L’ombra del Grande Reset della privacy europea

Bruxelles, di Nicola Bernardi – Se nel 2018 l’Unione Europea andava fiera di avere introdotto una normativa come il GDPR con l’obiettivo di creare un unico ombrello normativo in materia di protezione dei dati uguale per tutti gli Stati membri, ora il vento sembra invece soffiare nella direzione opposta, e proprio quando l’intelligenza artificiale sta diventando sempre più invasiva nella sfera privata delle persone, la Commissione UE ha paradossalmente varato una riforma che, sebbene dichiari di avere il buon proposito di semplificare gli adempimenti per le imprese, pare però destinata a ridurre anche le tutele per i cittadini.

Lo scorso novembre, la Commissione ha infatti presentato il “Digital Omnibus”, una proposta legislativa che comporta un notevole snellimento dell’ambito di applicazione del GDPR, e che dà anche il via libera alle aziende digitali ad usare tutti i dati pubblicati dagli utenti su social network e piattaforme online per allenare i loro algoritmi di AI. E se pure l’approvazione del nuovo Artificial Intelligence Act sembrava ricalcare le precedenti ambizioni del GDPR, ora l’Unione Europea intende invece rimandarne l’applicazione ad agosto 2027 per agevolare le imprese, anche se in realtà a beneficiarne saranno più che altro le Big Tech e le multinazionali statunitensi.

Ma a quanto pare le semplificazioni del GDPR non sono né un caso isolato, né una coincidenza tra i fattori che incidono sulla progressiva erosione della privacy in Europa, e pare evidente chi ci sia a tirare le fila dietro le quinte.

Si sono infatti dimostrate un fuoco di paglia le dichiarazioni di Ursula von der Leyen della scorsa primavera, quando aveva detto che “l’UE era pronta a colpire le Big Tech statunitensi che fanno affari in Europa”, correndo però subito dopo a stendere il tappeto rosso ai piedi dei colossi americani dopo le minacce di Donald Trump di “imporre dazi e restrizioni sui paesi le cui tasse e legislazione prendono di mira le grandi aziende tecnologiche statunitensi”.

Se dunque il dietrofront dell’UE sulla protezione dei dati sembra portare chiaramente la firma del presidente americano, ci sono però tutta una serie di altre circostanze che più o meno subdolamente stanno concorrendo a indebolire l’efficacia delle istituzioni europee e i diritti su cui finora hanno potuto contare le persone.

Basti pensare che sulla poltrona del Garante europeo per la protezione dei dati (EDPS) siede Wojciech Wiewiórowski, lasciato nel limbo dopo che il suo mandato quinquennale è scaduto il 5 dicembre 2024 senza che l’Unione Europea sia riuscita a nominarne il successore, omettendo di fornire anche una qualsiasi spiegazione.

In Irlanda, dove hanno sede la maggior parte delle multinazionali americane, a settembre 2025 la scelta del Commissario per la protezione dei dati è ricaduta su Niamh Sweeney, ex lobbista di Meta. L’Avv. Max Schrems, fondatore dell’organizzazione di attivisti noyb (None of Your Business) ha così commentato tale nomina: “Ora gli Stati Uniti esigono che i Paesi europei si inchinino pubblicamente davanti alle big tech statunitensi”.

In Italia sta invece imperversando una bufera sul Garante per la privacy, fomentata da un’inchiesta giornalistica della trasmissione televisiva Report, che ha scagliato una serie di accuse contro i componenti del collegio dell’Autorità, minandone la credibilità e scatenando un acceso dibattito politico in cui ne è stato addirittura chiesto l’azzeramento.

E in giro per il vecchio continente ci sono anche inspiegabili tagli drastici ai budget economici delle autorità di controllo, come quello del governo federale austriaco ai danni della Österreichische Datenschutzbehörde (DSB), che nel 2026 sarà così costretta a ridurre il proprio organico.

Ma soprattutto, secondo i rapporti di GDPR Enforcement Tracker, a differenza del passato, nessuna delle oltre 300 multe irrogate dalle autorità europee nel 2025 per un ammontare complessivo di oltre 1 miliardo di euro ha colpito una Big Tech statunitense. L’unica maxi sanzione per violazione del Regolamento UE inflitta a un colosso tecnologico è quella di 530 milioni di euro fatta dal Garante irlandese alla cinese TikTok, mentre d’altra parte è curioso che l’autorità francese (CNIL) per multare Google per 325 milioni di euro non abbia applicato le norme del GDPR, bensì quelle della propria legge nazionale del lontano 1978.

Ovviamente, non possiamo dimostrare che dietro ogni situazione che sta inceppando il buon funzionamento dei meccanismi che regolano la protezione dei dati europea ci sia la regia occulta dell’amministrazione Trump. Ma fatto sta che tutto rema a favore dei colossi tecnologici americani. E se è coerente la tesi attribuita alla scrittrice Agatha Christie secondo cui “un indizio è un indizio, due indizi sono una coincidenza, ma tre indizi fanno una prova”, ci sono buoni motivi per sospettare che non sia solo l’Unione Europea a cercare di trovare dei compromessi per ottenere la benedizione degli USA, ma che piuttosto sia in atto un vero e proprio sabotaggio teso ad annientare tutte le precedenti ambizioni dell’UE in materia di protezione dei dati. E se così fosse, incomberebbe l’ombra di un potenziale “Grande Reset” della privacy europea.

Nicola Bernardi, presidente di Federprivacy

Presidente di Federprivacy dal 2008, Consulente del Lavoro e Giornalista. Privacy Officer certificato TÜV Italia. È Of Counsel dello studio ICT Legal Consulting. Come autore, ha curato vari libri in materia e scritto per note testate, tra cui Nòva Il Sole 24 Ore, Forbes Italia, Wired, Il Corriere delle Comunicazioni, e il magazine Privacy News, trimestrale di Federprivacy nel quale ricopre anche l’incarico di direttore responsabile dal 2012.