Introduzione

Il 28 gennaio 2026 si celebra il Data Protection Day, giornata istituita nel 2006 dal Comitato dei Ministri del Consiglio d’Europa per commemorare l’apertura alla firma della Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, universalmente nota come Convention 1081.

Era il 28 gennaio 1981 quando a Strasburgo veniva firmato il primo trattato internazionale giuridicamente vincolante in materia di protezione dei dati personali. Quarantacinque anni dopo, quel documento resta il fondamento su cui si è costruito l’intero edificio normativo europeo e globale della data protection.

Convention 108: il seme da cui è germogliato il diritto alla protezione dei dati

La Convention 108 ha rappresentato una risposta visionaria alle sfide che, già negli anni Settanta, il progresso tecnologico poneva alla tutela della vita privata. In un’epoca in cui non esistevano Internet, social network, big data o intelligenza artificiale, i redattori della Convenzione ebbero l’intuizione di formulare principi tecnologicamente neutri, capaci di resistere al tempo e all’evoluzione digitale2.

Da quella Convenzione sono derivati i pilastri del trattamento dei dati che ancora oggi costituiscono la spina dorsale del GDPR: liceità, correttezza, finalità, proporzionalità, esattezza, sicurezza e diritti dell’interessato. La Convenzione ha inoltre ispirato la Direttiva 95/46/CE e, successivamente, il Regolamento (UE) 2016/679.

Nel 2018, la Convenzione è stata modernizzata attraverso il Protocollo emendativo che ha dato vita alla Convention 108+, strumento che incorpora le risposte alle sfide dell’era digitale: dati biometrici, trasparenza algoritmica, notifica delle violazioni, accountability rafforzata3. Tuttavia, come ha ricordato Beatriz de Anchorena, Chair del Committee of Convention 108 e Capo dell’Autorità per la protezione dei dati argentina:

“Nell’anniversario della Convention 108, desidero lanciare un appello a tutte le Parti affinché riaffermino il loro impegno verso la Convention 108+, poiché la sua ratifica aprirà le porte ad altri Paesi desiderosi di aderire, trasformando questo strumento giuridicamente vincolante in un terreno comune universale per la privacy e la protezione dei dati.”4

La Convention 108+ non è ancora entrata in vigore: serve un numero sufficiente di ratifiche. Questo ritardo è di per sé un segnale preoccupante della difficoltà di mantenere il momentum sulla protezione dei dati a livello globale.

Data Protection Day 2026: “Reset or refine?”

Quest’anno, il Consiglio d’Europa e l’European Data Protection Supervisor (EDPS) hanno organizzato congiuntamente una conferenza dal titolo emblematico: “Reset or refine?”5. L’evento, che si tiene presso l’edificio Charlemagne della Commissione Europea a Bruxelles, affronta le tensioni tra modernizzazione e tutela dei principi fondamentali.

Come ha sottolineato Wojciech Wiewiórowski, Garante europeo della protezione dei dati:

“In un panorama geopolitico in evoluzione, il ruolo della protezione dei dati si estende ben oltre l’ambito della privacy e diventa spesso una salvaguardia per la democrazia stessa. All’EDPS, continueremo a sostenere e promuovere una cultura della protezione dei dati, in Europa e altrove.”6

Il programma della conferenza tocca nodi cruciali: la definizione stessa di dato personale alla luce della recente sentenza della Corte di Giustizia nel caso EDPS v SRB (C-413/23 P); il futuro della Convention 108+ come standard globale; la riforma del GDPR nel contesto del Digital Omnibus Package; l’evoluzione delle tecniche di tracciamento online.

La domanda centrale è chiara: come può l’Europa modernizzare il proprio quadro normativo senza compromettere i principi fondamentali? Come può la “semplificazione regolamentare” coesistere con garanzie solide per gli individui?

L’azione coordinata dell’EDPB sulla trasparenza

In questo contesto, l’European Data Protection Board ha annunciato che il tema dell’azione di enforcement coordinata per il 2026 sarà la trasparenza: gli obblighi informativi previsti dagli articoli 12-14 del GDPR7. Le autorità di controllo nazionali esamineranno come le organizzazioni informano gli interessati sull’uso dei loro dati personali.

