Digital Omnibus: il parere congiunto EDPB-EDPS tra semplificazione normativa e nuovi rischi per la protezione dei dati

Data Governance & Data Protection

Il 10 febbraio 2026 l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS) hanno adottato il Joint Opinion 2/2026 sulla proposta di regolamento nota come Digital Omnibus, con cui la Commissione europea intende semplificare il quadro normativo digitale dell’Unione intervenendo, tra l’altro, su GDPR, direttiva ePrivacy, Data Act e Data Governance Act. 

L’iniziativa nasce con un obiettivo dichiarato di razionalizzazione del digital rulebook europeo: ridurre gli oneri amministrativi per imprese e pubbliche amministrazioni, migliorare la coerenza tra le diverse normative digitali e favorire lo sviluppo dell’economia dei dati. 

Nel loro parere, tuttavia, EDPB ed EDPS adottano una posizione articolata. Da un lato accolgono favorevolmente alcune misure di semplificazione – come l’introduzione di modelli comuni per le notifiche di data breach e per le DPIA, o la definizione più chiara di “ricerca scientifica” nel contesto del GDPR – che potrebbero contribuire a una maggiore armonizzazione applicativa tra Stati membri. 

Dall’altro lato, le autorità europee sollevano forti preoccupazioni su alcune modifiche sostanziali al GDPR, ritenute potenzialmente idonee a ridurre il livello di tutela dei diritti fondamentali. In particolare, il parere critica la proposta di riformulare la definizione di “dato personale”, osservando che una definizione costruita in negativo – basata sull’impossibilità per una determinata entità di identificare l’interessato – rischierebbe di restringere in modo significativo l’ambito di applicazione della normativa e di creare nuove incertezze interpretative. 

Analoghe riserve riguardano l’idea di demandare alla Commissione l’adozione di atti di esecuzione per stabilire quando dati pseudonimizzati possano essere considerati non personali: secondo EDPB ed EDPS, una simile scelta inciderebbe direttamente sulla portata materiale del GDPR e dovrebbe restare nell’ambito interpretativo delle autorità di controllo e della giurisprudenza. 

Il parere affronta inoltre alcuni nodi emergenti dell’economia dei dati, tra cui il ricorso al legitimate interest nel contesto dello sviluppo e dell’uso di sistemi di intelligenza artificiale e l’introduzione di una deroga per il trattamento incidentale di categorie particolari di dati durante l’addestramento dei modelli. Anche in questo caso, le autorità europee invitano il legislatore a delimitare con maggiore precisione le condizioni applicative e a rafforzare le garanzie per gli interessati. 

Nel complesso, il parere restituisce l’immagine di una tensione ormai strutturale nel diritto digitale europeo: la ricerca di semplificazione normativa e competitività economica da un lato, la salvaguardia del modello europeo di protezione dei dati dall’altro.

Per le organizzazioni, il Digital Omnibus rappresenta quindi non solo un possibile intervento di “semplificazione”, ma anche un passaggio che potrebbe incidere profondamente sulla struttura stessa del diritto europeo dei dati. In questa prospettiva, il dibattito legislativo che seguirà nei prossimi mesi sarà determinante per comprendere se l’obiettivo di rendere più agile il quadro normativo europeo riuscirà a conciliarsi con la necessità di preservare l’attuale livello di tutela dei diritti fondamentali.

Contratti conclusi tramite interfacce online e diritto di recesso

Diritto di internet

Con il Decreto Legislativo 31 dicembre 2025, n. 209, pubblicato in Gazzetta Ufficiale l’8 gennaio 2026, l’Italia ha dato attuazione alla Direttiva (UE) 2023/2673 del Parlamento europeo e del Consiglio del 22 novembre 2023, introducendo rilevanti modifiche alla disciplina dei contratti a distanza conclusi con i consumatori.

Tra le principali novità si segnala l’introduzione, nel Codice del Consumo, di una nuova funzionalità digitale per l’esercizio del diritto di recesso, finalizzata a rendere più semplice e immediato l’esercizio di tale diritto nei contratti conclusi tramite interfacce online.

In particolare, il decreto legislativo modifica l’Articolo 49 del Codice del Consumo, rafforzando gli obblighi informativi a carico del professionista. Prima che il consumatore sia vincolato da un contratto concluso online, il professionista dovrà infatti informarlo non solo delle condizioni, dei termini e delle modalità di esercizio del diritto di recesso, ma anche (ove prevista) dell’esistenza e della collocazione all’interno dell’interfaccia dello strumento digitale che consente di esercitare il recesso.

