Il pacchetto Digital Omnibus è stato presentato dalla Commissione europea come un esercizio di semplificazione tecnica, ma è difficile sostenerlo: l’Omnibus è di fatto un intervento di deregolamentazione, che revisiona la legislazione digitale dell’UE indebolendo le garanzie esistenti.

In realtà, l’obiettivo della Commissione attuale è stato questo, fin quasi dal primo giorno, ed è strettamente associato alle strategie di competitività e riduzione dei costi. Nel suo discorso sullo stato dell’Unione del 2025, la presidente von der Leyen ha ribadito che “dobbiamo rendere più facile fare impresa in Europa” e che “gli Omnibus che abbiamo presentato finora faranno davvero la differenza. Meno burocrazia, meno sovrapposizioni, meno regole complesse”.

Lo scopo di questo articolo è dimostrare che l’Omnibus digitale applica una logica di deregolamentazione, indebolendo la protezione senza abrogare formalmente le norme esistenti, ma attraverso una progettazione normativa che ridistribuisce responsabilità, discrezionalità e supervisione. L’articolo esamina gli effetti strutturali negativi sui lavoratori e alcune modifiche specifiche che o riallocano le priorità politiche a scapito dei diritti sociali e del lavoro o, come sostiene Alemanno, le sottraggono agli organi giudiziari e legislativi per affidarle a sistemi di amministrativi e privati di controllo.

Svantaggi strutturali per i lavoratori e i loro rappresentanti. Formalmente, il Digital Omnibus non modifica l’acquis comunitario in materia di lavoro. La protezione del lavoro nell’UE è costituzionalmente basata sulla partecipazione e sulla rappresentanza collettiva. Gli articoli 152-155 del Trattato sul Funzionamento dell’Unione Europea riconoscono le parti sociali e istituzionalizzano il dialogo sociale, mentre gli articoli 27 e 28 della Carta dei diritti fondamentali tutelano l’informazione, la consultazione e la contrattazione collettiva. L’articolo 31 della Carta afferma il diritto a condizioni di lavoro eque e giuste.

Tuttavia, il Digital Omnibus ridisegna la governance digitale dell’UE e la riorienta allontanandola dai processi collettivi e istituzionali, rafforzando l’individualizzazione. La responsabilità si sposta verso le singole organizzazioni e l’infrastruttura più ampia. Una tale progettazione normativa, che considera la conformità come principalmente interna alle organizzazioni, non è in linea con l’architettura procedurale e collettiva attraverso la quale la protezione del lavoro nell’UE dovrebbe operare nella pratica, specialmente nei luoghi di lavoro basati sui dati, dove il potere è esercitato attraverso sistemi sociotecnici che i lavoratori e i loro rappresentanti non controllano.

Se adottato, l’Omnibus rischia di indebolire l’applicabilità dei diritti nel contesto lavorativo. I lavoratori e i loro rappresentanti avranno meno possibilità di ottenere informazioni adeguate, di contestare le decisioni, ottenere motivazioni e impugnare le decisioni stesse dinanzi alle autorità o ai tribunali, e di farlo in tempo utile per prevenire danni. In un contesto lavorativo nel quale asimmetrie informative sono diffuse, l’indebolimento di questa infrastruttura di applicabilità svantaggerà in modo sproporzionato i lavoratori e le parti sociali.

Modifiche che hanno le implicazioni più significative per il lavoro. Questi effetti strutturali derivano direttamente da specifici emendamenti dell’Omnibus con conseguenze di vasta portata per la protezione dei lavoratori.

La ridefinizione dei dati personali (articolo 4, paragrafo 1, considerando 34 del GDPR). Una delle proposte dell’Omnibus introduce un cambiamento importante nella definizione di dati personali. Attualmente, i dati personali sono definiti come “qualsiasi informazione concernente una persona fisica identificata o identificabile (‘interessato’)”, mentre “una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come un nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più fattori specifici dell’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona fisica”.

La modifica introduce la seguente aggiunta: “Le informazioni relative a una persona fisica non sono necessariamente dati personali per ogni altra persona o entità, semplicemente perché un’altra entità può identificare tale persona fisica. Le informazioni non sono personali per un determinato soggetto se tale soggetto non è in grado di identificare la persona fisica a cui si riferiscono, tenendo conto dei mezzi che tale soggetto potrebbe ragionevolmente utilizzare. Tali informazioni non diventano personali per tale soggetto semplicemente perché un potenziale destinatario successivo dispone di mezzi che potrebbero ragionevolmente essere utilizzati per identificare la persona fisica a cui si riferiscono”.