La scelta non è casuale. La trasparenza è il prerequisito per l’esercizio consapevole di ogni altro diritto: senza sapere chi tratta i nostri dati, per quali finalità e con quali garanzie, non possiamo esercitare alcun controllo effettivo sulla nostra sfera digitale.

La revisione del GDPR: il Digital Omnibus Package

Il Data Protection Day 2026 cade in un momento particolarmente delicato. Il 19 novembre 2025, la Commissione Europea ha pubblicato il Digital Omnibus Package, una proposta di riforma che include modifiche significative al GDPR, alla Direttiva ePrivacy, all’AI Act e ad altre normative digitali8.

La Commissione ha presentato l’iniziativa come uno sforzo di “semplificazione” volto a ridurre gli oneri amministrativi per le imprese, in particolare PMI e small mid-cap. Tuttavia, le modifiche proposte vanno ben oltre la semplificazione procedurale e toccano elementi fondamentali del Regolamento.

Tra le modifiche più rilevanti9:

  • Ridefinizione del concetto di “dato personale” (Art. 4 GDPR): la proposta introduce un approccio “soggettivo” per cui i dati non sarebbero considerati personali se l’entità che li detiene non dispone di mezzi ragionevolmente utilizzabili per identificare l’interessato. Questo potrebbe escludere i dati pseudonimizzati dall’ambito di applicazione del GDPR per determinati titolari.

  • Nuova base giuridica per l’AI: il trattamento di dati personali per lo sviluppo e il funzionamento di sistemi e modelli di IA viene esplicitamente riconosciuto come legittimo interesse del titolare.

  • Modifiche alla notifica dei data breach (Art. 33 GDPR): innalzamento della soglia di notifica alle autorità di controllo (solo quando la violazione comporta un rischio elevato), estensione del termine da 72 a 96 ore, introduzione di un punto di ingresso unico per le notifiche.

  • Limitazioni al diritto di accesso (Art. 15 GDPR): ampliamento delle circostanze in cui i titolari possono rifiutare o addebitare costi per le richieste di accesso ritenute “abusive” o “eccessive”.

Le reazioni sono state immediate e polarizzate. EDPB e EDPS hanno emesso una Joint Opinion il 21 gennaio 2026, supportando l’obiettivo generale di semplificazione ma richiamando la necessità di salvaguardie più forti per i diritti fondamentali10. In particolare, hanno espresso preoccupazione per il rinvio dell’applicazione di requisiti essenziali per i sistemi AI ad alto rischio e per la proposta di eliminare l’obbligo di registrazione dei sistemi AI classificati come “non ad alto rischio” dai loro fornitori.

Molto più dura la posizione di noyb (European Center for Digital Rights), l’organizzazione fondata da Max Schrems, che in un’analisi dettagliata di oltre 70 pagine ha definito le modifiche proposte “il più grande attacco ai diritti digitali degli europei degli ultimi anni”11. Secondo noyb, le modifiche al GDPR creerebbero conflitti con la Carta dei diritti fondamentali dell’UE, incoerenze con la giurisprudenza della Corte di Giustizia e un significativo abbassamento delle tutele per gli interessati. L’EDPB e l’EDPS hanno inoltre dichiarato che “la proposta di modifica della definizione di dato personale nel GDPR andrebbe oltre la giurisprudenza della Corte di Giustizia dell’Unione Europea”12.

Una coalizione di 127 organizzazioni della società civile ha indirizzato una lettera aperta alla Commissione, sostenendo che il Digital Omnibus porta “deregolamentazione, non semplificazione”13.

Il dibattito è aperto. Il Digital Omnibus seguirà la procedura legislativa ordinaria presso Parlamento Europeo e Consiglio, con possibili modifiche sostanziali. L’adozione finale è prevista per la metà del 2026, ma potrebbe essere accelerata se il Parlamento decidesse di applicare la procedura d’urgenza.

