Presentato come una "semplificazione", il progetto Digital Omnibus di 156 pagine riscrive le fondamenta del GDPR con implicazioni rilevanti per la governance dei dati e per l'IA. Il suo emendamento più decisivo riguarda l'Articolo 9 sui dati sensibili: limitando la protezione ai dati che "rivelano direttamente" una patologia, il testo declassa tutti gli indicatori indiretti (mobilità, frequenza cardiaca, pattern del sonno, stress comportamentale) al regime generale, meno protettivo.
Questa riclassificazione è strategica perché questi segnali deboli alimentano proprio la profilazione sanitaria predittiva e l'addestramento di modelli di IA senza consenso. Il documento estende inoltre l'interesse legittimo (Articolo 6) a ottimizzazione, rilevamento delle anomalie e miglioramento dei modelli di IA, rendendo il consenso meno centrale per molti utilizzi.
I diritti fondamentali dell'individuo (accesso, rettifica, cancellazione) verrebbero limitati da un criterio di "manifesta eccessività" privo di una definizione chiara, concedendo alle aziende maggiore margine per rifiutare le richieste dei cittadini. Sul piano della governance, l'ENISA (l'agenzia per la cybersicurezza) erediterebbe poteri finora esercitati dalle autorità nazionali di protezione dei dati, centralizzando l'interpretazione giuridica verso un'istituzione tecnica e riducendo le sfumature locali.
Questo progetto risponde in modo contestuale alle critiche americane e alle pressioni dei giganti tecnologici. Simboleggia un tranquillo abbandono della specificità europea che poneva i diritti fondamentali al centro della regolamentazione digitale, a favore dell'allineamento competitivo. I vincitori sono chiaramente identificati: le principali piattaforme tecnologiche, gli attori dell'IA generativa e gli stati industriali che cercano di alleggerire i vincoli regolatori.
I perdenti sono numerosi: i cittadini, i cui diritti diventano contestabili, le PMI di fronte a un quadro giuridico poco chiaro, i DPO (responsabili della protezione dei dati) con mandati indeboliti, e le autorità nazionali private dei loro poteri.
Secondo Max Schrems e altri esperti di protezione dei dati, questa revisione rappresenta una "morte per mille tagli": ogni emendamento isolato appare tecnico e minore, ma cumulativamente essi erodono lo spirito protettivo del GDPR senza clamore mediatico né dibattito pubblico.
La questione politica va oltre il testo stesso: l'Europa sceglie di mantenere la propria posizione di protettrice dei diritti digitali fondamentali, o si allinea al modello americano di sfruttamento massimale dei dati? Per l'AI4Data e la governance dell'IA, questi cambiamenti sono critici: indeboliscono il quadro europeo che costituiva proprio l'elemento distintivo e il vantaggio competitivo basato sulla fiducia.