Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

La proposta

EDPB ed EDPS sul Digital omnibus: verso una massiccia semplificazione del GDPR

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Il parere congiunto di EDPB ed EDPS sul pacchetto Digital omnibus ha una parola d’ordine: semplificazione senza rinunciare a innovazione e competitività. Ecco come semplificare il GDPR, cioè l’intero quadro normativo digitale della UE, per ridurre gli oneri amministrativi e migliorare la competitività delle imprese

Pubblicato il 12 feb 2026
Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Interazione DSA GDPR_shutterstock_2573650401; Quando il dato viaggia chiuso: perché il corriere non è né titolare né responsabile del trattamento; Digital omnibus, il parere di EDPB ed EDPS: verso una massiccia semplificazione del GDPR
GDPR_shutterstock_2573650401

L’EDPB (European Data Protection Board) e il Garante europeo della protezione dei dati (EDPS) rendono noto di aver adottato, in data 11 febbraio 2026, un parere congiunto sulla proposta di regolamento sul pacchetto Digital omnibus.

La parola d’ordine ricorrente è semplificazione del GDPR e dell’AI. Semplificare cioè l’intero quadro normativo digitale della UE, da un lato, riducendo gli oneri amministrativi e, dall’altro, migliorando la competitività delle imprese. Ecco come.

Ecco il Digital Omnibus, la grande semplificazione: cosa cambia per Gdpr, AI

EDPB ed EDPS sul digital omnibus: è l’ora di semplificare il GDPR

La strada della semplificazione della normativa in materia digitale dal GDPR in avanti e alla luce dei molteplici regolamenti che in questo ormai decennio sono usciti (tra i tanti il data governance act), si fa sempre più battuta, anche grazie all’ambizioso pacchetto del Digital Omnibus a cui il legislatore europeo è al lavoro.

Ricordiamo che il pacchetto è una proposta della Commissione dello scorso 19 novembre 2025, tesa a modificare un ampio corpus della legislazione digitale dell’UE, tra cui il GDPR, il Regolamento sul Gateway Digitale Unico, l’EUDPR, la Data Act, la Direttiva ePrivacy, la Direttiva sulla cybersicurezza, la NIS 2 e la Legge sulla governance dei dati.

Così in data 11 febbraio 2026 Il Comitato europeo per la protezione dei dati (EDPB) insieme al Garante per la protezione dei dati europeo (GEPD o EDPS) rendono noto di aver adottato un parere congiunto sulla proposta di detto Regolamento.

L’intento è chiaro: semplificare l’apparato normativo digitale, riducendo gli oneri amministrativi senza tuttavia rinunciare a innovazione e competitività.

Mettiamo in evidenza i punti salienti di questo paper.

Digital omnibus e il parere congiunto EDPB-EDPS: le novità più rilevanti

L’EDPB e l’EDPS nell’adottare questo parere congiunto, il n.2/2026, sul pacchetto digital omnibus hanno ben chiaro il fine, e lo ripetiamo ancora una volta: semplificare, ma non a discapito del livello di tutela dei diritti fondamentali.

Ma non è tutto, evidenziano anche come alcune “misure di semplificazione” possano contribuire in maniera positiva ed edificante alla coerenza dell’intero impianto europeo.

Di qui, nasce l’esigenza di un ulteriore cambio di passo volto a concepire un “modello unico ed europeo in materia di governance dei dati”.

D’altra parte, semplificazione significa competitività, poiché semplificando si riducono i costi/oneri amministrativi nell’effort in termini di compliance.

Naturalmente, in un quadro così frastagliato e complesso non mancano preoccupazioni peraltro di fondamentale rilievo.

Infatti, molteplici sono le normative coinvolte, oltre al GDPR “riesumando” finanche la direttiva e-Privacy. Per questi motivi, EDPB ed EDPS si sono espressi congiuntamente nei termini che seguono.

Modifiche massicce al GDPR

Sul concetto definitorio di “dato personale”, il Digital Omnibus vorrebbe restringere il campo approdando a una nuova definizione.

Non si tratterebbe di una semplice modifica tecnica, creando incertezza legale con il rischio di “aggirare” la conformità al GDPR.