La modifica Omnibus proposta indebolisce sostanzialmente il concetto di dati personali e restringe l’ambito di applicazione materiale della protezione dei dati. Affermando che le informazioni non sono dati personali per un’entità che non è in grado di identificare l’individuo, anche se un’altra entità è in grado di farlo, la proposta subordina l’applicabilità della legge sulla protezione dei dati al punto di vista del titolare e dei responsabili del trattamento.

Ciò rende la definizione di dati personali soggettiva e frammentaria. In pratica, quasi tutti i set di dati possono essere considerati non personali affidando il trattamento a più responsabili, più fornitori o sistemi. Per i lavoratori, ciò è particolarmente dannoso: i dati dei lavoratori vengono regolarmente trattati attraverso catene complesse che coinvolgono datori di lavoro, fornitori di software e altri responsabili del trattamento. Secondo questo approccio, ciascuna delle parti coinvolte può affermare di non essere in grado di identificare i lavoratori da sola, anche se l’identificazione è possibile nell’ambito del sistema nel suo complesso. Di conseguenza, ampie categorie di dati dei lavoratori rischiano di non rientrare nell’ambito di applicazione del regolamento generale sulla protezione dei dati, compromettendo l’efficace protezione dei diritti dei lavoratori in materia di dati.

Questo è l’elemento più pericoloso del Digital Omnibus. Rendendo i dati personali un concetto relativo, si rischia di escludere gran parte dei dati dei lavoratori dalla protezione fin dalla progettazione. Questo emendamento dovrebbe essere respinto senza riserve.

La ridefinizione della ricerca scientifica (articolo 4, paragrafo 38, del GDPR). Un altro concetto che la Commissione intende ridefinire è quello di “ricerca scientifica”. L’intenzione è estendere l’attuale interpretazione per includere “qualsiasi ricerca che possa sostenere l’innovazione, come lo sviluppo tecnologico e la sperimentazione”. L’emendamento aggiunge inoltre che “ciò non esclude che la ricerca possa anche mirare a promuovere un interesse commerciale”.

Sebbene i “considerando” da 29 a 32 della proposta Omnibus sottolineino che la definizione ampliata rimane soggetta ai principi e alle garanzie del GDPR, essi non specificano come tali garanzie dovrebbero operare in contesti di asimmetria di potere come quello lavorativo, né rivedono l’interazione con l’articolo 88 del GDPR, che consente agli Stati membri di adottare norme per il trattamento dei dati nel settore dell’occupazione. Ciò, come sottolinea la NOYB, crea una significativa incertezza giuridica. Altrettanto importante è il fatto che viene cancellata la distinzione tra produzione di conoscenza (ricerca) ed esercizio del potere (gestione), consentendo così di caratterizzare il trattamento dei dati sul posto di lavoro come ricerca e indebolendo il concetto essenziale di limitazione delle funzioni nel posto di lavoro.

Dati sensibili “residuali”. I rischi sollevati dalla ridefinizione dei “dati personali” e della “ricerca scientifica” sono aggravati da un altro emendamento Omnibus, che introduce una nuova base giuridica per il trattamento di categorie particolari di dati personali per lo sviluppo e il funzionamento dei sistemi di IA (considerando 33). In pratica, l’emendamento consente alle categorie speciali di dati personali di essere accessibili in modo residuale nella formazione, nel collaudo o nella convalida di set di dati o di essere conservate nei sistemi o modelli di IA, anche quando tali dati non sono necessari ai fini del trattamento.

L’emendamento segnala inoltre che, al fine di non ostacolare in modo sproporzionato lo sviluppo e il funzionamento dell’IA e tenendo conto delle capacità del titolare del trattamento di identificare e rimuovere categorie particolari di dati personali, dovrebbe essere consentita una deroga al divieto di trattamento di categorie particolari di dati personali di cui all’articolo 9, paragrafo 2.

Si tratta di un cambiamento significativo rispetto all’attuale logica del GDPR, in cui i dati sensibili sono rigorosamente protetti fin dall’inizio. L’emendamento consente la presenza di dati sensibili all’interno dei modelli e dei sistemi di IA, purché siano descritti come “residuali”. Di fatto, ciò significa che informazioni molto sensibili possono essere trattate all’insaputa o senza un controllo effettivo da parte degli interessati.

Inoltre, le garanzie si applicano solo dopo che i dati sensibili sono già stati inseriti nel sistema e i responsabili del trattamento devono rimuoverli una volta identificati. Ciò indebolisce la protezione preventiva, una caratteristica essenziale del GDPR, e privilegia l’efficienza del sistema rispetto ai diritti dei lavoratori. Infine, viene introdotto il concetto di “sforzo sproporzionato” come motivo per non rimuovere i dati. Per gli interessati, ciò significa che gli inconvenienti tecnici prevalgono sui loro diritti fondamentali. In pratica, l’emendamento normalizza un livello di protezione inferiore e la presenza di dati sensibili dei lavoratori nei sistemi e nei modelli di IA utilizzati per la valutazione, il monitoraggio e il processo decisionale.

