La ridefinizione della nozione di dato personale proposta nel pacchetto Digital Omnibus minaccia la tutela universale prevista dal Gdpr e dalla Carta Ue, introducendo criteri soggettivi legati alla “ragionevole identificabilità” e indebolendo la protezione
In un momento storico in cui i dati personali alimentano ogni aspetto della vita digitale, la proposta di riforma nota come Digital Omnibus rischia di erodere uno dei principi fondanti della protezione dati in Europa: l’universalità del dato personale.
Secondo la bozza di riforma, la definizione di dato personale verrebbe ridefinita in base a un criterio di “ragionevole identificabilità”: non basta più che un’informazione possa riferirsi a una persona, deve esserci una concreta capacità, da parte del titolare del trattamento, di risalire all’identità attraverso mezzi e conoscenze effettivamente accessibili.
Questa modifica, apparentemente tecnica, smuove profondamente gli equilibri concepiti dal Gdpr: si sposta il baricentro dalla natura intrinseca del dato alla prospettiva dell’operatore che lo tratta.
Fino a oggi, il Gdpr aveva adottato un approccio molto inclusivo: “qualsiasi informazione” riferibile a una persona identificata o identificabile poteva qualificarsi come dato personale, indipendentemente dalle sue modalità o dal contesto tecnologico.
La riforma in esame, invece, introduce variabilità: la stessa informazione potrebbe essere considerata “personale” in un contesto dotato di risorse tecniche o dataset ricchi, o non “personale” in un altro, più povero e meno sofisticato. Ciò significa che la tutela giuridica diventerebbe relativa alla capacità del singolo titolare piuttosto che universale, principio una volta cuore della Carta dei diritti fondamentali dell’Unione europea.
Da un punto di vista costituzionale, questa trasformazione solleva più di un interrogativo. L’articolo 8 della Carta Ue garantisce la protezione dei dati personali a “chiunque”, senza discriminazioni legate alle condizioni tecniche o informative dell’operatore.
Se la riforma Digital Omnibus fosse approvata così com’è, si potrebbe frammentare quella tutela, accordandola solo a chi ha mezzi, competenze e conoscenze tali da “ragionevolmente identificare” le persone. Ciò rischia di produrre disparità di tutela e di minare l’uniformità normativa che da sempre è un pilastro del diritto europeo dei dati.
Inoltre, la riforma interferisce in modo problematico con tecniche ormai centrali nell’ecosistema digitale, come le inferenze algoritmiche. Oggi gli algoritmi, analizzando grandi dataset, sono in grado di dedurre relazioni, comportamenti, caratteristiche sensibili (età, opinioni, orientamenti), anche quando i dati di partenza sono pseudonimizzati o apparentemente anonimi.
Eppure, se la nozione di dato personale si basa solo su ciò che un operatore può “ragionevolmente” identificare, molte inferenze potrebbero essere escluse dalla protezione, semplicemente perché il singolo titolare non possiede gli strumenti o le risorse per ricondurre quei dati a una persona. Questo crea un vizio strutturale: il dato che può risultare più invasivo nella vita privata di un individuo potrebbe godere di tutele inferiori solo perché gestito da un soggetto senza mezzi per identificare.
Il concetto di pseudonimizzazione, un principio chiave del Gdpr, viene rimodellato: è ora vista come misura di mitigazione dei rischi, poiché separa i dati identificativi dai dati sensibili. Ma se il criterio di identificabilità diventa relativo alle competenze di ciascun titolare, la distinzione tra dato pseudonimizzato e dato anonimo può perdere sostanza. In altri termini: un dato pseudonimizzato potrebbe non essere più qualificato come “personale” quando il titolare non è considerato in grado di ricondurre l’identità, riducendo così l’ambito di applicazione della protezione.
A ciò si aggiunge una criticità tecnologica: la “ragionevole identificabilità” non tiene realmente conto della dinamica evolutiva delle tecnologie. Ciò che oggi non è identificabile grazie a certe conoscenze o infrastrutture, potrebbe diventarlo domani con sistemi di correlazione dati più potenti, con Intelligenza artificiale, algoritmi predittivi e tecniche di data matching. La bozza non prevede strumenti automatici di salvaguardia per garantire che la tutela si estenda anche a dati che, pur non identificabili in un certo momento, potrebbero esserlo in futuro.
L’interazione di questa riforma con il diritto fondamentale è delicata: l’universalità del dato personale non è solo un principio tecnico, ma un valore costituzionale. Modificare la linfa del concetto significa mettere in discussione non solo l’efficacia delle norme sulla privacy, ma l’intera impostazione garantista che ha guidato il Gdpr. In assenza di limiti interpretativi solidi o correttivi legislativi, il Digital Omnibus potrebbe trasformare la protezione dei dati in una tutela disomogenea, dipendente da ciò che ciascuno operatore è in grado di fare.
Il pacchetto Digital Omnibus è stato proposto ufficialmente e, se tutto andrà secondo i piani, potremmo vedere un’approvazione formale entro l’anno 2026. Per quanto riguarda le parti “critiche” come Ai ad alto rischio e riforme GDPR in merito ai dati, l’applicazione pratica potrebbe partire tra il 2027 e il 2028, in funzione di recepimento nazionale e tempi tecnici. In Italia, la scadenza indicativa per i necessari adeguamenti legislativi è attorno al 2027.
