I massimi organi a tutela della privacy europea (EDPB ed EDPS) hanno espresso il loro parere sul pacchetto Digital omnibus che punta a semplificare il GDPR e il quadro normativo digitale della UE, riducendo gli oneri amministrativi e favorendo la competitività delle imprese. In data 11 febbraio 2026, EDPB ed EDPS hanno annunciato un parere congiunto sulla proposta di regolamento Digital omnibus.

E’ ora di semplificare il GDPR

La normativa digitale europea sta diventando sempre più semplice, grazie a nuovi regolamenti come il Data Governance Act. Il 19 novembre 2025, la Commissione ha proposto un pacchetto di modifiche che riguarda vari testi tra cui GDPR, Gateway Digitale Unico, EUDPR, Data Act, Direttiva ePrivacy, Direttiva sulla cybersicurezza, NIS2 e la legge sulla governance dei dati. L’EDPB ed EDPS hanno pubblicato un parere congiunto sull’ultima proposta il 11 febbraio 2026. L’obiettivo è semplificare la normativa digitale, riducendo gli oneri amministrativi ma mantenendo innovazione e competitività. Serve un modello unico europeo per la governance dei dati. Semplificare significa aumentare la competitività e ridurre i costi di compliance. Tuttavia, il quadro normativo è complesso e una sua massiccia semplificazione genera importanti preoccupazioni. Di seguito vengono evidenziati i punti principali del paper.

Modifiche massicce al GDPR

Sulla definizione di “dato personale”, il Digital Omnibus vorrebbe restringere il campo approdando a una nuova definizione: un’informazione non è necessariamente un dato personale in astratto, ma lo diventa solo per il soggetto che dispone di mezzi ragionevoli per identificare l’interessato. La precisazione mira a facilitare la circolazione di dati pseudonimizzati, pur richiedendo una valutazione documentata sull’effettiva identificabilità.

Non si tratterebbe  quindi di una semplice modifica tecnica,ma di una modifica sostanziale che potrebbe creare significative incertezze che influirebbero negativamente sul diritto fondamentale alla protezione dei dati. Per questi motivi, l’EDPB e l’EDPS esortano fortemente i co-legislatori a non adottare le modifiche proposte alla definizione di dati personali”.

L’ interesse legittimo

Con l’introduzione del nuovo art. 88c GDPR, il legittimo interesse viene espressamente riconosciuto come base giuridica per lo sviluppo, l’allenamento e il funzionamento dei sistemi di IA, subordinatamente a garanzie rafforzate (trasparenza, minimizzazione, diritto incondizionato di opposizione). La norma fornisce un perimetro più chiaro per attività oggi centrali nel mercato digitale.

EDPB ed EDPS richiamano l’Opinion 28/2024 riguardante i modelli di IA, proponendo di includere nell’art. 21 del GDPR “un diritto incondizionato di opporsi” e l’obbligo di informare le persone interessate su tale diritto. Per quanto riguarda le decisioni automatizzate, invece di permettere un utilizzo diffuso nei contratti, raccomandano di mantenere il divieto generale, consentendo eccezioni solo quando strettamente necessario.

Biometria e categorie speciali di dati

Vengono accolte con favore le  modifiche all’art. 9 del GDPR introducendo:

• una nuova deroga relativa all’utilizzo dei dati biometrici per finalità di verifica biometrica, a condizione che i dati o i mezzi di verifica rimangano sotto il controllo diretto dell’interessato;
•  un importante chiarimento per i sistemi di intelligenza artificiale, stabilendo che i dataset devono essere progettati al fine di evitare l’inclusione di categorie particolari di dati. Nei casi in cui ciò non sia tecnicamente praticabile, tali dati possono rimanere nel dataset, ma non dovranno essere impiegati per la generazione degli output.

Le notifiche di violazione dei dati e valutazioni di impatto

L’estensione della notifica di violazione dei dati da 72 a 96 ore è positivamente accolta e l’istituzione di un portale unico europeo, gestito da ENISA, che consentirà di adempiere con un’unica segnalazione agli obblighi previsti da GDPR, NIS2, DORA e altre normative settoriali. L’EDPB e l’EDPS appoggiano l’armonizzazione UE degli elenchi DPIA ai sensi degli articoli 35(4) e 35(5) GDPR, così come l’adozione di un modello e una metodologia comuni, per semplificare le procedure. Una metodologia condivisa, in termini pratici, consentirebbe l’uso continuativo e l’eventuale adattamento delle tecnologie già impiegate dalle organizzazioni.

Semplificazione degli obblighi informativi​

La Commissione propone l’esenzione dall’obbligo di informativa nei casi in cui l’interessato si trovi in un rapporto chiaro, circoscritto e vi siano motivi ragionevoli per ritenere che conosca già le informazioni essenziali. La proposta stabilisce infatti che il titolare può essere esonerato dal fornire integralmente le informazioni previste dagli articoli 13 e 14 GDPR, quando sussistono condizioni che rendono ragionevole presumere che l’interessato sia già a conoscenza degli elementi essenziali del trattamento.

Tuttavia, la deroga agli obblighi informativi non si applica qualora il titolare intenda trasmettere i dati a ulteriori destinatari, effettuare trasferimenti verso Paesi terzi, attivare processi decisionali automatizzati, oppure quando il trattamento è probabile fonte di rischio elevato ai sensi dell’art. 35 GDPR. In tali circostanze, il bisogno di tutela dell’interessato rimane preminente e richiede il rispetto integrale degli obblighi di trasparenza.

Le sorti dell’ePrivacy

A causa dei numerosi cookie banner, si prevedono eccezioni al divieto di memorizzare o accedere ai dati personali sugli utenti. EDPB ed EDPS auspicano soluzioni normative per ridurre il consenso e la presenza di cookie banner, preferendo la pubblicità contestuale e proponendo deroghe con garanzie. La supervisione spetterà alle autorità di protezione dati.

La proposta aggiorna il rapporto tra GDPR e Direttiva ePrivacy su cookie e tecnologie di tracciamento: le regole di conservazione e accesso ai dati passano dal cuore dell’art. 5(3) della Direttiva al GDPR con i nuovi artt. 88a e 88b. L'art. 88a chiarisce il consenso, mentre l'art. 88b introduce per la prima volta un quadro per segnali automatici di consenso vincolanti per i fornitori online. Contestualmente, vengono abrogati l’art. 4 della Direttiva e disposizioni obsolete, tra cui gli obblighi nazionali di notificazione delle violazioni, superati dal GDPR.

L’opinione del presidente dell’EDPB e del Garante europeo

Il Presidente dell’EDPB, Anu Talus, sottolinea che la semplificazione normativa è utile per la competitività UE, ma non deve ridurre la protezione dei diritti fondamentali. L'EDPB e l'EDPS si oppongono alle modifiche proposte della definizione di dati personali, considerandole rischiose e non conformi alla giurisprudenza. Accolgono iniziative per maggior coerenza e certezza del diritto, ma raccomandano attenzione a possibili indebolimenti delle tutele. Un innalzamento della soglia di rischio e tempi più lunghi per la notifica delle violazioni potrebbe semplificare la gestione senza compromettere la tutela dei dati. Si apre così una riflessione sull’evoluzione della protezione dati in Europa. E’ l’ora di semplificare il GDPR