Una riflessione necessaria: il declino silenzioso della cultura della protezione dei dati

Nell’osservare le celebrazioni di questo Data Protection Day, non posso sottrarmi a una riflessione che nasce dall’esperienza quotidiana di chi si occupa professionalmente di questi temi.

Si avverte un declino della privacy e della protezione dei dati personali. Non un declino normativo, sia chiaro: l’Europa dispone del quadro giuridico più avanzato al mondo. Il declino è culturale, sociale, comportamentale.

I dati parlano chiaro: la crisi dei data breach

Secondo l’IBM Cost of a Data Breach Report 2025, pubblicato a luglio 202514:

  • Il costo medio globale di una violazione dei dati è sceso a 4,44 milioni di dollari (il primo calo in cinque anni), ma negli Stati Uniti ha raggiunto il record di 10,22 milioni di dollari.
  • Il 16% delle violazioni ha coinvolto attaccanti che utilizzano strumenti di intelligenza artificiale, principalmente per phishing (37%) e deepfake (35%).
  • Il 20% delle violazioni è stato causato da shadow AI — strumenti di IA non autorizzati utilizzati dai dipendenti senza supervisione IT — con un costo aggiuntivo medio di 670.000 dollari per incidente.
  • Il 97% delle organizzazioni che hanno subito un incidente di sicurezza legato all’IA non disponeva di adeguati controlli di accesso per i sistemi AI.
  • Il 63% delle organizzazioni violate non ha una policy di governance dell’IA o la sta ancora sviluppando.

Questi dati rivelano un paradosso inquietante: mentre l’adozione dell’IA accelera, la sicurezza e la governance restano drammaticamente indietro. Il report IBM parla esplicitamente di “AI oversight gap” — un divario tra adozione tecnologica e supervisione che i criminali informatici stanno già sfruttando15.

Il gap tra consapevolezza dichiarata e comportamenti effettivi

I dati dell’Eurobarometro rivelano un quadro complesso della consapevolezza dei cittadini europei. Secondo i sondaggi16:

  • Il 67% degli europei ha sentito parlare del GDPR, ma solo il 36% sa effettivamente cosa sia.
  • Il 73% conosce almeno uno dei propri diritti garantiti dal GDPR, ma solo il 31% li conosce tutti.
  • Solo il 13% degli interessati legge integralmente le informative sulla privacy.
  • Il 57% dei cittadini conosce l’esistenza di un’autorità nazionale per la protezione dei dati, ma la percentuale varia enormemente tra Paesi (dall'82% nei Paesi Bassi al 16% in Spagna).

Uno studio accademico basato sull’Eurobarometro 91.2 ha identificato quattro tipologie di “cittadinanza digitale”: i cittadini offline (22%), i social netizen (32%), i web citizen (17%) e i data citizen (29%). Significativamente, i giovani “nativi digitali” si dividono equamente tra social netizen — caratterizzati da scarsa consapevolezza privacy nonostante l’uso intenso dei social media — e data citizen — pienamente consapevoli dei propri diritti17.

Le innovazioni tecnologiche come amplificatori del rischio

Le innovazioni tecnologiche — intelligenza artificiale generativa, riconoscimento biometrico pervasivo, Internet of Things, neurotecnologie — amplificano l’erosione della consapevolezza. Ogni nuova tecnologia promette benefici in cambio di dati, e la promessa è quasi sempre accettata senza riflessione critica.

Il report IBM 2025 è eloquente: il 13% delle organizzazioni ha già subito violazioni che hanno colpito i propri modelli o applicazioni di IA, mentre l’8% non sa nemmeno se sia stato compromesso in questo modo18. L’IA è diventata un bersaglio ad alto valore per i cybercriminali, consapevoli del gap tra adozione e sicurezza.

Le cattive abitudini che minano la protezione

Le cattive abitudini si sedimentano: password riutilizzate, autorizzazioni concesse senza lettura, app installate senza verifica, dati sensibili condivisi con leggerezza sui social network. La comodità prevale sistematicamente sulla prudenza.

