La trasparenza GDPR diventa modulare 

Il 19 novembre 2025 la Commissione Europea ha pubblicato la versione finale di due proposte di regolamento COM(2025) 837 e COM(2025) 836, presentate congiuntamente nell’ambito del pacchetto c.d. “Digital Omnibus”, pensato per semplificare e razionalizzare l’intero quadro normativo digitale dell’Unione Europea. 

La prima proposta, indicata come Digital Omnibus, interviene in modo trasversale sulla disciplina europea relativa a dati, tecnologie, servizi digitali e cybersecurity. La seconda, denominata Digital Omnibus on AI, introduce modifiche puntuali all’AI Act, con l’obiettivo di renderne l’applicazione più chiara, lineare e favorevole all’innovazione.  

Questo pacchetto rappresenta il primo tassello della strategia europea di semplificazione normativa nel digitale: una strategia che punta a ridurre gli oneri burocratici, eliminare sovrapposizioni regolamentari e rafforzare la certezza del diritto in un ecosistema normativo sempre più articolato. 

Il nuovo articolo 13 GDPR e la trasparenza modulare 

La riforma interviene in particolare proponendo una modifica della logica originaria della trasparenza nel GDPR: l’obbligo informativo non è più concepito come uniforme, ma viene subordinato a una valutazione relativa alla natura della relazione tra titolare e interessato e all’entità effettiva del trattamento. 

Il linguaggio adottato dal Digital Omnibus valorizza in particolare l’idea di un rapporto definito e circoscritto, collegato a trattamenti qualificati come non data-intensive: una definizione che, tuttavia, introduce per i titolari un margine applicativo ampio e flessibile. 

In questa prospettiva, la trasparenza non è più una garanzia standardizzata, uguale per tutti, ma diventa un meccanismo graduato. Ciò comporta una differenziazione delle informazioni che gli interessati possono ricevere, con un conseguente impatto sull’equilibrio tra semplificazione amministrativa e tutela dei diritti fondamentali. 

Il legislatore europeo propone dunque una trasparenza “proporzionata”, rispondente ad esigenze di efficienza. Tuttavia, affida ai titolari un potere valutativo che incide sulla simmetria informativa tra operatori e individui. La mancanza di criteri giuridici vincolanti fa sì che questa discrezionalità diventi un fattore di variabilità sistemica: l’accesso alle informazioni non dipende più dalla natura del diritto in gioco, bensì dalla struttura economica e organizzativa del soggetto che effettua il trattamento. 

Un ulteriore elemento critico riguarda l’assenza di parametri oggettivi per delimitare la categoria dei trattamenti c.d. non data-intensive. In concreto, è il titolare a determinare autonomamente cosa debba rientrare o meno in tale nozione. 

In questo contesto di eterogeneità interpretativa, la differenziazione inciderà sensibilmente anche sull’operatività delle autorità di controllo: l’analisi delle condotte non si fonderà più su un obbligo informativo uniforme, ma sulla valutazione del giudizio tecnico espresso dal titolare circa l’intensità del trattamento.