Digital Omnibus: la grande semplificazione Ue che rischia di indebolire la protezione dei dati. Favorite le Big Tech?
Oggi il trilogo europeo — il negoziato tra Consiglio dell’Unione europea, Parlamento europeo e Commissione europea — ha dato il via libera al Digital Omnibus, il grande pacchetto di semplificazione normativa con cui Bruxelles promette di rendere l’Europa “più semplice e veloce”.
Ma dietro questa operazione di “pulizia tecnica” del digital acquis, il corpus legislativo europeo sul digitale, si intravede un cambio di paradigma che potrebbe ridisegnare — al ribasso — alcuni tra i più importanti baluardi regolatori degli ultimi anni: GDPR, AI Act, Data Act, Direttiva e-Privacy e Direttiva NIS2.
Secondo la Commissione, si tratta di un lavoro puramente tecnico per eliminare ridondanze, allineare definizioni e alleggerire gli oneri per imprese e pubbliche amministrazioni. Tuttavia, una lettura più attenta del pacchetto mostra come questa “semplificazione” rischi di tradursi in un indebolimento delle tutele, un aumento delle incertezze e un vantaggio competitivo soprattutto per le grandi piattaforme tecnologiche.
Un paradosso, se si considera che la narrazione ufficiale punta a “sostenere la crescita e la competitività delle imprese europee”.
Che cos’è il Digital Omnibus
Il Digital Omnibus è l’intervento più ampio mai realizzato sul digital acquis: oltre 150 pagine che toccano quasi tutti i grandi atti legislativi del digitale europeo.
L’obiettivo dichiarato è eliminare sovrapposizioni normative e rendere più chiari gli obblighi per imprese e pubbliche amministrazioni, dopo anni in cui le nuove norme — dal GDPR al DMA, dal DSA alla NIS2 — si sono accumulate senza un coordinamento organico.
In altre parole, Bruxelles ammette che la stratificazione normativa è diventata un problema in sé, generando:
- costi amministrativi elevati,
- incertezza giuridica,
- difficoltà di applicazione,
- incoerenze tra atti legislativi diversi.
Fin qui, nulla di male: una revisione tecnica era attesa. Il punto è “come” la Commissione ha scelto di risolvere il problema.
Cosa cambia sul GDPR: semplificazione o deregulation mascherata?
Tra le parti più delicate del pacchetto c’è la revisione del GDPR, ancora oggi il regolamento più citato come modello globale di tutela dei dati personali. Il rischio, però, è che la riforma finisca per ridurre proprio quella protezione che ha reso il GDPR uno standard internazionale.
Il problema, come ha spiegato l’avvocato Laura Greco, Studio Legale Giusella Finocchiaro, su Ntplus del Sole 24Ore, sono le “eccezioni”, che vogliono essere introdotte.
Tra gli interventi potenzialmente più problematici emergono:
1. Estensione della categoria dei “dati non personali”
La proposta potrebbe considerare “non personali” dati pseudonimizzati, purché un singolo operatore non sia in grado di reidentificarli. Come ha spiegato Mario Mariniello in un lungo approfondimento su Bruegel.
Ma ciò ignora un fatto elementare: la reidentificazione è spesso possibile tramite correlazione con altre basi dati, anche da parte di attori diversi.
2. Uso di categorie sensibili per l’addestramento dell’AI
Si aprirebbe alla possibilità di usare dati sensibili — come salute, orientamento sessuale o opinioni politiche — purché non vengano “direttamente” rivelati.
Peccato che gli algoritmi possano inferire queste caratteristiche in modo estremamente preciso, anche senza dati dichiarati.
Esempio:
- il genere può essere dedotto da pattern salariali o cronologia di navigazione;
- l’orientamento sessuale è stato inferito con alta accuratezza da immagini facciali.
3. Accesso più difficile ai propri dati
Le persone potrebbero vedersi respingere richieste di accesso, portabilità o opposizione alla profilazione se il titolare ritiene che la richiesta “non sia finalizzata alla protezione dei dati personali”.
Un criterio vago che rischia di impedire l’accesso ai dati anche nei contenziosi di lavoro o in caso di discriminazioni algoritmiche.
4. Raccolta diretta di dati dai dispositivi degli utenti
Il Digital Omnibus potrebbe legittimare pratiche invasive, come l’estrazione di dati dagli smartphone per presunte finalità di sicurezza.
Un terreno scivoloso, perché abbassa la soglia di protezione contro la sorveglianza commerciale e tecnica.
Un regalo per Big Tech, non per l’innovazione europea
Uno dei motivi dichiarati dal Digital Omnibus è la necessità di favorire la competitività delle aziende europee. Ma gli effetti potrebbero essere opposti.
Le grandi piattaforme statunitensi — già dominanti nel mercato europeo — dispongono di risorse, infrastrutture e basi dati tali da trarre enormi vantaggi dall’allentamento dei vincoli su utilizzo ed estrazione dei dati.
Le PMI europee, invece, rischiano di non beneficiare affatto della riforma, perché il divario tecnologico non dipende principalmente dalla regolazione, bensì da: mancanza di competenze, difficoltà di accesso ai capitali, frammentazione dei mercati nazionali, scarsità di dataset europei.
