Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno adottato un parere congiunto sulla proposta di regolamento Digital omnibus.
La proposta di Digital Omnibus modifica un ampio corpus della legislazione digitale dell’UE, tra cui il GDPR, il Regolamento sul portale digitale unico, il Regolamento EUDPR, il Data Act, la Direttiva ePrivacy, la Direttiva sulla sicurezza delle reti e dell’informazione, la NIS 2 e il Data Governance Act.
L’EDPB e l’EDPS sostengono l’obiettivo della Proposta di semplificare la conformità al regolamento digitale, rafforzare l’effettivo esercizio dei diritti individuali e promuovere la competitività dell’UE: in particolare, sottolineano l’importanza che le semplificazioni proposte chiariscano gli obblighi e garantiscano la certezza del diritto, mantenendo al contempo la fiducia e un elevato livello di protezione dei diritti e delle libertà individuali.
Le modifiche relative al GDPR nel Digital Omnibus
L’EDPB e l’EDPS accolgono favorevolmente le proposte volte a migliorare armonizzazione, coerenza normativa e certezza del diritto, nonché a ridurre oneri amministrativi non necessari per operatori pubblici e privati.
Esprimono tuttavia forti preoccupazioni in merito:
- alla restrizione della definizione di dato personale, ritenuta lesiva del diritto fondamentale alla protezione dei dati e non coerente con la giurisprudenza della CGUE
- alla disciplina sulla pseudonimizzazione, che inciderebbe indebitamente sull’ambito di applicazione della normativa, senza adeguata base giuridica.
In relazione ad alcune innovazioni, il parere riconosce l’obiettivo perseguito, ma richiede adeguamenti:
- uso del legittimo interesse nell’IA, ritenuto già sufficientemente disciplinato
- eccezioni per il trattamento incidentale di dati sensibili nell’addestramento dei sistemi di IA, da delimitare con maggiori garanzie
- limitazioni al diritto di accesso, da collegare esclusivamente a un’intenzione abusiva
- nuove deroghe in materia di trasparenza, da chiarire per garantire effettiva tutela degli interessati
- decisioni automatizzate, per le quali deve restare il divieto generale, con eccezioni rigorosamente motivate.
Viene infine sostenuta la necessità di un allineamento tra GDPR ed EUDPR, pur riconoscendo l’opportunità di mantenere alcune differenziazioni.
Modifiche alla direttiva ePrivacy
Le autorità sostengono l’obiettivo di ridurre la “stanchezza da consenso” e la proliferazione dei banner sui cookie, semplificando il quadro normativo.
È valutata positivamente l’introduzione di deroghe limitate al divieto di accesso ai dati nei terminali degli utenti, nonché il rafforzamento del ruolo delle autorità di controllo; persistono tuttavia timori circa la frammentazione normativa derivante dalla separazione delle regole in diversi strumenti giuridici, con conseguente rischio di incertezza applicativa.
Si sottolinea la necessità di attribuire alle autorità poteri correttivi effettivi e di valutare un’eccezione per la pubblicità contestuale.
Modifiche all’acquis in materia di dati
L’EDPB e l’EDPS apprezzano la semplificazione normativa e l’integrazione del DGA e della direttiva Open Data nel Data Act, in quanto funzionale a una maggiore coerenza regolatoria.
Raccomandano di:
- chiarire che non sussiste un obbligo generale di concedere accesso ai dati personali
- limitare la condivisione in situazioni emergenziali a dati pseudonimizzati, in assenza di alternative anonime
- rafforzare le garanzie nei servizi di intermediazione e altruismo dei dati.
In materia di enforcement, viene richiesta una cooperazione strutturata tra autorità competenti e un chiarimento delle rispettive competenze: si propone di attribuire alla Commissione il potere generale di adottare linee guida, in coordinamento con EDPB ed EDIB.
