Le nuove sfide del GDPR nell’era dell’intelligenza artificiale
Il GDPR è davvero a rischio?
Basta un poco di zucchero e la pillola va giù…
Eh già perché edulcorare ciò che è aspro o amaro facilita la somministrazione delle cose sgradevoli.
Un po’ quello che sta succedendo al GDPR.
Il regolamento sulla protezione dei dati personali sancito dall’Unione Europea nel 2016, ma entrato in vigore solo due anni dopo com’è noto, non era infatti così facile da digerire.
Troppo stringente, troppo rigido, quasi utopistico applicarlo in tutte le sue forme.
E infatti, come previsto da alcuni e anche auspicato da altri, è pronto un pacchetto di riforme che riguarda proprio il regolamento sulla sicurezza dei dati.
Digital Omnibus: il pacchetto UE che tocca GDPR, AI Act e Data Act
Il pacchetto europeo per semplificare le normative digitali
Il pacchetto non riscrive formalmente il GDPR, ma ne tocca gli articoli più sensibili e non è un caso che ciò avvenga in un momento in cui l’AI è diventata prepotentemente presente in ogni passaggio digitale compiuto dagli utenti, siano essi imprese o privati. Questo pacchetto, che prende il nome di Digital Omnibus, è stato proposto dalla Commissione Europea e presentato nel novembre 2025, e interviene su normative come il GDPR, l’AI Act e il Data Act.
L’imperativo è: semplificare è necessario, anche se viene spontaneo chiedersi come mai sia proprio l’UE a muovere una reprimenda verso sé stessa: non potevano accorgersi in precedenza che l’applicabilità del GDPR, così come era stato scritto, risultava alquanto ostica, invece di correre ai ripari dopo quasi dieci anni dalla genesi del regolamento?
Come detto, forse è da imputare all’AI la causa di questo pacchetto, la rapidità dell’evoluzione tecnologica incontra la necessità di fornire certezza giuridica agli operatori del settore. Infatti, esso propone di razionalizzare le regole su dati, cybersecurity e Intelligenza Artificiale.
L’obiettivo è chiaro: ridurre gli obblighi burocratici di reporting per le imprese e armonizzare il quadro normativo digitale.
Il risultato è che la protezione dei dati passa da premessa a componente. La tutela rimane, ma non precede più l’azione, la accompagna e la verifica.
L’Unione Europea sembra pronta a sacrificare alcuni dei capisaldi in materia di privacy per non frenare lo sviluppo dell’AI.
E non desta meraviglia che anche Mario Draghi nel suo rapporto sulla competitività del 2024 abbia citato il Regolamento generale sulla protezione dei dati (GDPR) come un ostacolo all’innovazione europea in materia di Intelligenza Artificiale. Quindi, ancora una volta, occorre trovare un bilanciamento tra la protezione dei dati e i diritti degli sviluppatori di AI.
Dati personali e AI: cosa significa il “subjective approach”
Semplificare senza sacrificare la privacy
Andiamo a vedere concretamente quali sono i “ritocchini” che questo pacchetto vuole fare al GDPR.
Viene introdotto il “subjective approach”: un dato è personale solo se l’organizzazione può “ragionevolmente” identificare la persona. La protezione è limitata ai dati che rivelano direttamente informazioni come salute, opinioni politiche o orientamento sessuale.
Capite bene che quel direttamente entra in contrasto con tutti i “vecchi” principi sulla tutela, perché giungere ai dati in modo “indiretto” con gli strumenti odierni è un gioco da ragazzi!
Le modifiche alla bozza creerebbero nuove eccezioni per le aziende di IA, consentendo loro di elaborare legalmente categorie speciali di dati (come le convinzioni religiose o politiche di una persona, l’etnia o i dati sanitari) per addestrare e gestire le proprie tecnologie. La Commissione sta inoltre pianificando di riformulare la definizione di tali categorie speciali di dati, a cui sono garantite protezioni aggiuntive dalle norme sulla privacy.
I promotori del pacchetto, che sarà sottoposto comunque all’approvazione dei Paesi dell’UE che sono sul tema fortemente divisi, vogliono anche ridefinire cosa s’intenda per dati personali, affermando che i dati pseudonimizzati (nei quali i dati personali sono stati oscurati, in modo che una persona non possa essere identificata) potrebbero non essere sempre soggetti alle protezioni del GDPR.
Le modifiche ai cookie e al consenso nel mondo digitale
Impatti concreti sulle aziende e sui dati personali
Proviamo a comprendere cosa accadrebbe nel quotidiano, il condizionale è d’obbligo in quanto il pacchetto, come detto, deve essere ancora approvato:
Smartphone, auto connesse, assistenti vocali, elettrodomestici intelligenti producono dati che non descrivono solo ciò che facciamo, ma come viviamo. Il GDPR aveva riconosciuto che questo livello di informazione richiede protezione preventiva, perché riguarda la biografia comportamentale della persona. La bozza colloca invece la tutela all’interno di processi verificati dopo l’uso. Il rischio è la normalizzazione della profilazione come condizione del funzionamento dei servizi digitali, non come eccezione da controllare. La profilazione non diventa illegale, diventa quotidiana; la protezione diventa una funzione interna al funzionamento dell’infrastruttura digitale. Non è negata, ma è condizionata al modo in cui piattaforme, amministrazioni e fornitori sono in grado di dimostrare di averla garantita.
Profilazione, cookie e tutela dei dati
Cosa cambia nel quotidiano?
Un’altra modifica proposta riguarda i cookie banner; infatti, i proprietari delle app più utilizzate e dei siti web, avrebbero a disposizione una più ampia protezione legale per giustificare il tracciamento degli utenti al di là del semplice consenso. Sembra che tutto ciò che attiene alla sfera personale debba inchinarsi di fronte al business e alla velocità di questo mondo digitale e a un’Intelligenza Artificiale che ci sta travolgendo, come riscontriamo quotidianamente.
Il bilanciamento tra innovazione e protezione dei dati nell’era digitale
Equilibrio tra innovazione tecnologica e tutela della privacy
In sostanza possiamo affermare che questo pacchetto nasca per consentire la convivenza tra l’ambizione di creare un quadro giuridico stabile e la necessità di adattarsi a un settore in continua evoluzione; ma se il settore è in continua evoluzione, come può il quadro giuridico essere stabile?
