Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

l’analisi

Digital Omnibus e protezione dati: una riflessione politica sul futuro del GDPR

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

EDPB ed EDPS ha sollevato un dubbio tutt’altro che teorico in merito al Digital Omnibus: nel tentativo di rendere più snello il quadro regolatorio europeo, si rischia di incidere proprio sul pilastro che lo ha reso solido, cioè il GDPR. Ecco i punti salienti dell’opinione congiunta

Pubblicato il 23 mar 2026
Tania Orrù

Data Protection, Compliance & Digital Governance Advisor

Digital Omnibus EDPB EDPS

Punti chiave

  • La Joint Opinion 2/2026 di EDPB e EDPS avverte che il pacchetto Digital Omnibus rischia di intaccare il nucleo del GDPR e i suoi principi fondamentali.
  • Le proposte su Data Act, ePrivacy e NIS2 possono generare incoerenze normative e minacciare accountability e minimizzazione, soprattutto sull’accesso e la condivisione dei dati.
  • Imprese e autorità dovranno orientarsi verso una governance integrata: le aziende affronteranno compliance più complesse e le autorità avranno un ruolo interpretativo più forte per garantire la tutela dei diritti.
Riassunto generato con AI

Il dibattito resta aperto: la semplificazione normativa è davvero un progresso o il primo segnale di un cambiamento più profondo?

La Joint Opinion 2/2026 di EDPB ed EDPS sul Digital Omnibus ha sollevato un dubbio tutt’altro che teorico: nel tentativo di rendere più snello il quadro regolatorio europeo, si rischia di incidere proprio sul pilastro che lo ha reso solido, cioè il GDPR.

Semplificare l’AI Act ha un costo: il monito di EDPB e EDPS sulla credibilità delle regole

Digital Omnibus sotto esame: cosa dice la Joint Opinion

La Joint Opinion 2/2026 adottata da EDPB ed EDPS il 10 febbraio scorso riguarda la proposta della Commissione europea nota come “Digital Omnibus”, intervento normativo volto a modificare e coordinare diversi atti chiave del diritto digitale dell’Unione, tra cui il GDPR, la direttiva ePrivacy, il Data Act e la direttiva NIS2.

Il documento esamina nel dettaglio le modifiche proposte, valutandone l’impatto sulla protezione dei dati personali e sul funzionamento complessivo del sistema regolatorio europeo.

In particolare, le autorità evidenziano le possibili criticità derivanti dal tentativo di semplificare il quadro normativo, soffermandosi sui rischi di incoerenza tra discipline diverse e, soprattutto, sulle conseguenze che tali interventi potrebbero avere sui principi fondamentali del GDPR, dalla accountability alla minimizzazione dei dati.

Il ritorno della “semplificazione” nel diritto digitale europeo

La proposta di Digital Omnibus segna in effetti un passaggio quasi simbolico nell’evoluzione del diritto digitale europeo. Dopo anni in cui l’Unione ha costruito un sistema regolatorio sempre più articolato, introducendo strumenti destinati a incidere profondamente sull’economia dei dati e sulla governance delle tecnologie, il tema della semplificazione torna al centro del dibattito con una forza importante e che non può essere sottovalutata.

La semplificazione, infatti (che non è mai soltanto un’operazione di riordino formale) implica inevitabilmente una scelta su cosa mantenere e cosa, invece, alleggerire. In questo spazio, inevitabilmente politico prima ancora che giuridico, si colloca la Joint Opinion adottata congiuntamente da EDPB ed EDPS.

Il documento si presenta come un parere tecnico sulla proposta della Commissione, ma nel suo sviluppo lascia emergere una preoccupazione più profonda: quella che il processo di razionalizzazione normativa possa tradursi, anche senza una dichiarazione esplicita, in una progressiva ridefinizione degli equilibri su cui si fonda la protezione dei dati personali nell’Unione europea.

In soldoni, il punto da dirimere è se la semplificazione possa essere perseguita senza incidere sulla sostanza del sistema. Non si tratta di un rischio astratto: l’Opinion richiama esplicitamente, ad esempio, le modifiche proposte alla nozione di dato personale, che potrebbero restringere l’ambito di applicazione del GDPR.

