.jpg)
Aida Ponce Del Castillo
Il Pacchetto Omnibus Digitale è stato costantemente presentato dalla Commissione europea come un esercizio di semplificazione tecnica. Questo argomento è difficile da sostenere: l’Omnibus opera nella sostanza come un intervento di deregolamentazione, rimodellando il diritto digitale dell’UE in modi che indeboliscono le garanzie esistenti.
Questo obiettivo è stato al centro dell’azione dell’attuale Commissione quasi fin dal primo giorno, strettamente associato a strategie di competitività e riduzione dei costi. Nel suo discorso sullo Stato dell’Unione del 2025, la Presidente von der Leyen ha ribadito che «dobbiamo rendere più facile fare impresa in Europa» e che «gli Omnibus che abbiamo messo sul tavolo finora faranno una reale differenza. Meno burocrazia, meno sovrapposizioni, regole meno complesse».
L’intento di questo articolo è dimostrare che il Digital Omnibus applica una logica deregolatoria, indebolendo la protezione non attraverso l’abrogazione formale delle norme esistenti, ma mediante scelte di progettazione regolatoria che redistribuiscono responsabilità, discrezionalità e controllo. L’articolo affronta dapprima uno svantaggio strutturale per i lavoratori e poi alcune modifiche specifiche che derivano direttamente dalla riallocazione delle priorità politiche lontano dai diritti sociali e del lavoro o, come sostiene Alemanno, lontano dagli attori giudiziari e legislativi verso sistemi amministrativi e privati di compliance.
Svantaggi strutturali per i lavoratori e i loro rappresentanti
Formalmente, il Digital Omnibus non modifica l’acquis dell’UE in materia di lavoro. La protezione del lavoro nell’UE è costituzionalmente plasmata dalla partecipazione e dalla rappresentanza collettiva. Gli articoli 152–155 del Trattato sul funzionamento dell’Unione europea riconoscono le parti sociali e istituzionalizzano il dialogo sociale, mentre gli articoli 27 e 28 della Carta dei diritti fondamentali tutelano l’informazione, la consultazione e la contrattazione collettiva. L’articolo 31 della Carta sancisce condizioni di lavoro eque e giuste. Tuttavia, il Digital Omnibus riprogetta la governance digitale dell’UE e la riorienta lontano dai processi collettivi e istituzionali, accelerandone l’individualizzazione. La responsabilità si sposta verso le singole organizzazioni e l’infrastruttura più ampia. Una simile progettazione regolatoria, che tratta la conformità come prevalentemente interna alle organizzazioni, è disallineata rispetto all’architettura procedurale e collettiva attraverso cui la protezione del lavoro nell’UE è destinata a operare nella pratica — in particolare nei luoghi di lavoro guidati dai dati, dove il potere è esercitato tramite sistemi sociotecnici che i lavoratori e i loro rappresentanti non controllano.
Se adottato, l’Omnibus è destinato a indebolire l’effettività dei diritti nel contesto occupazionale. I lavoratori e i loro rappresentanti avranno minori possibilità di ottenere informazioni sufficienti, mettere in discussione le decisioni, ottenerne le motivazioni e contestarle dinanzi alle autorità o ai giudici — e di farlo in tempo per prevenire il danno. Nel contesto lavorativo, dove le asimmetrie informative sono pervasive, l’indebolimento di questa infrastruttura di effettività svantaggerà in modo sproporzionato i lavoratori e le parti sociali.
Modifiche con le implicazioni più significative per il lavoro
Questi effetti strutturali derivano direttamente da specifiche modifiche dell’Omnibus con conseguenze di ampia portata per la protezione dei lavoratori.
La ridefinizione dei dati personali (articolo 4, paragrafo 1, considerando 34 GDPR)
Una delle modifiche proposte dall’Omnibus introduce un cambiamento rilevante nella definizione di dato personale. Attualmente, per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)», mentre «una persona fisica identificabile è quella che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».
La modifica introduce la seguente aggiunta: «Un’informazione relativa a una persona fisica non è necessariamente un dato personale per ogni altra persona o entità, per il solo fatto che un’altra entità possa identificare tale persona fisica. Un’informazione non è personale per una determinata entità qualora tale entità non possa identificare la persona fisica cui l’informazione si riferisce, tenendo conto dei mezzi ragionevolmente suscettibili di essere utilizzati da tale entità. Tale informazione non diventa personale per tale entità per il solo fatto che un potenziale destinatario successivo disponga di mezzi ragionevolmente suscettibili di essere utilizzati per identificare la persona fisica cui l’informazione si riferisce».
Questa modifica proposta dall’Omnibus indebolisce radicalmente il concetto di dato personale e restringe l’ambito materiale della protezione dei dati. Stabilendo che un’informazione non è dato personale per un’entità qualora tale entità non possa identificare l’individuo, anche se un’altra entità può farlo, la proposta rende l’applicabilità del diritto della protezione dei dati dipendente dalla prospettiva del titolare e dei responsabili del trattamento.
