Negli ultimi anni l’Unione europea ha costruito un corpus normativo complesso per regolare la vita digitale, ora punta a riordinarlo con il Digital Omnibus. Il Regolamento Ue per la protezione dei dati ha posto la protezione dei dati al centro, come fondamento dell’Unione; il Digital services act e il Digital markets act hanno definito regole per piattaforme e gatekeeper; il Data act e il Data governance act hanno cercato di disciplinare l’accesso e la circolazione dei dati, l’AI act affronta la delicata questione dei sistemi di intelligenza artificiale. È in questo scenario che la Commissione europea ha cercato di fare ordine attraverso un framework: il Digital Omnibus. Presentato come un intervento di “semplificazione”, l’obiettivo dichiarato è armonizzare, chiarire definizioni, evitare duplicazioni, rendere più facile la conformità per imprese e amministrazioni.Nella bozza che circola in questi giorni, però, la semplificazione non appare come un’operazione neutra, ma si trasforma in vera e propria deregulation. Non si limita a togliere ridondanze o a uniformare termini, sposta il punto di vista da cui si concepisce la protezione dei dati e con esso l’equilibrio tra cittadino e infrastruttura digitale. Non è una riscrittura del Gdpr, il regolamento generale sulla protezione dei dati, ma un cambio di inquadramento. In questo testo la tutela non viene negata, ma diventa funzione del sistema, e non più condizione del sistema.Dalla persona all’infrastrutturaPer capire questo passaggio bisogna partire dal ruolo che il Gdpr aveva attribuito alla persona. Il dato personale non è rilevante perché economicamente utile o tecnicamente trattabile, lo è perché appartiene alla sfera della persona. È questo che ha reso la tutela un diritto, non un compromesso. La bozza del Digital Omnibus non elimina questo principio, ma lo ricolloca. Il trattamento dei dati non viene più costruito a partire dalla volontà dell’interessato, viene integrata all’interno del funzionamento dell’infrastruttura.Il risultato è che la protezione dei dati passa da premessa a componente. La tutela rimane, ma non precede più l’azione, la accompagna e la verifica.La ridefinizione di dato personale e dato sensibileLa definizione giuridica di dato personale, sulla carta, non cambia. Tuttavia, la bozza introduce una logica interpretativa che può ridurre l’ambito effettivo della protezione. Con il Digital Omnibus la qualificazione di un dato come personale dipende, nella pratica, non solo dalla sua identificabilità, ma da ciò che l’organizzazione dichiara di poter individuare. Questo spostamento dal piano tecnico al piano dichiarativo apre un margine significativo. I processi di tracciamento online e la profilazione basati su identificatori persistenti potrebbero essere considerati estranei al perimetro della protezione, perché non “riconducibili direttamente” a una persona dal punto di vista dell’operatore. Non si tratta di una modifica terminologica, ma di una modifica di campo. Ciò che è tecnicamente personale potrebbe diventare, nel concreto, non trattato come tale.Lo stesso meccanismo si evince per i dati sensibili. Il Gdpr ha collocato i dati sensibili nella dimensione della dignità. La loro protezione viene rafforzata perché il rischio riguarda l’integrità della persona. La bozza del Digital Omnibus tende invece a far dipendere quella protezione dalla capacità dell’infrastruttura di gestire correttamente quei dati. La delicatezza non è più intrinseca al dato, ma proporzionale alla qualità del processo che lo governa. La protezione diventa un attributo della gestione, non della persona. È un passaggio dalla tutela preventiva alla tutela validata ex post.Cos’altro prevede il Digital OmnibusUno dei punti più concreti del Gdpr è sempre stato il diritto di accesso, ossia la possibilità di vedere quali dati sono trattati, per quali finalità, con quali effetti. La bozza mantiene questo diritto, ma lo inserisce in procedure uniformi, modulistiche, interfacce centralizzate. L’accesso formalmente rimane, ma diventa mediato. E quando un diritto è mediato, richiede tempo, competenze, numeri di protocollo, attese. A quel punto, il diritto non scompare, ma diventa meno esercitabile.Smartphone, auto connesse, assistenti vocali, elettrodomestici intelligenti producono dati che non descrivono solo ciò che facciamo, ma come viviamo. Il Gdpr aveva riconosciuto che questo livello di informazione richiede protezione preventiva, perché riguarda la biografia comportamentale della persona. La bozza colloca invece la tutela all’interno di processi verificati dopo l’uso. Il rischio è la normalizzazione della profilazione come condizione del