Sicché l’EDPB e l’EDPS raccomandano fortemente di non adottare le modifiche proposte alla definizione dei dati personali respingendo di fatto la proposta di riduzione concettuale dal momento che scrivono: “le modifiche proposte alla definizione di dati personali restringerebbero il concetto di dati personali e influirebbero negativamente sul diritto fondamentale alla protezione dei dati.

Le modifiche proposte vanno ben oltre una modifica mirata del GDPR, una ‘modifica tecnica’ o una semplice codifica della giurisprudenza della CGUE. Per questi motivi, l’EDPB e l’EDPS esortano fortemente i co-legislatori a non adottare le modifiche proposte alla definizione di dati personali”.

L’ interesse legittimo

Sull’uso di interesse legittimo nel contesto dell’AI, EDPB ed EDPS richiamano
l’Opinion 28/2024 sui modelli di IA, suggerendo sostanzialmente “un diritto
incondizionato di opporsi” incluso nell’art. 21 del GDPR e di notificare ai soggetti interessati di tale diritto.

Ancora, sul diritto di accesso sostengono la chiarezza di “che cosa costituisca – ndr. e quindi si intenda – un abuso dei diritti” insistendo sul fatto che ciò vada connesso a “un intento dimostrabilmente abusivo”.

Sulle decisioni automatizzate, piuttosto che consentire un “uso diffuso in contesti contrattuali”, raccomandano di “mantenere il divieto generale con eccezioni strettamente necessarie”.

Biometria e categorie speciali di dati

Circa la biometria e le categorie speciali di dati, accolgono con favore la nuova deroga per il trattamento di categorie particolari di dati ai fini di autenticazione biometrica, laddove e purché i mezzi di verifica siano sotto il controllo esclusivo dell’individuo.

Le notifiche di violazione dei dati e valutazioni di impatto

Sulle notifiche di violazione dei dati, l’estensione del periodo di notifica da 72 a 96 ore è accolta di buon grado.

Sulle valutazioni di impatto l’EDPB e l’EDPS “sostengono l’armonizzazione a livello UE introdotta dalla Proposta riguardo agli elenchi della valutazione dell’impatto sulla protezione dei dati (‘DPIA’) ai sensi degli articoli 35(4) e 35(5) GDPR”, così come a un modello comune e annessa metodologia per la DPIA, “poiché ciò può semplificare l’esecuzione di questo importante processo da parte delle organizzazioni”.

Non solo, una metodologia comune in senso ampio e pratico, si legge nel paper “permetterebbe di continuare a utilizzare, e adattare solo se necessario, delle metodologie e degli strumenti tecnologici già ampiamente utilizzati dalle organizzazioni”.

La ricerca scientifica

Da ultimo, ma non ultimo, sulla “ricerca scientifica”, che meriterebbe un commento a parte vista la delicatezza del tema, l’EDPB e l’EDPS accolgono con favore le modifiche proposte sul tema suggerendo quale miglioramento “l’introduzione di una definizione; la chiarificazione che l’articolo 6 GDPR non deve necessariamente essere applicato; nonché la nuova deroga (limitata) all’obbligo di informazione.

Le sorti dell’ePrivacy

Vista la proliferazione dei cookie banner si prevedono “eccezioni aggiuntive”
limitatamente al divieto generale di “memorizzare o accedere a dati personali” sui device dell’utente.

Ecco che EDPB ed EDPS nel paper in parola caldeggiano fermamente l’obiettivo di “fornire una soluzione normativa per affrontare il problema del consenso e la proliferazione di banner sui cookie”.

Di qui, accolgono con favore dette deroghe, invitando i colegislatori a “incentivare la pubblicità contestuale anziché quella comportamentale, aggiungendo un’eccezione specifica corredata da alcune garanzie” e concordano nel ritenere la supervisione di queste questioni in capo alle autorità di protezione dati.

Il parere di EDPB ed EDPS sul data act

Sul data act EDPB ed EDPS si esprimono nel senso che l’integrazione nel Data Act delle norme del Data Governance Act e della direttiva Open Data circa il riutilizzo dei dati e dei documenti detenuti dagli enti pubblici.

Per quanto concerne l’accesso concesso dagli enti pubblici per il riutilizzo,
raccomandano di “mantenere la chiarezza offerta dall’attuale quadro giuridico, vale a dire che non obbliga gli enti pubblici a consentire il riutilizzo, né fornisce una base giuridica per la concessione dell’accesso.