Semplificare gli obblighi non risolve queste criticità, semmai favorisce i player che hanno già un vantaggio competitivo consolidato.
Il gruppo dei Verdi al Parlamento europeo ha accusato Ursula von der Leyen di cedere “sotto la pressione dell’amministrazione Trump e delle lobby delle Big Tech. Mettendo in discussione i nostri successi digitali, l’UE rischia di stendere il tappeto rosso per un modello di business basato su dati rubati, clamore e nessuna considerazione per i diritti umani o il pianeta“, ha dichiarato l’eurodeputata olandese Kim van Sparrentak. Secondo l’eurodeputata ceca Markéta Gregorová.
“La fuga di informazioni sul Digital Omnibus rivela che la Commissione sta lavorando a un piano di portata molto più ampia di quanto annunciato e questo senza una valutazione d’impatto. Ciò solleva seri dubbi sulla sua capacità di valutare adeguatamente le implicazioni per l’applicazione dei nostri diritti fondamentali. Sono sorpresa e preoccupata che il GDPR venga riaperto e indebolito nella sua sostanza“, ha sottolineato l’eurodeputata
Il vento deregolatorio che tira da Washington e passa per Parigi e Berlino
Il contesto geopolitico spiega bene la direzione intrapresa. Negli Stati Uniti, Donald Trump ha chiesto apertamente un “federal standard per deregolare l’AI”, accusando gli Stati di ostacolare la crescita con troppe norme e con approcci “ideologici”, come ha riportato Maria Curi su Axios.
“Gli investimenti nell’intelligenza artificiale stanno contribuendo a rendere l’economia statunitense la più dinamica al mondo, ma l’eccessiva regolamentazione da parte degli Stati minaccia di indebolire questo motore di crescita“, ha scritto Trump su Truth Social.
“Dobbiamo avere un unico standard federale invece di un mosaico di 50 regimi normativi statali. Possiamo farlo in un modo che protegga i bambini e impedisca la censura!”, ha sottolineato Trump.
L’obiettivo è chiaro: permettere alle aziende americane di innovare più rapidamente e senza vincoli.
In Europa, le due principali economie — Francia e Germania — stanno spingendo per un allentamento delle regole sull’AI. Come raccontato da Maximilian Henning su Euractive, entrambe hanno chiesto un “anno di pausa” nell’applicazione delle norme più stringenti dell’AI Act per i modelli ad alto rischio.
Una posizione sostenuta da Svezia e Cechia, ma osteggiata da Spagna e Paesi Bassi.
Il Digital Omnibus si inserisce quindi in un clima politico in cui la disciplina europea sul digitale viene sempre più percepita come un freno, non come un vantaggio competitivo.
Semplificare sì, indebolire no: cosa servirebbe davvero all’Europa
Il paradosso è evidente: mentre la Commissione parla di “chiarezza normativa”, molte delle misure in discussione rischiano di generare più incertezza e più rischi per i cittadini, senza contribuire realmente a rafforzare l’ecosistema europeo dell’AI.
L’alternativa esiste ed è già stata proposta da diversi esperti:
creare una Digital Enforcement Agency europea, un’autorità indipendente capace di:
- applicare in modo uniforme le norme digitali,
- fornire interpretazioni tecniche chiare,
- coordinare le autorità nazionali,
- offrire certezza agli operatori economici.
Non servono meno regole, ma regole più chiare, coerenti e applicate con efficienza.
Una semplificazione che complica
Il Digital Omnibus potrebbe rivelarsi un passaggio storico: non perché semplifichi l’Europa digitale, ma perché rischia di dismettere, pezzo dopo pezzo, i principi fondanti della protezione dei dati e della governance dell’AI in Europa.
Mentre si parla di competitività, si rischia di:
- indebolire il GDPR,
- rendere opaca la gestione dei dati,
- favorire l’espansione incontrollata delle Big Tech,
- aumentare i rischi di discriminazione algoritmica,
- diminuire la fiducia dei cittadini.
Il trilogo di oggi non è un mero passaggio tecnico:
è una scelta politica sull’identità digitale dell’Europa.
La domanda è: continuerà a essere un modello globale di protezione dei dati e innovazione responsabile, o diventerà il terreno di gioco delle grandi piattaforme?
Si rischia di di produrre un quadro normativo frammentato e di incertezza per le imprese
L’ENNHRI, la rete europea che riunisce le istituzioni nazionali indipendenti per i diritti umani, avverte che la proposta Omnibus della Commissione — insieme alle posizioni negoziali di Consiglio e Parlamento — si discosta, in diversi punti, dai principali standard internazionali su imprese e diritti umani. Tra questi, i Principi guida ONU su imprese e diritti umani (UNGPs) e le Linee guida OCSE sulla condotta d’impresa responsabile, oltre che dalle buone pratiche che molte aziende europee stanno già adottando in materia di due diligence ambientale e sociale.
Secondo l’organizzazione europea, tali deviazioni rischiano di produrre un quadro normativo frammentato, generando incertezza per le imprese e vanificando l’occasione di colmare le lacune ancora esistenti. Un passo indietro che potrebbe indebolire la capacità dell’Unione europea di prevenire o contrastare in modo efficace violazioni dei diritti umani e danni ambientali lungo le catene globali del valore.