Il nuovo Articolo 54-bis del Codice del Consumo stabilisce che, nei contratti a distanza conclusi online, il professionista è tenuto a mettere a disposizione del consumatore una modalità digitale che consenta di recedere dal contratto direttamente online. Tale funzionalità deve permettere al consumatore di inserire o confermare agevolmente almeno il proprio nome, gli elementi identificativi del contratto dal quale intende recedere e il mezzo elettronico attraverso il quale ricevere la conferma del recesso.

La funzione di recesso deve essere chiaramente individuabile nell’interfaccia digitale e contrassegnata da una dicitura inequivocabile, quale “recedere dal contratto qui” o formulazione equivalente, rimanere disponibile per tutto il periodo in cui il diritto di recesso può essere esercitato ed essere facilmente accessibile per il consumatore.

Una volta compilata la dichiarazione di recesso, il consumatore deve poterla trasmettere tramite una funzione di conferma indicata con la dicitura “conferma recesso” o equivalente. A seguito dell’invio, il professionista è tenuto a trasmettere al consumatore, senza indebito ritardo, un avviso di ricevimento su supporto durevole contenente il testo della dichiarazione e l’indicazione della data e dell’ora di trasmissione. Il diritto di recesso si considera esercitato tempestivamente se la dichiarazione online è inviata dal consumatore prima della scadenza del termine previsto per il suo esercizio.

Alla luce della nuova disciplina, le imprese che operano nel commercio elettronico dovranno adeguare le proprie interfacce digitali e la documentazione contrattuale, assicurando l’implementazione di una funzionalità di recesso digitale conforme ai requisiti previsti dal nuovo Articolo 54-bis del Codice del Consumo e aggiornando le informative precontrattuali e le condizioni generali di contratto con specifico riferimento alla nuova modalità di esercizio del recesso.

La nuova normativa è entrata in vigore il 23 gennaio 2026 e richiede, per molti operatori, un intervento di revisione delle interfacce di e-commerce e dei relativi processi digitali di gestione del rapporto con i consumatori.

Monitoraggio dei lavoratori e trattamento di dati personali: il Garante interviene su Amazon

Data Protection

Con Provvedimento n. 10224096 del 24 febbraio 2026 (il “Provvedimento”), il Garante per la protezione dei dati personali ha sanzionato Amazon a seguito di un’attività ispettiva congiunta con l’Ispettorato Nazionale del Lavoro, contestando modalità di raccolta e gestione dei dati personali dei lavoratori ritenute incompatibili con i principi del Regolamento (UE) 2016/679 (“GDPR”).

L’Autorità ha esaminato specifici sistemi organizzativi implementati nei centri logistici dell’azienda, rilevando la raccolta e l’organizzazione di dati personali dei lavoratori eccedenti rispetto alla finalità di gestione del rapporto di lavoro. In particolare, tali dati includevano informazioni riconducibili allo stato di salute, all’esercizio di diritti sindacali e ad aspetti della vita personale e familiare dei dipendenti. Tali dati rientrano nelle categorie particolari di cui all’Articolo 9 GDPR e sono soggetti a regime di tutela rafforzato, che ne consente il trattamento solo in presenza di specifici presupposti di liceità e garanzie adeguate.

Secondo l’Autorità, la disponibilità di tali informazioni all’interno dei sistemi aziendali determinava forme di organizzazione e classificazione dei lavoratori sostanzialmente equiparabili a vere e proprie “schedature”, con conseguente rischio di costituzione di dossier individuali suscettibili di incidere sulla gestione del rapporto di lavoro, sulle valutazioni del personale e sull’adozione di provvedimenti disciplinari. In tale contesto, il Garante ha rilevato violazioni dei principi fondamentali della disciplina europea in materia di protezione dei dati personali, in particolare dei principi di minimizzazione, di limitazione delle finalità e di proporzionalità del trattamento.

Il Provvedimento richiama con particolare nettezza l’attenzione sul rischio che sistemi digitali impiegati per finalità organizzative o di gestione del personale possano evolvere in strumenti di raccolta sistematica di dati eccedenti rispetto alle finalità dichiarate. Nel contesto lavorativo, tale rischio è acuito dall’asimmetria strutturale tra datore di lavoro e lavoratore, che impone uno scrutinio particolarmente rigoroso in ordine alla liceità, alla necessità e alla proporzionalità dei trattamenti effettuati.