funzionamento dei servizi digitali, non come eccezione da controllare. La profilazione non diventa illegale, diventa quotidiana.Il contrasto con la Carta dei dirittiLa Carta dei diritti fondamentali dell’Unione europea, agli articoli 7 e 8, non considera la protezione dei dati personali come un requisito procedurale o come un equilibrio da negoziare con altri interessi. La tutela è riconosciuta come estensione della libertà personale, un diritto originario, che precede l’organizzazione dei servizi e dei sistemi digitali. Per questa ragione, nel modello del Gdpr, la protezione viene prima del trattamento e ne costituisce il limite strutturale.La bozza del Digital Omnibus sposta invece questa logica: la protezione diventa una funzione interna al funzionamento dell’infrastruttura digitale. Non è negata, ma è condizionata al modo in cui piattaforme, amministrazioni e fornitori sono in grado di dimostrare di averla garantita. Il diritto resta, ma la sua efficacia dipende dall’architettura che lo circonda. È qui che la distanza dalla Carta si fa evidente, se un diritto può essere esercitato solo attraverso processi complessi, audit tecnici e verifiche interne, allora non è più un diritto immediato, diventa un diritto che richiede risorse, competenze, tempo.Questo passaggio pesa ancora di più nell'attuale fase dell'evoluzione digitale europea, in cui i dati personali sono diventati materiale di addestramento per modelli di intelligenza artificiale. In questo contesto, la riduzione dell’accessibilità e della trasparenza non è neutra, incide sul modo in cui le persone possono controllare la costruzione delle tecnologie che le riguardano. Come osserva Gabriele Ientile, presidente di Privacy Network, “il progetto di riforma del Gdpr è preoccupante. Rispetto alle bozze precedenti l’approccio è radicalmente cambiato, ma continua a restituire un quadro rivolto alla deregolamentazione in favore di grandi aziende che allo sviluppo di provider e fornitori europei. Preoccupano, in particolare, le misure volte a limitare il diritto e alla trasparenza nel trattamento dei dati personali, i quali dovrebbero essere invece rafforzati, specialmente alla luce dell’introduzione di nuove regole sull’utilizzo dei dati per l’addestramento dei sistemi di intelligenza artificiale.”Il risultato non è la soppressione formale dei diritti, ma la loro progressiva perdita di presa sulla realtà, in un momento in cui avremmo bisogno esattamente del contrario.Una semplificazione che non aiuta chi avrebbe dovuto aiutareLa commissione ha presentato questa riforma come un sostegno alle piccole e medie imprese, spesso sovraccariche di obblighi di conformità. Un modello in cui la tutela è garantita da processi interni complessi, audit continui e gestione strutturata della raccolta dati, però, favorisce inevitabilmente chi ha già la capacità di sostenerla. Le grandi piattaforme tecnologiche dispongono delle risorse organizzative, legali e infrastrutturali per integrare facilmente questo modello. Le piccole e medie imprese, no. Il risultato è che una riforma nata per riequilibrare rischia, al contrario, di rafforzare le posizioni dominanti.Le grandi piattaforme tecnologiche dispongono già delle strutture legali e tecniche necessarie per gestire internamente processi complessi di conformità, mentre le piccole e medie imprese dovrebbero costruirli da zero o esternalizzarli, con costi che non sono sostenibili per tutti. Come ha osservato Max Schrems, fondatore di Noyb, “la bozza non è solo estrema, ma anche mal formulata. Non aiuta le piccole imprese, come promesso, ma avvantaggia soprattutto le big tech”. La semplificazione, così come proposta, rischia quindi di produrre un effetto opposto rispetto a quello dichiarato, consolidando l’asimmetria di potere già esistente nell’economia digitale europea.Una fase ancora apertaÈ importante ricordare che questa versione è ancora una bozza. La pubblicazione del testo completo è attesa per il 19 novembre, dopo di che inizierà l’iter legislativo che coinvolgerà commissione, consiglio e parlamento. La commissione ha quindi una finestra di tempo molto ristretta per decidere se confermare o correggere l’impostazione attuale.La posta in gioco non riguarda solo il linguaggio della normativa, ma la sostanza del rapporto tra cittadino e infrastruttura digitale. La protezione dei dati continuerà certamente a esistere nei testi. La questione è se continuerà a esistere nella pratica. Perché la protezione dei dati personali, nell’Unione Europea, non è un requisito amministrativo, è un diritto fondamentale. E i diritti fondamentali non vivono nelle premesse, ma nella loro applicabilità quotidiana.