Digital Omnibus e protezione dei dati: il Consiglio dell’Unione europea respinge la svolta soggettiva
Digital Omnibus e protezione dei dati: il Consiglio dell’Unione europea respinge la svolta soggettiva

Digital Omnibus e protezione dei dati: il Consiglio dell’Unione europea respinge la svolta soggettiva

Il nodo interpretativo al centro del pacchetto europeo

Nel dibattito sul Digital Omnibus si è aperta una frattura significativa tra l’obiettivo di semplificare il quadro regolatorio europeo e l’esigenza di preservare l’assetto di tutela costruito dal GDPR. La proposta della Commissione europea, presentata il 19 novembre 2025, ha infatti rimesso in discussione la nozione stessa di dato personale, con effetti potenzialmente incisivi sull’intero sistema di protezione.

Nel corso dell’esame in sede di procedura legislativa ordinaria, il Consiglio dell’Unione europea, con general approach del 13 marzo 2026, ha manifestato un orientamento netto: evitare una modifica della definizione e mantenere ferma l’impostazione vigente, affidando eventuali chiarimenti alle linee guida interpretative delle autorità europee.

Perché la modifica proposta avrebbe cambiato l’assetto del GDPR

Dal criterio oggettivo alla valutazione del singolo titolare

La proposta della Commissione introduceva un criterio marcatamente soggettivo. Un’informazione non sarebbe stata considerata dato personale quando il titolare del trattamento non avesse a disposizione mezzi ragionevoli per identificare l’interessato, anche se tale identificazione fosse possibile per altri soggetti.

Si sarebbe trattato di un passaggio rilevante, perché il GDPR si fonda tradizionalmente su una nozione oggettiva e funzionale di identificabilità, costruita sulla concreta possibilità di ricondurre il dato a una persona fisica, direttamente o indirettamente. Non una mera prospettiva interna del titolare, dunque, ma una verifica più ampia e meno manipolabile.

L’impatto sui dati pseudonimizzati

L’effetto più delicato della riforma avrebbe riguardato i dati pseudonimizzati. In presenza della nuova impostazione, tali dati avrebbero potuto, in determinate circostanze, uscire dal perimetro delle garanzie previste dalla normativa europea, con un evidente restringimento del campo di applicazione del regolamento.

La conseguenza non sarebbe stata soltanto tecnica. Una definizione più elastica avrebbe inciso sulla distribuzione degli obblighi e, soprattutto, sulla tenuta complessiva del sistema di responsabilità del trattamento.

Le obiezioni del Comitato europeo e del Garante europeo

Il rischio di una protezione a geometria variabile

La proposta ha incontrato un’opposizione compatta da parte del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati. Le autorità hanno evidenziato che una nozione “relativa” di dato personale avrebbe prodotto una frammentazione del regime giuridico, consentendo ai titolari di sottrarsi agli obblighi del GDPR sulla base di valutazioni interne e non uniformi circa la possibilità di identificazione.

Un simile approccio, secondo le autorità, avrebbe aperto la strada a un sistema disomogeneo, nel quale la qualificazione del dato dipende dalla posizione concreta del soggetto che lo tratta. È proprio questo il punto critico: la protezione non può dipendere dalla mera convenienza interpretativa del titolare, ma deve restare ancorata a criteri stabili e verificabili.

Il richiamo alla giurisprudenza della Corte di giustizia

Le criticità sollevate si collocano anche in rapporto all’orientamento consolidato della Corte di Giustizia dell’Unione Europea, che ha più volte affermato una nozione ampia e funzionale di dato personale, fondata sulla possibilità, anche indiretta, di identificare l’interessato.

La preoccupazione principale riguarda il rischio di re identificazione da parte di terzi e la conseguente esposizione delle persone a trattamenti non controllati. In un contesto di circolazione intensiva delle informazioni, la distinzione tra dato personale e dato non personale non può essere affidata a una prospettiva troppo ristretta. Non può esserlo, davvero non può esserlo.

La reazione del Consiglio dell’Unione europea

Il rifiuto di introdurre nuove aree di incertezza

Nel corso dei lavori preparatori, numerosi Stati membri hanno espresso contrarietà alla modifica proposta, temendo la creazione di “zone franche” nel trattamento dei dati. L’orientamento emerso nel Consiglio va quindi nella direzione di espungere la nuova definizione dal testo, evitando di alterare un concetto cardine dell’ordinamento europeo.

La scelta appare orientata a preservare la coerenza sistematica del GDPR e a impedire che un intervento di semplificazione finisca per produrre incertezza applicativa. In materia di protezione dei dati, una nozione essenziale non può essere rimodellata senza conseguenze sull’intero impianto regolatorio.

Il ruolo delle linee guida interpretative

In luogo di una revisione normativa, il Consiglio sembra privilegiare il ricorso a strumenti interpretativi adottati a livello europeo. Tale soluzione consentirebbe di fornire chiarimenti operativi senza incidere direttamente sulla definizione di dato personale, garantendo maggiore uniformità tra gli Stati membri e riducendo il rischio di letture divergenti.

Si tratta di un equilibrio prudente, costruito per conservare stabilità e prevedibilità. E proprio la prevedibilità rappresenta uno dei presupposti essenziali della conformità in ambito digitale.

Semplificazione regolatoria e tutela dei diritti fondamentali

La vicenda del Digital Omnibus si inserisce in un quadro più ampio, che comprende anche interventi sull’AI Act e sull’architettura complessiva della data economy. La tensione tra semplificazione e garanzia dei diritti emerge con particolare evidenza proprio quando si tenta di rivedere categorie giuridiche fondamentali.

Il confronto tra Commissione, Consiglio e Parlamento evidenzia un interrogativo di fondo: fino a quale punto è possibile ridurre gli oneri regolatori senza indebolire il livello di protezione assicurato ai cittadini? La linea seguita dal Consiglio sembra orientata a evitare scelte di rottura, confermando l’impianto esistente e demandando ogni affinamento a strumenti interpretativi meno invasivi.

Resta così aperta la fase negoziale tra le istituzioni europee, nella quale si definirà l’assetto finale del pacchetto e la misura in cui innovazione normativa e protezione dei diritti potranno coesistere nello stesso quadro regolatorio.

L’articolo Digital Omnibus e dato personale: il Consiglio UE frena sulla definizione “soggettiva” proviene da Iusletter.