La decisione assume particolare rilievo per le imprese che adottano sistemi tecnologici avanzati di gestione del personale, quali strumenti di workforce management, piattaforme di HR analytics o sistemi di monitoraggio delle performance. L’integrazione tra diverse fonti informative aziendali – sistemi HR, strumenti di sicurezza, piattaforme operative, canali di segnalazione interna -, può infatti determinare la creazione di ecosistemi informativi complessi nei quali dati relativi ai lavoratori vengono aggregati, correlati e resi accessibili a molteplici livelli organizzativi. In assenza di un’adeguata governance dei dati e di rigorosi criteri di accesso, utilizzo e conservazione, tali architetture possono comportare trattamenti eccedenti o non conformi al principio di necessità.

Il Provvedimento costituisce un ulteriore segnale della crescente attenzione delle Autorità di controllo nei confronti le forme di monitoraggio digitale e di analisi dei dati applicate al contesto lavorativo. In particolare, il Garante ribadisce che l’impiego di tecnologie avanzate nella gestione del personale non può tradursi in forme di profilazione sistematica dei lavoratori né giustificare la raccolta di dati non strettamente pertinenti alle finalità del rapporto di lavoro.

Sul piano della compliance, il caso evidenzia l’importanza di una progettazione dei sistemi aziendali basata sui principi di privacy by design e by default, in particolare quando i trattamenti riguardano dati dei dipendenti o coinvolgono processi automatizzati di analisi delle performance e dell’organizzazione del lavoro. In tali contesti, assume ruolo centrale la valutazione preventiva dei rischi per i diritti e le libertà degli interessati, attraverso strumenti come la valutazione d’impatto sulla protezione dei dati, che consente di individuare e mitigare ex ante possibili criticità derivanti dall’uso di tecnologie di monitoraggio o di analisi dei dati.

Nel suo complesso, il Provvedimento del Garante costituisce un richiamo significativo per le imprese data-driven a verificare con rigore le modalità con cui i dati dei lavoratori vengono raccolti, organizzati e utilizzati all’interno dei sistemi digitali aziendali, assicurando che ciascun trattamento sia strettamente necessario, proporzionato e adeguatamente giustificato sul piano giuridico.

Fascicolo Sanitario Elettronico 2.0: countdown per la scadenza del 31 marzo 2026

Data protection & med regulatory

Il prossimo 31 marzo rappresenta la tappa conclusiva per l’evoluzione della sanità digitale in Italia. Entro questo termine, infatti, scatta l’ultima fase prevista per la piena operatività del Fascicolo Sanitario Elettronico (“FSE 2.0”), istituito con l’Articolo 12 del Decreto-Legge 18 ottobre 2012, in linea con il cronoprogramma di attuazione, che mira a rivoluzionare la gestione dei dati clinici e il rapporto tra strutture, professionisti e assistiti.

Il cronoprogramma per l’implementazione delle funzionalità del FSE 2.0 è stato così articolato, ai sensi dell’Allegato D del Decreto del Ministero della Salute del 7 settembre 2023, modificato dal Decreto del Ministero della Salute del 30 dicembre 2024:

• I Fase (entro il 31 marzo 2025): focalizzata sul diritto all’oscuramento automatico tra prescrizioni e documenti correlati, nonché sulla registrazione delle operazioni per consentirne la visione all’assistito;
• II Fase (entro il 30 settembre 2025): prevede l’identificazione dell’assistito tramite l’Anagrafe Nazionale Assistiti (ANA), la realizzazione del Profilo Sanitario Sintetico e l’oscuramento dei cd. “dati a maggiore tutela”;
• III Fase (entro il 31 marzo 2026): segna la completa alimentazione del FSE con tutti i contenuti previsti nell’articolo 3 del D.M. 7 settembre 2023 (tra cui, referti, prescrizioni di farmaci, cartelle cliniche, verbali di pronto soccorso etc.), che dovrà avvenire entro cinque (5) giorni dall’erogazione della prestazione, includendo anche le prestazioni erogate al di fuori del SSN.

