Oggi, 24 maggio 2026, ricorrono dieci anni dall’entrata in vigore del GDPR ed otto anni dalla sua piena applicazione. È una buona occasione per interrogarsi sul ruolo attuale del Regolamento in un ecosistema digitale profondamente cambiato rispetto a dieci anni orsono.
Il GDPR è stato, senza dubbio, uno dei più importanti interventi normativi europei degli ultimi anni. Ha imposto un linguaggio comune, ha rafforzato i diritti degli interessati, ha introdotto il principio di responsabilizzazione e ha reso la protezione dei dati personali un tema non più confinato agli uffici legali, ma collegato alla governance, alla sicurezza delle informazioni, alla gestione dei fornitori, alla progettazione dei servizi digitali e alla valutazione del rischio.
Il suo impatto è andato ben oltre i confini dell’Unione europea. Molti ordinamenti si sono ispirati, direttamente o indirettamente, al modello europeo. Per questo il GDPR è spesso indicato come uno degli esempi più evidenti della capacità dell’Unione europea di definire standard regolatori globali. Tuttavia, proprio perché ha assunto questo ruolo, oggi il Regolamento è sottoposto a una pressione crescente.
La pressione arriva da più direzioni. Da un lato vi sono imprese e pubbliche amministrazioni che chiedono semplificazione, perché non sempre gli obblighi sono stati percepiti come proporzionati o facilmente gestibili, soprattutto nelle realtà di dimensioni ridotte. Dall’altro lato vi sono le grandi piattaforme digitali, i modelli di business fondati sull’uso intensivo dei dati e, oggi, l’intelligenza artificiale generativa, che richiede enormi quantità di informazioni per l’addestramento, l’ottimizzazione e il funzionamento dei sistemi.
In questo contesto, parlare di riforma o modifica del GDPR non è più soltanto una suggestione giornalistica. A livello europeo sono effettivamente in discussione interventi di semplificazione e coordinamento del quadro normativo digitale. Alcuni di questi interventi appaiono ragionevoli, soprattutto quando mirano a ridurre oneri amministrativi ridondanti, chiarire procedure o rendere più efficiente l’applicazione transfrontaliera delle regole. Altri, invece, richiedono maggiore cautela, perché potrebbero incidere su concetti fondamentali dell’intero sistema, come la definizione di dato personale, il ruolo della pseudonimizzazione, l’uso del legittimo interesse nell’intelligenza artificiale e il perimetro delle garanzie applicabili ai trattamenti automatizzati.
La distinzione è essenziale. Semplificare il GDPR può essere utile e, in alcuni casi, necessario. Indebolirne i pilastri, invece, sarebbe un errore strategico. Il problema non è eliminare ciò che rende il GDPR efficace, ma distinguere tra adempimenti realmente utili e formalismi che non aumentano la tutela delle persone. Un registro dei trattamenti, per esempio, non dovrebbe essere visto soltanto come un obbligo documentale. Anche quando la normativa ne ammettesse una gestione semplificata per alcune organizzazioni, esso resterebbe uno strumento importante per conoscere i trattamenti svolti, individuare responsabilità, valutare rischi, gestire fornitori e dimostrare le scelte adottate.
Il vero punto, infatti, non è la quantità dei documenti prodotti, ma la qualità del sistema di governo dei dati. Dopo anni di applicazione del GDPR, molte organizzazioni dispongono di informative, nomine, registri, procedure e modelli. Ma non sempre questi strumenti riflettono davvero i processi effettivi. Ancora troppo spesso la conformità resta separata dall’operatività quotidiana: le informative non seguono l’evoluzione dei servizi, le valutazioni d’impatto vengono considerate solo quando il problema è già emerso, la gestione dei responsabili esterni si ferma alla firma di un accordo, le misure di sicurezza non sono sempre collegate a una valutazione concreta del rischio.
Da questo punto di vista, il GDPR non dovrebbe essere letto come una disciplina “privacy” in senso stretto, ma come un modello di governance. La protezione dei dati personali riguarda le decisioni organizzative, le architetture tecnologiche, le modalità di raccolta delle informazioni, la durata della conservazione, i controlli sugli accessi, la gestione degli incidenti, la tracciabilità delle scelte e la capacità di dimostrare perché un trattamento è stato progettato in un certo modo.