Digital Omnibus: obiettivi dichiarati e architettura dell’intervento

Il Digital Omnibus nasce con l’ambizione di intervenire su un ecosistema normativo che, negli ultimi anni, si è sviluppato per stratificazione, producendo un quadro complesso in cui atti diversi ed eterogenei tra loro convivono senza dialogare sempre in modo coerente.

La Commissione europea individua in questa complessità una criticità concreta, soprattutto per le imprese che operano su scala transnazionale e che si trovano a dover applicare simultaneamente regole che, pur insistendo sul medesimo oggetto (il dato) lo disciplinano da prospettive differenti.

L’intervento proposto dalla Commissione si spinge però ben oltre l’intento di chiarire il rapporto tra le normative esistenti e introduce modifiche che attraversano il GDPR, la direttiva ePrivacy, il Data Act, la NIS2 e il quadro europeo della cyber security.

Anche se questa scelta mira a costruire una maggiore coerenza sistemica, implica una modifica simultanea di più atti normativi; ciò significa introdurre una rilevante fragilità, perché si interviene su equilibri già consolidati e il rischio è quello di generare effetti che non sempre risultano pienamente prevedibili.

La lettura offerta da EDPB ed EDPS si inserisce proprio in questa tensione, tra obiettivo “dichiarato” e impatto potenziale della semplificazione.

La Joint Opinion 2/2026: parere tecnico o segnale istituzionale?

Formalmente, la Joint Opinion si innesta sul solco dei pareri previsti dal sistema europeo di protezione dei dati, ma il tono e la struttura del documento suggeriscono una portata più ampia.

Le autorità, oltre ad esaminare puntualmente le modifiche proposte, costruiscono un’argomentazione che mette in discussione lo stesso impianto complessivo dell’intervento della Commissione, individuando un rischio di fondo che attraversa l’intero pacchetto normativo.

Il parere riconosce esplicitamente la necessità di migliorare la coerenza tra le diverse normative digitali, ma al tempo stesso insiste sulla necessità di preservare integralmente il livello di protezione garantito dal GDPR.

Questa posizione, apparentemente equilibrata, si traduce in realtà in una linea di demarcazione piuttosto netta, in quanto la semplificazione risulta accettabile solo nella misura in cui non vada ad incidere sui principi fondamentali del sistema. Quando ciò accade, la semplificazione cessa di essere un’operazione tecnica e diventa, di fatto, una forma di ridefinizione delle tutele.

Per queste ragioni la Joint Opinion assume il valore di un vero e proprio segnale istituzionale. EDPB ed EDPS sembrano voler anticipare una possibile deriva, richiamando l’attenzione sul fatto che la coerenza normativa non può essere costruita sacrificando la solidità del quadro di protezione dei dati personali.

Il riferimento costante al rischio di ambiguità, sovrapposizioni e interpretazioni divergenti (anche in relazione a interventi molto puntuali, come quelli sulla pseudonimizzazione o sul rapporto tra accesso ai dati e basi giuridiche del trattamento) si discosta dalla mera osservazione tecnica, per delinearsi piuttosto come alert rispetto a una criticità sistemica.

Il richiamo delle autorità riguarda anche profili meno evidenti ma altrettanto significativi, come le possibili restrizioni ai diritti degli interessati e alle condizioni di trasparenza del trattamento e abbraccia anche i contesti emergenti legati all’intelligenza artificiale, dove l’equilibrio tra innovazione e protezione dei dati appare particolarmente delicato.

Modifiche al GDPR: semplificazione amministrativa o svuotamento dell’accountability?

Il nodo più delicato della proposta della Commissione riguarda le modifiche al GDPR, e, in particolare, quelle che mirano a ridurre gli oneri amministrativi e documentali a carico dei titolari del trattamento.

In particolare, gli interventi presi in considerazione concernono la razionalizzazione di alcuni obblighi documentali previsti dal GDPR, come la tenuta e il livello di dettaglio dei registri delle attività di trattamento, nonché una più ampia flessibilità nella dimostrazione della conformità, soprattutto nei contesti in cui il rischio per i diritti e le libertà degli interessati è ritenuto limitato.

