The Digital Omnibus and the GDPR: Balancing Data Subjects’ Rights with Controllers’ Interest

  • Laureata in Giurisprudenza, Alma Mater Studiorum Università di Bologna


Abstract (ita)

Il presente contributo offre un’analisi critica delle modifiche che la Commissione europea intende apportare al Regolamento generale sulla protezione dei dati (GDPR), nell’ambito del pacchetto normativo Digital Omnibus presentato ufficialmente il 19 novembre 2025. Dopo aver evidenziato brevemente la ratio della strategia di semplificazione normativa perseguita da quest’ultima in settori di intervento trasversali, l’analisi si sofferma sulle criticità sollevate in relazione a difficoltà interpretative e applicative del GDPR, capaci di generare eccessivi costi amministrativi ed obblighi procedurali a discapito dei soggetti vincolati da tale regolamento. In particolare, ci si focalizza su tre novità principali: la definizione di dato personale alla luce di una concezione soggettiva di identificabilità del soggetto interessato, il ricorso al legittimo interesse quale base giuridica per i trattamenti connessi allo sviluppo di sistemi di IA, e l’abolizione dei cookie a favore di una centralizzazione delle preferenze di privacy. Le risultanze dello studio mettono in discussione il contenuto innovativo della proposta, richiamando prassi interpretative ed applicative esistenti che troverebbero ora una formalizzazione al suo interno. Si sottolinea altresì come l’esplicita valorizzazione degli interessi dei titolari di trattamento alla base della proposta possa incidere negativamente su un corretto bilanciamento tra esigenze delle imprese e tutela dei diritti fondamentali degli interessati.

Abstract (eng)

This work provides a critical analysis of the amendments that the European Commission intends to introduce to the General Data Protection Regulation (GDPR) as part of the Digital Omnibus legislative package, officially presented on 19 November 2025. After briefly outlining the rationale behind the Commission’s cross-sectoral regulatory simplification strategy, the analysis takes stock of the concerns raised in relation to interpretative and practical difficulties associated with the GDPR, which are considered to generate excessive administrative costs and procedural burdens for entities subject to the Regulation. Three key innovations are examined in particular: the definition of personal data in light of a subjective notion of the data subject’s identifiability, the use of legitimate interest as a legal basis for processing related to the development of AI systems, and the replacement of cookie banners with a centralized system for managing privacy preferences. The study casts doubts on their innovative impact of the proposal, highlighting how it formalizes existing interpretative practices. At the same time, it is argued that the explicit recognition of data controllers’ interests underpinning the proposal may negatively affect a fair balance between business needs and the protection of fundamental rights of data subjects.

Scarica in formato PDF