strumenti tecnici.

L’obiettivo è uscire dalla complessità dei banner e spostare la scelta a monte, in modo coerente per tutto il mercato.

DPIA, data breach e metodo comune

Sui data breach si riallinea la soglia di notifica: scatta in presenza di “alto rischio” per diritti e libertà; il termine diventa 96 ore e viene tracciato un percorso verso un punto unico di ingresso, in scia con la logica NIS2. L’EDPB avrà il compito di preparare un template comune e un elenco delle circostanze che costituiscono alto rischio, con revisioni periodiche.

Sul fronte DPIA, arrivano liste europee uniche dei trattamenti che la richiedono e di quelli che non la richiedono, oltre a un modello e a una metodologia comune; fino ad allora, le liste nazionali restano in vigore.

C’è poi un tassello decisivo per chi lavora con dati pseudonimizzati: la Commissione potrà fissare criteri e mezzi per stabilire quando, per specifiche entità, tali dati possano essere considerati “non personali”, alla luce dello stato dell’arte e del rischio di reidentificazione, con coinvolgimento formale dell’EDPB.

Nel frattempo, il testo mette ordine anche ad altri punti chiave:

• compatibilità “automatica” delle finalità di archiviazione nel pubblico interesse, ricerca e statistica con gli scopi iniziali del trattamento;
• esonero dall’informativa nei rapporti chiari e non data‑intensive, quando sia ragionevole presumere che l’interessato conosca già le informazioni (restano esclusi i casi di trasferimenti, decisioni automatizzate o rischi elevati);
• possibilità di respingere o tariffare richieste di accesso manifestamente infondate o strumentali.

Conclusione: governare senza frenare

Il filo conduttore è chiaro: si mantengono i principi — minimizzazione, accountability, trasparenza, bilanciamento — ma applicandoli con strumenti più praticabili in un’economia accelerata dall’IA.

Senza un AI Act solido al centro, il GDPR torna a essere la spina dorsale del sistema. Il test vero? La sua capacità di reggere fino alla nuova, inevitabile, versione dell’AI Act.