Si tratta di misure che, nelle intenzioni della Commissione, dovrebbero ridurre gli oneri formali per le organizzazioni, ma che, secondo EDPB ed EDPS, incidono direttamente su uno degli strumenti principali attraverso cui il principio di accountability trova concreta attuazione.

A prima vista, si tratta di interventi che rispondono a un’esigenza concreta, spesso evidenziata dalle imprese, ossia quella di alleggerire un apparato di compliance percepito come eccessivamente gravoso.

Tuttavia, la Joint Opinion invita a considerare la questione da una prospettiva diversa, mettendo in discussione l’idea stessa che la riduzione degli adempimenti possa essere sempre di per sé un bene rispetto alla tenuta del sistema.

Il principio di accountability rappresenta, infatti, uno degli elementi qualificanti del GDPR perché costruisce un modello di responsabilizzazione del titolare basato sulla capacità di dimostrare, in ogni momento, la conformità delle proprie scelte. Ridurre la documentazione significa inevitabilmente ridurre la tracciabilità, e con essa la possibilità di ricostruire ex post il processo decisionale. In questo senso, la semplificazione rischia di incidere sia sulla forma che (in modo più preoccupante) sulla sostanza della protezione. Non a caso, EDPB ed EDPS segnalano che alcune semplificazioni proposte rischiano di incidere proprio sugli strumenti attraverso cui il titolare dimostra la conformità.

I timori che emergono da EDPB ed EDPS (pur in un contesto in cui le stesse autorità riconoscono la necessità di migliorare la coerenza del quadro normativo) sono quelli di una progressiva trasformazione del GDPR in uno strumento meno incisivo, in cui la responsabilità del titolare si attenua senza che ciò sia esplicitamente dichiarato.

Una dinamica sottile e quasi di silenziosa erosione, ma proprio per questo potenzialmente più significativa, in quanto incide sul funzionamento concreto del sistema più che sulle sue enunciazioni formali.

Data Act e accesso ai dati: il rischio di una tensione strutturale con il GDPR

Il rapporto tra il Data Act e il GDPR rappresenta uno dei punti più critici evidenziati nella Joint Opinion. Il Data Act introduce un modello che favorisce l’accesso e la condivisione dei dati, rispondendo a esigenze di innovazione e competitività; lo fa però attraverso meccanismi che, se non adeguatamente delimitati, possono entrare in tensione con i principi fondamentali della protezione dei dati personali.

EDPB ed EDPS richiamano a questo proposito un elemento che nel dibattito pubblico tende a essere semplificato: l’accesso ai dati non può essere inteso come un diritto generalizzato, soprattutto quando si tratta di dati personali.

In particolare, le criticità emergono con riferimento ai meccanismi di accesso e condivisione dei dati previsti dal Data Act, come quelli che consentono agli utenti o a soggetti terzi di ottenere dati generati dall’utilizzo di prodotti e servizi connessi. In tali contesti, la messa a disposizione di dataset può includere anche dati personali, rendendo necessario un coordinamento puntuale con le condizioni di liceità del trattamento e con il principio di limitazione della finalità sanciti dal GDPR.

La logica dell’accesso, funzionale allo sviluppo dell’economia dei dati, potrebbe finire per espandere le possibilità di trattamento al di là dei limiti imposti dal GDPR, in particolare per quanto riguarda la finalità e la base giuridica. Le autorità insistono su questo punto con particolare chiarezza, sottolineando che i meccanismi di accesso ai dati non possono tradursi in una base giuridica implicita per il trattamento dei dati personali.

In assenza di un coordinamento chiaro, il rischio è che il Data Act diventi uno strumento che, indirettamente, ridefinisce l’equilibrio tra accesso e protezione, spostandolo verso una maggiore apertura senza però adeguate garanzie.

ePrivacy e comunicazioni elettroniche: un coordinamento ancora irrisolto

Il rapporto tra disciplina ePrivacy e GDPR rappresenta un ulteriore ambito di attenzione nella Joint Opinion, che evidenzia come il tentativo di semplificazione rischi di incidere su un equilibrio già di per sé complesso.