Processo decisionale automatizzato come necessità contrattuale (articolo 22, paragrafi 1 e 2, del GDPR). In base alla precedente interpretazione dell’articolo 22, il processo decisionale automatizzato era consentito solo se necessario per l’esecuzione di un contratto e non erano disponibili alternative non automatizzate. Un emendamento Omnibus propone di modificare questa logica e consentire il processo decisionale automatizzato anche quando una decisione può essere presa senza mezzi automatizzati.

Ciò rompe il legame tra automazione e necessità e consente ai responsabili del trattamento di utilizzare il processo decisionale automatizzato in base a una scelta operativa e non perchè indispensabile. L’emendamento elimina l’obbligo di valutare se esistono alternative meno invasive. Ciò crea un incentivo ad espandere l’automazione, in particolare in contesti quali l’assunzione, la valutazione delle prestazioni e la risoluzione dei contratti. Per i lavoratori, ciò può comportare un’esposizione più frequente a decisioni automatizzate con un coinvolgimento umano limitato e ridotte opportunità di contestare i risultati. Dal punto di vista della protezione dei lavoratori, la modifica all’articolo 22 non dovrebbe essere portata avanti nella sua forma attuale.

Il diritto di accesso (articolo 15 del GDPR). Il pacchetto Omnibus introduce anche limitazioni al diritto di accesso, consentendo ai responsabili del trattamento di limitare o rifiutare le richieste di accesso per motivi quali uno sforzo sproporzionato o la ripetitività. Sebbene siano presentate come eccezionali, queste limitazioni sono formulate in modo generico e rischiano di diventare abituali in ambienti di trattamento di dati complessi.

Il diritto di accesso consente alle persone di comprendere e contestare il trattamento dei dati, compresa la profilazione e il processo decisionale automatizzato. Si tratta di un presupposto indispensabile per l’efficace esercizio di altri diritti in materia di protezione dei dati, come confermato dalla giurisprudenza della Corte di giustizia dell’Unione europea e dalle linee guida del Comitato europeo per la protezione dei dati. Nel contesto lavorativo, dove le asimmetrie informative sono strutturali, le richieste di accesso sono spesso l’unico mezzo a disposizione dei lavoratori e dei loro rappresentanti per scoprire le pratiche basate sui dati. Si tratta di un presupposto necessario per quasi tutte le forme di protezione efficace contro una governance basata sui dati.

La progettazione normativa come fattore di indebolimento dell’applicazione. Il Digital Omnibus è presentato come una semplificazione tecnica, ma sostituisce soglie giuridiche chiare con valutazioni dipendenti dal contesto. Come  ciò pone l’onere dell’interpretazione a carico delle autorità di controllo, che devono valutare le richieste di anonimizzazione, i test di proporzionalità, la qualità della ricerca scientifica e le garanzie specifiche per l’IA senza risorse aggiuntive. Il problema non è la capacità istituzionale di effettuare valutazioni complesse, ma l’effetto cumulativo di una progettazione normativa che moltiplica tali valutazioni riducendo al contempo il potere contrattuale delle persone interessate.

Nel contesto lavorativo, dove le asimmetrie di potere già limitano i ricorsi individuali, un’applicazione ritardata o indebolita compromette l’efficacia pratica dei diritti. La stessa dinamica influisce sull’interazione con l’AI Act, poiché la legge sulla protezione dei dati rimane essenziale per applicazione dell’IA sul posto di lavoro ai sensi dell’AI Act, il che significa che i diritti formali possono persistere, ma la loro applicabilità diventa più incerta e frammentata.

Conclusione. Il Digital Omnibus adotta una logica di deregolamentazione, indebolendo la protezione non attraverso l’abrogazione formale delle norme esistenti, ma attraverso scelte di progettazione normativa che ridistribuiscono responsabilità, discrezionalità e supervisione. Restringendo l’ambito di applicazione dei dati personali, ampliando il concetto di ricerca scientifica e consentendo il trattamento residuale dei dati sensibili nei sistemi di IA, esso erode l’applicabilità delle previste protezioni e il potere offerto dalle procedure. In combinazione con valutazioni dipendenti dal contesto che aggravano le difficoltà interpretative delle autorità, questi cambiamenti danneggiano in modo sproporzionato i lavoratori, specialmente nei luoghi di lavoro caratterizzati da asimmetria di potere e basati sull’utilizzo di dati. In definitiva, l’Omnibus esemplifica un caso di deregolamentazione attraverso la progettazione: i diritti rimangono sulla carta, ma la loro applicabilità diventa più limitata, frammentata e incerta.

* Questo articolo è stato originariamente pubblicato in inglese su Social Europe (www.socialeurope.eu) il 4 febbraio 2026