Ciò trasforma la definizione di dato personale in una valutazione soggettiva e frammentata. In pratica, quasi qualsiasi insieme di dati può essere qualificato come non personale strutturando il trattamento attraverso più responsabili, fornitori o sistemi. Per i lavoratori, ciò è particolarmente dannoso: i dati dei lavoratori sono abitualmente trattati attraverso catene complesse che coinvolgono datori di lavoro, fornitori di software e altri responsabili del trattamento. In base a questo approccio, ciascun soggetto coinvolto può sostenere di non poter identificare i lavoratori autonomamente, anche laddove l’identificazione sia possibile a livello dell’intero sistema. Di conseguenza, ampie categorie di dati dei lavoratori rischiano di ricadere al di fuori dell’ambito di applicazione del Regolamento generale sulla protezione dei dati, compromettendo la tutela effettiva dei diritti dei lavoratori in materia di dati.
Questo è l’elemento più pericoloso del Digital Omnibus. Rendendo il dato personale un concetto relativo, esso rischia di escludere dalla protezione, per costruzione, ampie porzioni dei dati dei lavoratori. Questa modifica dovrebbe essere respinta senza riserve.
La ridefinizione della ricerca scientifica (articolo 4, paragrafo 38 GDPR)
Un altro concetto che la Commissione intende ridefinire è quello di «ricerca scientifica». L’intento è estendere l’attuale comprensione del concetto fino a ricomprendere «qualsiasi ricerca che possa sostenere l’innovazione, come lo sviluppo e la dimostrazione tecnologica». La modifica aggiunge inoltre che «ciò non esclude che la ricerca possa anche mirare a perseguire un interesse commerciale».
Sebbene i considerando 29–32 della proposta Omnibus sottolineino che la definizione ampliata resta soggetta ai principi e alle garanzie del GDPR, essi non specificano come tali garanzie debbano operare in contesti caratterizzati da asimmetrie di potere, come quello lavorativo, né ricalibrano l’interazione con l’articolo 88 GDPR, che consente agli Stati membri di adottare norme sul trattamento dei dati in ambito occupazionale. Ciò, come osserva NOYB, crea una significativa incertezza giuridica. Altrettanto rilevante è il fatto che viene cancellata la distinzione tra produzione di conoscenza (ricerca) ed esercizio del potere (gestione), consentendo così di qualificare come ricerca il trattamento dei dati sul luogo di lavoro e indebolendo l’essenza del principio di limitazione della finalità nel contesto lavorativo.
Dati sensibili “residuali”
I rischi sollevati dalla ridefinizione di «dato personale» e di «ricerca scientifica» sono aggravati da un’ulteriore modifica dell’Omnibus, che introduce una nuova base giuridica che consente il trattamento di categorie particolari di dati personali per lo sviluppo e il funzionamento dei sistemi di intelligenza artificiale (considerando 33). In pratica, la modifica consente che categorie particolari di dati personali persistano in modo residuale nei set di dati di addestramento, test o validazione o siano conservate nei sistemi o modelli di IA, anche quando tali dati non sono necessari ai fini del trattamento.
La modifica segnala inoltre che, al fine di non ostacolare in modo sproporzionato lo sviluppo e il funzionamento dell’IA e tenendo conto delle capacità del titolare di identificare e rimuovere categorie particolari di dati personali, dovrebbe essere consentita una deroga al divieto di trattamento di tali dati previsto dall’articolo 9, paragrafo 2.
Si tratta di un cambiamento rilevante rispetto alla logica attuale del GDPR, in cui i dati sensibili sono rigorosamente protetti fin dall’inizio. La modifica consente ai dati sensibili di esistere all’interno di modelli e sistemi di IA purché siano qualificati come “residuali”. Di fatto, ciò significa che informazioni altamente sensibili possono essere trattate senza la conoscenza o il controllo effettivo degli interessati.
Inoltre, le garanzie si applicano solo dopo che i dati sensibili sono già entrati nel sistema, e i titolari devono rimuoverli una volta identificati. Questo indebolisce la protezione preventiva — una caratteristica essenziale del GDPR — e privilegia l’efficienza del sistema rispetto ai diritti dei lavoratori. Infine, viene introdotta la nozione di «sforzo sproporzionato» come giustificazione per la mancata rimozione dei dati. Per gli interessati, ciò significa che l’inconveniente tecnico prevale sui loro diritti fondamentali. In pratica, la modifica normalizza un livello inferiore di protezione e la presenza di dati sensibili dei lavoratori in sistemi e modelli di IA utilizzati per la valutazione, il monitoraggio e il processo decisionale.