La normativa ePrivacy, infatti, introduce regole specifiche in materia di comunicazioni elettroniche e trattamento dei dati connessi, configurandosi come disciplina speciale rispetto al GDPR in determinati contesti.

Gli interventi di coordinamento proposti dal Digital Omnibus, pur orientati a ridurre le sovrapposizioni, sollevano il problema di una possibile perdita di chiarezza circa l’ambito di applicazione delle due normative.

Ciò può accadere nei casi in cui il trattamento dei dati avviene nell’ambito di servizi di comunicazione elettronica o attraverso tecnologie che comportano l’accesso a informazioni memorizzate nei dispositivi degli utenti, come nel caso dell’utilizzo di cookie e tecnologie analoghe disciplinate dall’articolo 5, paragrafo 3, della direttiva.

In tali contesti, l’accesso al dispositivo e la successiva lettura o memorizzazione di informazioni richiedono, di regola, il consenso preventivo dell’utente, secondo una logica che non sempre coincide perfettamente con le basi giuridiche del trattamento previste dal GDPR.

Questo disallineamento emerge con particolare evidenza nei servizi digitali integrati, in cui il trattamento dei dati personali avviene a partire da un accesso al terminale che è già soggetto a una disciplina autonoma, rendendo più complesso individuare il corretto regime applicabile.

In tale contesto, la distinzione tra le regole applicabili (ad esempio in relazione alle condizioni di liceità del trattamento o alle modalità di acquisizione del consenso) diventa meno immediata, soprattutto se le modifiche normative attenuano i confini tra le due discipline.

La Joint Opinion richiama quindi la necessità di preservare un coordinamento chiaro, evitando che la semplificazione si traduca in una sovrapposizione ambigua tra regimi giuridici diversi, con conseguenze sia sul piano della certezza del diritto sia su quello della tutela effettiva degli interessati.

NIS2: quando la sicurezza può entrare in conflitto con la protezione dati

La relazione tra cyber security e protezione dei dati è, da tempo, oggetto di un dibattito che tende a sottolinearne la complementarità. La Joint Opinion introduce, tuttavia, una prospettiva più problematica, evidenziando come, in contesti operativi concreti, possano invece emergere tensioni difficili da risolvere.

La direttiva NIS2 impone infatti obblighi di sicurezza e di gestione degli incidenti che possono comportare trattamenti estesi di dati personali, soprattutto nelle fasi di rilevazione, analisi e comunicazione degli eventi.

In teoria, tali trattamenti dovrebbero essere guidati dai principi del GDPR, ma nella pratica il rischio è che l’urgenza e la natura tecnica delle operazioni portino ad una raccolta e condivisione di dati che eccedono quanto strettamente necessario.

Il riferimento è agli obblighi di incident reporting e di condivisione delle informazioni previsti dalla NIS2, che possono comportare la trasmissione a autorità competenti o ad altri attori di dati tecnici contenenti anche informazioni personali. In questi casi, la necessità di fornire informazioni tempestive e complete può entrare in tensione con il principio di minimizzazione, imponendo alle organizzazioni una selezione non sempre agevole dei dati effettivamente necessari rispetto alla finalità di gestione dell’incidente.

EDPB ed EDPS, senza mettere in discussione la necessità di rafforzare la sicurezza, sottolineano che essa non può essere perseguita attraverso una dilatazione non controllata dei flussi informativi.

Quando la sicurezza diventa una giustificazione generale per il trattamento dei dati, il rischio è che i principi di minimizzazione e proporzionalità vengano progressivamente svuotati di contenuto.

La frammentazione normativa nel diritto digitale europeo

Al di là delle singole disposizioni, la Joint Opinion evidenzia un problema che appare ormai strutturale, cioè la difficoltà di mantenere un quadro normativo coerente in un contesto in cui le iniziative legislative si moltiplicano e si sovrappongono.

