L’Unione Europea sta avanzando una revisione significativa del suo corpus legislativo digitale, che include il GDPR, l’AI Act, l’e-Privacy Directive e altri strumenti correlati. Secondo le bozze trapelate, le modifiche vanno ben oltre una semplificazione burocratica: ci sono cambiamenti strutturali potenzialmente radicali.
Primo, il GDPR. La Commissione propone di ridefinire cosa si intenda per “dati personali”: non tutti gli identificatori pseudonimi o i dati anonimizzati sarebbero più considerati “personali”, se chi elabora i dati non ha mezzi “ragionevoli” per ricollegarli a un individuo. Questo significa che molti dati oggi protetti potrebbero cadere fuori dal perimetro più stretto della GDPR.
Secondo, i dati “sensibili” come salute, opinioni politiche, orientamento sessuale riceverebbero protezioni meno stringenti: non basterebbe più che queste caratteristiche siano “dedotte” da altri dati, ma dovrebbero essere “rivelate direttamente” per essere trattate come special category data sotto il GDPR. E qui entra in gioco un’altra novità: è prevista una base legale più permissiva per l’uso di dati sensibili nell’addestramento di modelli AI, purché ci siano “garanzie” (ma i contorni di queste garanzie restano nebulosi).
Terzo, il tema dei cookie: la Commissione vuole integrare le regole sui cookie (oggi gestite dall’e-Privacy Directive) direttamente nel GDPR. Alcuni cookie “a basso rischio” non richiederebbero più il pop-up esplicito, e gli utenti potrebbero gestire le proprie preferenze cookie attraverso impostazioni di browser o sistema operativo.Questo dovrebbe ridurre la fastidiosa “cookie banner fatigue”.
Quarto, sull’AI Act: le norme più severe sulle “AI ad alto rischio” vengono rinviate. Le regole che dovevano partire nell’estate del 2026 potrebbero slittare fino a dicembre 2027.Il motivo ufficiale è che non tutti gli “strumenti di supporto” (standard, infrastrutture, normative tecniche) sono ancora pronti.
Altri cambiamenti includono: un’interfaccia unificata per le aziende per segnalare incidenti di cybersecurity, documentazione semplificata per le piccole imprese, e un rafforzamento o centralizzazione dell’autorità di vigilanza sull’AI (AI Office).
La Commissione giustifica tutto con un mix di “taglio della burocrazia”, “competitività” e “spazio per l’innovazione europea”: secondo Henna Virkkunen, vice-presidente esecutiva per la sovranità tecnologica, queste misure daranno ossigeno a start-up e PMI senza compromettere i diritti fondamentali. Ma non tutti ci credono.
Perché è una mossa pericolosa (e per alcuni una resa)
Da un lato, portare più dati — anche sensibili — nel flusso di addestramento AI potrebbe dare un vantaggio competitivo all’Europa. Se le startup possono accedere a dataset più ricchi senza dover fondare ogni uso su un consenso esplicito molto restrittivo, l’innovazione potrebbe accelerare. La riduzione del “rumore” dei banner cookie è anche qualcosa che molti utenti salutano con sollievo.
Dall’altro lato, le organizzazioni per i diritti digitali suonano l’allarme. Gruppi come noyb sostengono che queste modifiche sono “morte per mille tagli” al GDPR: ogni piccola erosione dei principi standard si accumula, e alla fine il quadro normativo che ha reso l’Europa modello di protezione dati rischia di diventare più flessibile ai fini di Big Tech.
In particolare, la ridefinizione di “dato personale” come qualcosa che dipende dalla capacità di una singola entità di identificazione sembra aprire una falla grossa: se un’azienda afferma di non poter “ragionevolmente” riconnettere i dati a una persona, potrebbe trattarli in modo meno restrittivo, anche se quei dati combinati sono potenzialmente ri-identificabili in un contesto diverso.
Anche sul tema cookie, il fatto che alcune basi legali possano diventare “legittimo interesse” significa che il tracciamento potrebbe aumentare di fatto, nonostante la riduzione dei pop-up. Tradotto: meno frizione visibile per l’utente, ma più libertà per le aziende di fare profiling dietro le quinte.
Sul fronte AI, ritardare la regolazione delle AI ad alto rischio significa che per più tempo sistemi potenzialmente pericolosi (per la salute, la sicurezza, i diritti fondamentali) opereranno senza vincoli forti. È una scommessa sulla rapidità con cui l’Europa potrà definire standard tecnici solidi e attuarli.
E poi c’è la questione democratica: alcune voci sostengono che queste bozze siano il risultato di lobby pesanti (Big Tech) più che di un processo trasparente. Le ONG del digitale chiedono di non sacrificare i principi cardine della privacy sull’altare della semplificazione.
Ma cosa succede adesso?
Ora il pacchetto deve passare dal Parlamento Europeo e dagli Stati membri. Serve una maggioranza qualificata, e il dibattito politico potrà introdurre modifiche importanti. Non è affatto detto che tutte le proposte passino così come sono oggi nei documenti trapelati.
Ci saranno negoziati duri: da un lato c’è la pressione politica ed economica a “sbloccare” l’Europa tecnologica; dall’altro attivisti, cittadini preoccupati e parte del Parlamento temono un cedimento sui diritti digitali essenziali.
Alcuni segnali indicano già il conflitto: critici dicono che non si tratta più di “semplificazione”, ma di deregulation soft, con il rischio di indebolire i diritti fondamentali per far spazio all’AI e alle big company.
Perché questo è un momento cruciale
Per decenni, il GDPR è stato il gioiello della regolamentazione europea, un faro globale di privacy. La sua rigidità è stata spesso criticata, ma ha dato all’Europa una credibilità internazionale: se si allenta troppo, il messaggio cambia. Se l’Europa “fa marcia indietro” sulle sue stesse politiche, rischia di minare non solo la fiducia dei cittadini, ma anche la sua immagine geopolitica come baluardo dei diritti digitali.
D’altra parte, la concorrenza globale su AI e cloud è feroce: Stati Uniti e Cina non aspettano certo che Bruxelles resti bloccata in regole metà anni ’10. Dal punto di vista di un leader tecnologico, potresti vedere questo pacchetto come un’opportunità un modo per ridurre attriti normativi per innovare più velocemente con dataset europei, ma il prezzo da pagare è potenzialmente molto alto in termini di privacy e protezione dei dati.