Infine, si raccomandano che i dati personali siano sì condivisi ma solo nella forma pseudonimizzata con gli enti del settore pubblico, qualora i dati anonimi non bastino a coprire l’emergenza pubblica.

Ancora, circa “i servizi di intermediazione dei dati e le organizzazioni di altruismo dei dati” EDPB ed EDPS sottolineano l’importanza di una “condivisione dei dati affidabile e responsabile”, con specifiche garanzie, a tutela della trasparenza e della supervisione.

Infine, accolgono con favore la conferma, nella proposta, del ruolo dell’European Data Innovation Board (EDIB) nel supportare l’applicazione coerente del Data Act. In pratica una nuova istituzione.

Digital omnibus e il parere congiunto EDPB ed EDPS: tra preoccupazioni e messe a punto

I cambiamenti espressi a grandi linee pur rimandando alla lettura integrale del documento, sollevano notevoli preoccupazioni, a detta dell’EDPB e dell’EDPS, poiché potrebbero – scrivono nel paper – “influire negativamente sul livello di protezione di cui godono gli individui, creare incertezza giuridica e rendere più difficile l’applicazione della normativa sulla protezione dei dati”.

L’opinione del presidente dell’EDPB e del Garante europeo

Il Presidente del Comitato europeo per la protezione dei dati (EDPB), Anu Talus riferisce con riferimento alla proposta del Digital Omnibus che “la semplificazione è essenziale per ridurre la burocrazia e rafforzare la competitività dell’UE, ma non a scapito dei diritti fondamentali. Accogliamo con favore le iniziative della Commissione verso una maggiore armonizzazione, coerenza e certezza del diritto.
Tuttavia, esortiamo fermamente i colegislatori a non adottare le modifiche proposte alla definizione di dati personali, poiché rischiano di indebolire significativamente la protezione dei dati individuali”.

Anche il Garante europeo della protezione dei dati, Wojciech Wiewiórowski si raccomanda vivamente che “i colegislatori a non adottare le modifiche proposte alla definizione di dati personali. Tali modifiche non sono in linea con la giurisprudenza della Corte e limiterebbero significativamente il concetto di dati personali. Dobbiamo garantire che qualsiasi modifica al GDPR e all’EUDPR chiarisca effettivamente gli obblighi e garantisca la certezza del diritto, mantenendo al contempo la fiducia e un elevato livello di tutela dei diritti e delle libertà individuali”.

Digital Omnibus e parere EDPB-EDPS: i giusti passi nella corretta direzione

Si può dire che EDPB ed EDPS sono sostanzialmente favorevoli a una manovra che semplifichi, e forse, rallenti o contenga in un testo unico l’ipertrofia normativa occorsa in questi ultimi anni.

Quindi tutto ciò che converge verso un innalzamento della soglia di rischio con l’onere per esempio di notificare una violazione dei dati all’Autorità Garante per la protezione dei dati personali competente, con un tempo più lungo per la notifica, potrebbe dirsi un efficace strumento di semplificazione pensando, in questo senso, a una riduzione dell’onere amministrativo per le organizzazioni senza che venga compromessa la protezione dei dati personali degli individui.

Insomma, il tutto riapre una riflessione importante sull’evoluzione dell’ecosistema europeo in materia di protezione dati.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Chiara Ponti
Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Giornalista

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • AI Act Digital Omnibus EDPB EDPS

  • intelligenza artificiale

    AI Act e Digital Omnibus: EDPB e EDPS frenano sulla semplificazione a scapito dei diritti

    22 Gen 2026

    di Rosario Palumbo

    Condividi
  • OpenAI Bug Bounty Program; a truffa sfrutta una funzionalità di OpenAI

  • spam e AI

    Truffatori sfruttano la collaborazione su OpenAI: 3 consigli per le aziende

    23 Gen 2026

    di Mirella Castigli

    Condividi
  • Meme della settimana: fra report e realtà

  • meme della settimana

    Fra report e realtà

    13 Mar 2026

    di Redazione Cybersecurity360.it

    Condividi
  • Parcheggi dei centri commerciali videosorveglianza GDPR; Videosorveglianza comunale nel pallone per la privacy

  • Il provvedimento

    Videosorveglianza comunale, tra sanzioni privacy e confusione sui patti per la sicurezza urbana

    10 Dic 2025

    di Stefano Manzelli

    Condividi
0
Lascia un commento, la tua opinione conta.x