Il diritto digitale europeo si è sviluppato attraverso interventi settoriali che, pur rispondendo a esigenze specifiche, hanno progressivamente costruito un sistema complesso, in cui le relazioni tra le norme non sono sempre esplicite.

Il Digital Omnibus si propone di intervenire su questa frammentazione, ma secondo EDPB ed EDPS rischia di farlo senza introdurre un criterio sistematico sufficientemente chiaro.

Il problema non è tanto la pluralità delle fonti, quanto l’assenza di una gerarchia o di un principio di coordinamento che consenta di risolvere i conflitti in modo prevedibile. In questo modo, la coerenza del sistema finisce per dipendere dall’interpretazione, con un inevitabile aumento dell’incertezza.

Impatti operativi per le imprese: verso una compliance integrata

Dal punto di vista operativo, la Joint Opinion segnala comunque una trasformazione che le imprese stanno già iniziando a percepire, cioè il fatto che la compliance non può più essere affrontata come un insieme di adempimenti distinti, ciascuno riferito a una specifica normativa, ma richiede una visione integrata che tenga conto delle interazioni tra diversi obblighi.

La possibile riduzione degli oneri formali non si traduce però automaticamente in una semplificazione reale; al contrario, l’aumento delle ambiguità e delle sovrapposizioni può rendere necessario uno sforzo interpretativo maggiore, con un conseguente incremento del rischio legale.

Le imprese si troveranno quindi a dover gestire una complessità che deriva soprattutto dalla difficoltà di coordinare le diverse norme in modo coerente.

La governance del dato assume qui un ruolo centrale: oltre che garantire la conformità al GDPR, si tratta di costruire modelli organizzativi capaci di integrare privacy, cyber security e gestione dei flussi informativi in un unico framework decisionale.

Dove la semplificazione si complica: esempi concreti nelle imprese

Le criticità evidenziate dalla Joint Opinion assumono un rilievo particolarmente concreto se lette alla luce delle dinamiche operative delle imprese.

Si pensi, ad esempio, ai modelli di clienteling nel retail evoluto, in cui l’integrazione tra CRM, applicazioni mobili e strumenti di messaggistica comporta un uso intensivo e continuo di dati personali.

In un contesto in cui il Data Act incentiva la condivisione dei dati e le normative sulla cyber security richiedono una maggiore circolazione di informazioni in funzione preventiva o reattiva, il rischio è che i confini delle finalità del trattamento si dilatino progressivamente, rendendo più difficile mantenere un ancoraggio rigoroso ai principi del GDPR.

Analogamente, nella gestione degli incidenti di sicurezza, le imprese potrebbero trovarsi a condividere con fornitori, partner o autorità una quantità di informazioni superiore a quella strettamente necessaria, giustificando tali flussi con esigenze di sicurezza senza una valutazione pienamente allineata ai criteri di minimizzazione e proporzionalità.

Anche nei contesti industriali e nelle piattaforme data-driven, dove l’accesso ai dati rappresenta un fattore competitivo, le nuove regole sul data sharing potrebbero indurre a considerare i dati personali come una componente accessoria del dato, piuttosto che come un elemento soggetto a un regime autonomo e prioritario di tutela.

In tutti questi casi, la tensione tra accesso, sicurezza e protezione dei dati non si manifesta come conflitto esplicito, ma come slittamento progressivo delle pratiche operative, che rende la compliance meno una questione di adempimento formale e sempre più una scelta di equilibrio tra interessi regolatori potenzialmente divergenti.

Scenari regolatori e applicativi

Guardando al prossimo futuro, la Joint Opinion consente di delineare alcune tendenze che appaiono difficilmente evitabili.

È plausibile che il ruolo delle autorità di controllo si rafforzi ulteriormente, soprattutto sul piano interpretativo, per colmare le lacune e le ambiguità del quadro normativo.

Più che una reale semplificazione è probabile che le imprese si trovino ad affrontare una fase di transizione, almeno inizialmente, una maggiore complessità operativa; il tutto con il rischio di una compliance che, pur apparendo più snella sul piano formale, potrebbe diventare meno solida nella sostanza.