Obblighi per le strutture sanitarie e i professionisti

Tutte le strutture sanitarie private (accreditate o autorizzate) e i professionisti sanitari che operano in autonomia sono equiparati alle strutture pubbliche quanto agli obblighi di alimentazione previsti dal D.M.

Tra i principali adempimenti da porre in essere per non farsi trovare impreparati alla piena applicazione del FSE 2.0, figurano:

1. tempestività: l’alimentazione del FSE 2.0. con i dati previsti (referti, cartelle cliniche, prescrizioni etc.) deve avvenire entro cinque (5) giorni dall’erogazione della prestazione;
2. interoperabilità: i documenti devono essere sviluppati secondo gli standard tecnici nazionali per garantirne la consultazione uniforme nel FSE 2.0;
3. data protection e raccolta dei consensi: i professionisti sanitari sono tenuti ad aggiornare le informative sul trattamento dei dati personali dei propri pazienti, informandoli che la comunicazione al FSE 2.0 è un obbligo di legge; dovranno raccogliere il consenso dell’assistito per la consultazione del fascicolo per le finalità di cura, prevenzione e profilassi e dovranno garantire l’esercizio del diritto all’oscuramento dei documenti dei propri assistiti.

In conclusione, l’imminente scadenza richiede un rapido adeguamento tecnologico e organizzativo. La mancata conformità non solo ostacola il percorso verso una sanità accessibile e data-driven, ma espone i titolari del trattamento a rischi legati alla violazione degli obblighi di legge e della disciplina sulla protezione dei dati personali, con particolare riguardo ai dati sanitari, particolarmente sensibili.

Citazioni giurisprudenziali inesistenti: il Tribunale di Siracusa sanziona l’uso acritico dell’intelligenza artificiale generativa da parte del difensore

Artificial Intelligence

Con sentenza n. 338 del 20 febbraio 2026, il Tribunale di Siracusa ha condannato a responsabilità processuale aggravata la parte attrice ai sensi dell’art. 96, commi 3 e 4, c.p.c. per aver introdotto in giudizio quattro citazioni giurisprudenziali del tutto inesistenti, riconducendo tale condotta all’uso non verificato e acritico di strumenti di intelligenza artificiale generativa.

In particolare, il Tribunale di Siracusa ha rilevato che nessuno dei precedenti giurisprudenziali citati da parte attrice corrispondeva al contenuto reale delle sentenze richiamate: in due casi le pronunce riguardavano materie del tutto estranee, negli altri due le massime erano semplicemente inesistenti.

Per arrivare alla conclusione che parte attrice avesse usato in maniera acritica i contenuti generati da strumenti di intelligenza artificiale, il Tribunale ha proceduto per esclusione: in primo luogo ha scartato l’ipotesi del malfunzionamento delle banche dati professionali; in secondo luogo, ha escluso il mero errore materiale, in quanto massime giurisprudenziali costruite ex novo; infine, ha escluso l’autonoma fabbricazione dei contenuti, in quanto esporrebbe il professionista a conseguenze disciplinari sproporzionate rispetto a qualsiasi vantaggio difensivo. L’unica spiegazione residua secondo il Tribunale, nonché la più coerente, è l’utilizzo di un modello di linguaggio generativo senza sottoposizione degli output a nessun processo di verifica delle fonti. Su questa base, il Tribunale di Siracusa, richiamando il “fatto notorio” della natura inferenziale e probabilistica dei Large Language Models (soggetti al fenomeno delle allucinazioni), ha qualificato come colpa grave, ai sensi dell’art. 96 c.p.c., l’uso acritico di tali strumenti in assenza di riscontro sulle banche dati ufficiali.

È bene ricordare che è la stessa Legge n. 132/2025 sull’intelligenza artificiale a richiedere al professionista di utilizzare tali strumenti esclusivamente a supporto delle sue attività, richiedendo pertanto un processo di controllo e verifica da parte sua.

La pronuncia di Siracusa non è isolata. Il panorama giurisprudenziale recente registra orientamenti differenziati: da un lato, pronunce che hanno applicato l’art. 96 c.p.c. in presenza di atti redatti con il supporto dell’intelligenza artificiale contenenti allegazioni del tutto estranee al thema decidendum o citazioni inconferenti; dall’altro, decisioni che hanno escluso la sanzione nei casi in cui l’uso dell’intelligenza artificiale fosse meramente confermativo di una linea difensiva già impostata e non finalizzato a influenzare fraudolentemente il giudice.