La Commissione Europea sta lavorando a una profonda revisione del regolamento generale sulla protezione dei dati, il GDPR. Secondo una bozza trapelata del pacchetto legislativo “Digital Omnibus”, Bruxelles vorrebbe semplificare il consenso ai cookie e permettere alle aziende di utilizzare dati personali per l’addestramento dell’intelligenza artificiale, invocando il “legittimo interesse” come base giuridica. Una mossa che, per le organizzazioni per i diritti digitali, rischia di svuotare di senso il principio su cui si fonda la privacy europea.
Le critiche delle associazioni digitali
Le reazioni non si sono fatte attendere. L’organizzazione European Digital Rights (EDRi) ha denunciato quella che considera una svolta preoccupante: un tentativo di semplificazione che, di fatto, sposta il baricentro dalla tutela del cittadino alla convenienza dell’impresa. Secondo EDRi, il “nuovo” GDPR non rappresenta un’evoluzione, ma una regressione che indebolisce le garanzie conquistate in anni di battaglie per la privacy. Nel loro comunicato, le ONG accusano la Commissione di voler approfittare della cosiddetta “fatica da cookie” per smantellare il sistema del consenso preventivo, trasformando il modello europeo da opt-in a opt-out. In altre parole, le aziende potrebbero raccogliere e trattare dati personali finché gli utenti non si oppongono esplicitamente. Un cambiamento di paradigma che, secondo molti giuristi, rovescia la logica del controllo dei dati, restituendo potere alle piattaforme e togliendolo agli individui.
Un conflitto tra innovazione e diritti
La Commissione giustifica la riforma come un passo verso una maggiore “coerenza normativa” tra GDPR, Direttiva ePrivacy e AI Act. Nelle intenzioni di Bruxelles, si tratta di semplificare regole frammentate e ridurre gli oneri per le imprese, in modo da favorire la competitività digitale europea. Ma per le associazioni dei diritti digitali, questa razionalizzazione rischia di avere un prezzo troppo alto: l’indebolimento della fiducia.
La possibilità di usare dati personali per addestrare sistemi di intelligenza artificiale senza consenso esplicito, anche quando il trattamento è giustificato come “legittimo interesse”, solleva interrogativi sulla reale capacità dei cittadini di controllare le proprie informazioni. Il European Law Institute ha espresso riserve simili, ricordando che ogni revisione del GDPR dovrebbe servire a chiarire ambiguità applicative, non a ridurre la protezione dei diritti fondamentali. Il cuore del problema, come spesso accade, è politico. Fino a che punto l’Europa è disposta a sacrificare la sua identità normativa per inseguire l’innovazione?
Cookie, AI e il rischio di una privacy “a posteriori”
Il trasferimento della disciplina dei cookie dall’ePrivacy al GDPR rappresenta uno dei punti più controversi. L’attuale obbligo di consenso verrebbe sostituito da un sistema che consente il tracciamento per “finalità a basso rischio”, anche senza l’autorizzazione preventiva dell’utente. In teoria, gli individui manterrebbero il diritto di opporsi, ma nella pratica si troverebbero a difendere la propria privacy dopo che i dati sono già stati raccolti. Questo approccio, per le ONG, ribalta l’essenza stessa del GDPR: la tutela preventiva. Nel frattempo, la Commissione assicura che la riforma non ridurrà la protezione dei cittadini e che l’obiettivo è “favorire l’innovazione responsabile”. Ma i tempi e le modalità della consultazione hanno sollevato nuovi dubbi. Le organizzazioni denunciano un processo poco trasparente, con scadenze troppo brevi e un confronto quasi esclusivamente con rappresentanti dell’industria tecnologica.
Un equilibrio da ritrovare
Il dibattito sul Digital Omnibus è appena iniziato, ma mette già in luce una frattura profonda tra chi difende l’idea di un’Europa digitale basata sui diritti e chi chiede più libertà per le imprese. Per i professionisti del digitale e del diritto, la sfida è doppia. Da un lato si dovranno comprendere le implicazioni concrete di questa riforma e, dall’altro, si dovrà provare a contribuire a definire un equilibrio sostenibile tra innovazione e protezione dei dati.