Il processo decisionale automatizzato come necessità contrattuale (articolo 22, paragrafi 1 e 2 GDPR)
Secondo l’interpretazione precedente dell’articolo 22, il processo decisionale automatizzato era consentito solo quando era necessario per l’esecuzione di un contratto e non era disponibile alcuna alternativa non automatizzata. Una modifica dell’Omnibus propone di alterare questa logica e di consentire il processo decisionale automatizzato anche quando una decisione potrebbe essere adottata senza mezzi automatizzati.
Ciò spezza il nesso tra automazione e necessità e consente ai titolari di ricorrere al processo decisionale automatizzato come scelta operativa, anziché come misura indispensabile. La modifica elimina l’obbligo di valutare l’esistenza di alternative meno intrusive. Questo crea un incentivo all’espansione dell’automazione, in particolare in contesti quali il reclutamento, la valutazione delle prestazioni e la cessazione del rapporto di lavoro. Per i lavoratori, ciò può comportare una maggiore esposizione a decisioni automatizzate con un coinvolgimento umano significativo limitato e minori opportunità di contestare gli esiti. Dal punto di vista della protezione dei lavoratori, la modifica dell’articolo 22 non dovrebbe procedere nella sua forma attuale.
Il diritto di accesso (articolo 15 GDPR)
Le modifiche dell’Omnibus introducono inoltre limitazioni al diritto di accesso, consentendo ai titolari di limitare o rifiutare le richieste di accesso per motivi quali lo sforzo sproporzionato o la ripetitività. Sebbene presentate come eccezionali, tali limitazioni sono formulate in termini ampi e rischiano di diventare routinarie in ambienti caratterizzati da trattamenti dei dati complessi.
Il diritto di accesso funziona come un diritto-chiave, consentendo alle persone di comprendere e contestare il trattamento dei dati, inclusi la profilazione e il processo decisionale automatizzato. Esso è una condizione preliminare per l’esercizio effettivo degli altri diritti in materia di protezione dei dati, come confermato dalla giurisprudenza della Corte di giustizia dell’Unione europea e dagli orientamenti del Comitato europeo per la protezione dei dati. Nei contesti lavorativi, dove le asimmetrie informative sono strutturali, le richieste di accesso sono spesso l’unico mezzo a disposizione dei lavoratori e dei loro rappresentanti per far emergere pratiche di gestione basate sui dati. Esse costituiscono la condizione funzionale per quasi ogni forma di protezione significativa contro la gestione data-driven.
La progettazione regolatoria come fattore di indebolimento dell’enforcement
Il Digital Omnibus è presentato come una semplificazione tecnica, eppure sostituisce soglie giuridiche chiare con valutazioni dipendenti dal contesto. Come osserva NOYB, ciò sposta l’onere interpretativo sulle autorità di controllo, che devono valutare le rivendicazioni di anonimizzazione, i test di proporzionalità, la qualità della ricerca scientifica e le garanzie specifiche per l’IA senza risorse aggiuntive. Il problema non è la capacità istituzionale di affrontare valutazioni complesse, ma l’effetto cumulativo di una progettazione regolatoria che moltiplica tali valutazioni riducendo al contempo la leva procedurale delle persone interessate.
Nei contesti lavorativi, dove le asimmetrie di potere limitano già i reclami individuali, un enforcement ritardato o indebolito compromette l’effettività pratica dei diritti. La stessa dinamica incide sull’interazione con l’AI Act, poiché il diritto della protezione dei dati resta uno strato fondamentale di enforcement per l’IA nei luoghi di lavoro ai sensi dell’AI Act — il che significa che i diritti formali possono persistere, ma la loro effettiva applicabilità diventa più incerta e frammentata.
Conclusione
Il Digital Omnibus applica una logica deregolatoria, indebolendo la protezione non attraverso l’abrogazione formale delle norme esistenti, ma mediante scelte di progettazione regolatoria che redistribuiscono responsabilità, discrezionalità e controllo. Restringendo l’ambito dei dati personali, ampliando il concetto di ricerca scientifica e consentendo il trattamento residuale di dati sensibili nei sistemi di IA, esso erode l’effettività e la leva procedurale dei diritti. Combinati con valutazioni dipendenti dal contesto che aumentano l’onere interpretativo per le autorità, questi cambiamenti svantaggiano in modo sproporzionato i lavoratori — in particolare nei luoghi di lavoro data-driven e caratterizzati da asimmetrie di potere. In questo senso, l’Omnibus rappresenta un esempio di deregolamentazione attraverso il design: i diritti restano sulla carta, ma la loro effettività diventa più limitata, frammentata e incerta.
Aida Ponce Del Castillo è ricercatrice senior presso l’European Trade Union Institute
* Questo articolo è stato pubblicato originariamente su Social Europe il 4 febbraio 2026