Si tratta di dinamiche che le autorità sembrano voler prevenire, ma che potrebbero comunque manifestarsi in assenza di un intervento chiarificatore efficace.

GDPR: architrave o ostacolo?

La Joint Opinion 2/2026 si inserisce in un momento in cui il GDPR, a distanza di quasi 10 anni dalla sua entrata in vigore, viene progressivamente reinterpretato alla luce delle nuove esigenze dell’economia digitale. Il rischio, implicito ma ormai evidente, è che esso venga percepito sempre più come un elemento da adattare alle esigenze di semplificazione, più che come un punto di equilibrio.

EDPB ed EDPS intervengono a difesa del sistema per evitare questo slittamento, ribadendo che il GDPR non è un ostacolo, bensì l’architrave su cui si regge l’intero sistema di protezione dei dati.

Il Digital Omnibus dovrebbe per questo essere capace di semplificare senza alterare gli equilibri fondamentali.

Le questioni di tecnica legislativa non sono rilevanti in questo contesto, perché ciò che conta è il modello stesso di regolazione che l’Unione europea intende perseguire.

La Joint Opinion lascia aperta una questione di fondo: se la semplificazione sia davvero compatibile con la tenuta del sistema, oppure se stia già segnando, in modo silenzioso, l’avvio di una progressiva trasformazione.

Una semplificazione selettiva? Il nodo politico del GDPR

Se letta in controluce, la proposta di semplificazione della Commissione solleva anche un interrogativo politico, che la Joint Opinion lascia emergere senza affrontarlo esplicitamente: perché il bisogno di alleggerimento sembra concentrarsi proprio sul GDPR.

Alcuni degli interventi presi in considerazione danno infatti l’impressione di voler modificare meccanismi (come la documentazione e la dimostrabilità delle scelte) che costituiscono l’identità stessa del Regolamento.

Dalle difficoltà applicative, che spesso derivano dalla stratificazione normativa successiva, si sta arrivando ad una vera e propria messa in discussione indiretta del Regolamento. La semplificazione sembra infatti operare in modo quasi selettivo, incidendo proprio sul pilastro che avrebbe dovuto garantire stabilità e coerenza al sistema.

La sensazione è che il GDPR (che la stessa Commissione ha fortemente voluto e promosso come pilastro del modello europeo di regolazione dei dati) venga oggi implicitamente ricondotto a una fonte di rigidità da correggere, quasi a dover attenuare ex post gli effetti di un impianto ritenuto, almeno in parte, troppo oneroso.

Un passaggio che, più che una semplice operazione di semplificazione, rischia di assumere i tratti di una revisione indiretta delle scelte fondative del sistema.

Più che un arretramento esplicito, sembra si stia delineando una forma di adattamento silenzioso, in cui il GDPR viene progressivamente ridimensionato nella sua capacità di orientare le pratiche.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

O
Tania Orrù
Data Protection, Compliance & Digital Governance Advisor

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • 5G e sicurezza; Fornitori ad alto rischio da escludere nelle reti 5G per infrastrutture critiche: un equilibrio fra sicurezza nazionale ed europea

  • la sentenza

    Fornitori ad alto rischio da escludere nel 5G: un equilibrio fra sovranità europea e nazionale

    20 Mar 2026

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • AI Act Digital Omnibus EDPB EDPS

  • intelligenza artificiale

    AI Act e Digital Omnibus: EDPB e EDPS frenano sulla semplificazione a scapito dei diritti

    22 Gen 2026

    di Rosario Palumbo

    Condividi
  • OpenAI Bug Bounty Program; a truffa sfrutta una funzionalità di OpenAI

  • spam e AI

    Truffatori sfruttano la collaborazione su OpenAI: 3 consigli per le aziende

    23 Gen 2026

    di Mirella Castigli

    Condividi
  • Aggiornamenti Microsoft Patch Tuesday

  • update

    Patch Tuesday febbraio 2026: 59 bug corretti, sei zero-day e un segnale chiaro per i CISO

    11 Feb 2026

    di Paolo Tarsitano

    Condividi
0
Lascia un commento, la tua opinione conta.x