L’intelligenza artificiale rende tutto questo ancora più evidente. I sistemi di AI, soprattutto quelli basati su grandi modelli, mettono sotto tensione alcuni concetti centrali del GDPR: trasparenza, minimizzazione, finalità, base giuridica, opposizione, dati particolari, profilazione, decisioni automatizzate e responsabilità del titolare. La tentazione di considerare il GDPR un ostacolo all’innovazione è forte, ma sarebbe una lettura superficiale. Se una tecnologia richiede trattamenti massivi, opachi e difficilmente controllabili, non significa che le regole debbano arretrare; significa piuttosto che servono maggiore chiarezza, maggiore accountability e strumenti più efficaci di governo.
Naturalmente, questo non significa difendere ogni aspetto dell’attuale applicazione del GDPR. Alcuni meccanismi possono essere migliorati. Le notifiche di data breach, per esempio, rischiano talvolta di diventare difensive e poco selettive, soprattutto quando vengono effettuate più per timore sanzionatorio che per reale utilità dell’intervento dell’autorità di controllo. Anche il tema dei cookie e dei banner di consenso merita una riflessione seria: l’attuale esperienza utente ha spesso prodotto stanchezza, automatismi e scarsa consapevolezza, senza necessariamente aumentare il controllo effettivo delle persone sui propri dati.
Ma proprio questi esempi dimostrano che il futuro del GDPR non si gioca tra conservazione integrale e deregolazione. La sfida è più sottile: rendere la protezione dei dati meno burocratica e più effettiva. Una semplificazione intelligente dovrebbe ridurre ciò che è ridondante, chiarire ciò che è incerto e rafforzare ciò che serve davvero a proteggere le persone. Una semplificazione mal progettata, invece, rischierebbe di restringere il perimetro della tutela proprio nel momento in cui i trattamenti diventano più complessi, più automatizzati e più difficili da comprendere.
Il bilancio del GDPR, quindi, non può essere liquidato con formule celebrative o con slogan sulla necessità di “liberare” l’innovazione dai vincoli normativi. Il Regolamento ha contribuito a cambiare il modo in cui imprese, enti pubblici e professionisti parlano di dati personali. Ha introdotto una cultura della responsabilità, ha reso più visibili i diritti degli interessati e ha imposto alle organizzazioni di interrogarsi sulle conseguenze dei propri trattamenti.
Allo stesso tempo, il GDPR ha mostrato limiti applicativi evidenti. L’enforcement non è sempre stato uniforme, i tempi di intervento nei casi transfrontalieri sono stati spesso lunghi, la capacità delle autorità di controllo non è omogenea tra gli Stati membri e molte organizzazioni hanno continuato a vivere la conformità come un insieme di documenti da aggiornare, più che come un sistema da mantenere nel tempo.
Per questo, la fotografia aggiornata del GDPR è ambivalente ma non negativa. Il Regolamento resta una infrastruttura giuridica centrale per l’economia digitale europea. Non appare superato, ma deve essere reso più maturo nella sua applicazione. Non deve essere trasformato in un ostacolo burocratico, ma neppure ridotto a un guscio formale svuotato dei suoi principi fondamentali.
La domanda da porsi oggi, allora, non è soltanto se il GDPR debba essere modificato. La domanda più corretta è come possa essere reso più efficace senza comprometterne l’equilibrio. Semplificare è possibile. Coordinare meglio il GDPR con AI Act, NIS2, DORA, Data Act ed ePrivacy è necessario. Ridurre adempimenti inutili può essere opportuno. Ma restringere la nozione di dato personale, attenuare eccessivamente le garanzie sui trattamenti automatizzati o creare scorciatoie generalizzate per l’uso dei dati nell’intelligenza artificiale significherebbe spostare il baricentro del sistema.
Il GDPR ha ancora una funzione essenziale: ricordare che i dati personali non sono soltanto una risorsa economica o tecnica, ma informazioni riferite a persone, relazioni, comportamenti, preferenze, fragilità e diritti. In un’epoca dominata dall’intelligenza artificiale e dall’elaborazione massiva dei dati, questa funzione non è meno importante di prima. È, probabilmente, ancora più importante.
Il punto non è quindi scegliere tra innovazione e protezione dei dati. Il punto è costruire innovazione affidabile, sostenibile e governata. È qui che il GDPR può continuare ad avere un ruolo decisivo, a condizione che venga applicato con maggiore maturità e modificato, se necessario, senza indebolirne la sostanza.