Commissione Europea, presentato ufficialmente il Digital Omnibus

Lo scorso 19 novembre, la Commissione Europea ha presentato ufficialmente il Digital Omnibus, la proposta legislativa che rappresenta la più ampia revisione del quadro normativo digitale dell’UE dall’entrata in vigore del GDPR nel 2018, che potrebbe segnare un cambio di paradigma per la protezione dei dati europea. Vengono infatti introdotte diverse modifiche a vari regolamenti digitali dell’UE, tra cui GDPR e Artificial Intelligence Act, e questo solleva un dibattito tra necessità di competitività e tutela dei diritti fondamentali.

Se da una parte vi è l’esigenza concreta di rendere operativo un framework normativo articolato in numerosi regolamenti -  negli ultimi anni diventato un "labirinto" - dall'altra il rischio potenziale è quello che la semplificazione diventi il pretesto per una rinegoziazione dei principi fondamentali che hanno reso l’Europa un punto di riferimento globale in materia di protezione dati.

Obiettivi e tempistiche del Digital Omnibus

La Commissione Europea ha un obiettivo dichiarato: ridurre il carico amministrativo di almeno il 25% per tutte le imprese e del 35% per le PMI, rispondendo alle preoccupazioni espresse nel rapporto Draghi sulla competitività europea. Lo scorso 16 settembre, la Commissione aveva aperto una consultazione pubblica conclusasi il 14 ottobre e seguita dalla presentazione ufficiale del pacchetto normativo, con una proposta che ha un impatto, in contemporanea, su:

• GDPR (General Data Protection Regulation);
• Artificial Intelligence Act 
• Direttiva ePrivacy (cookie law)
• Direttiva NIS2 (sicurezza delle reti)
• Data Act e Data Governance Act
• Framework europeo per l’identità digitale.

La ridefinizione di “dato personale”

Uno degli aspetti più critici e meno pubblicizzati riguarda la proposta di introdurre un “approccio soggettivo” della nozione di “dato personale” nel testo del GDPR: se una specifica informazione non permette di identificare direttamente una persona, il dato non deve essere considerato “personale” per l’azienda che lo tratta, e rimane fuori dal campo di applicazione del GDPR. Tale formulazione consentirebbe un’esenzione generale dal GDPR per i titolari del trattamento che utilizzano dati “pseudonimi” (come “user12473” o dati da cookie di tracciamento) invece dei nominativi degli interessati.

Questo cambiamento si allontanerebbe molto dall’interpretazione piuttosto ampia da una giurisprudenza maturata in oltre 20 anni dalla Corte di Giustizia (CGUE) su cosa costituisca “dato personale”, la cui definizione deriva dall’Articolo 8 della Carta dei diritti dei cittadini dell’UE, ed è molto probabile che un cambiamento così profondo andrebbe a ridisegnare lo stesso concetto europeo della privacy. Se la proposta di questa modifica venisse confermata, l'impatto che avrebbe sarebbe notevole, sia sui diritti dei cittadini, sia sulle attività di tracking online, in quanto la maggior parte del tracciamento web opera tramite identificatori pseudonimi, e sull’advertising, perchè l’intero ecosistema pubblicitario digitale si basa su ID univoci, nonché sulle attività dei data broker, in quanto buona parte delle banche dati da essi commercializzate sarebbero esentate dall’ambito di applicazione del GDPR.

Per proseguire la lettura di questa interessante analisi, questo è il link