Il fenomeno della shadow AI ne è l’esempio più recente e preoccupante: dipendenti che utilizzano ChatGPT, Copilot e altri strumenti di IA generativa per elaborare documenti aziendali, contratti, dati dei clienti — senza alcuna autorizzazione o supervisione. Secondo il report IBM, le violazioni legate alla shadow AI hanno esposto più informazioni personali identificabili (65%) e proprietà intellettuale (40%) rispetto alla media globale19.

La superficialità nel dibattito pubblico

La superficialità domina il dibattito pubblico: la privacy viene spesso liquidata come ostacolo all’innovazione, formalismo burocratico, pretesto per sanzioni. Il Digital Omnibus Package ne è la manifestazione più recente: sotto la retorica della “semplificazione” e della “competitività”, si propongono modifiche che potrebbero indebolire significativamente le tutele.

Si dimentica che la protezione dei dati è un diritto fondamentale riconosciuto dall’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea, funzionale alla tutela della libertà, dell’autonomia e della dignità della persona.

Mantenere alta la guardia: un imperativo, non un’opzione

Di fronte a questo scenario, mantenere alta la guardia non è un’opzione, ma un imperativo.

Significa, per i professionisti del settore, non cedere alla tentazione della mera compliance formale, ma promuovere una cultura sostanziale della protezione dei dati. Significa, per le autorità di controllo, un’applicazione rigorosa e coerente delle norme, capace di produrre deterrenza reale — e le sanzioni GDPR che nel 2024 hanno superato i 6,7 miliardi di euro dimostrano che questa strada è percorribile20.

Significa, per i legislatori, resistere alle sirene della “semplificazione” quando questa maschera un abbassamento delle tutele. Il Digital Omnibus Package sarà il banco di prova: il Parlamento Europeo e il Consiglio dovranno valutare se le modifiche proposte rappresentano genuine semplificazioni procedurali o sostanziali riduzioni dei diritti.

Significa, per i cittadini, riappropriarsi della consapevolezza che i propri dati non sono merce di scambio, ma estensione della propria identità. Il gap tra il 73% che conosce almeno un diritto e il 31% che li conosce tutti è un gap da colmare con educazione, informazione e strumenti accessibili.

Conclusioni

A quarantacinque anni dalla firma della Convention 108, il Data Protection Day 2026 ci invita a una riflessione che va oltre la celebrazione rituale. La domanda “Reset or refine?” posta dagli organizzatori della conferenza di Bruxelles coglie il bivio di fronte al quale ci troviamo.

La risposta non può essere un reset che azzeri le conquiste di decenni di costruzione normativa. Deve essere un refinement che rafforzi, adatti e renda più efficaci le tutele esistenti, senza sacrificarle sull’altare di una malintesa semplificazione.

Ma soprattutto, deve essere un risveglio culturale: la riscoperta del valore intrinseco della protezione dei dati come fondamento di una società rispettosa della dignità umana. Perché le norme, da sole, non bastano. Serve la consapevolezza diffusa che la privacy non è un lusso del passato, ma una necessità del futuro.

La protezione dei dati personali, come ha ricordato l’EDPS, è oggi una salvaguardia per la democrazia stessa. In un’epoca di disinformazione algoritmicamente amplificata, di profilazione politica, di manipolazione del consenso, difendere la privacy significa difendere le condizioni di possibilità di una società libera.

Related Hashtag

#DataProtectionDay #PrivacyMatters #GDPR #Convention108 #DataPrivacy #DigitalRights #EDPS #EDPB #CouncilOfEurope #DigitalOmnibus #DataBreach #AIgovernance #FundamentalRights #PrivacyAwareness #CyberSecurity #PersonalData #PrivacyByDesign #DataProtection2026 #DigitalEurope #HumanDignity

  1. Council of Europe, Data Protection Day - 28 January, https://www.coe.int/en/web/data-protection/data-protection-day ↩︎

  2. Council of Europe, Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108), Strasbourg, 28 January 1981, https://rm.coe.int/1680078b37 ↩︎

  3. Council of Europe, Modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data (Convention 108+), 2018, https://www.coe.int/en/web/data-protection/convention108/background ↩︎

  4. Statement of Beatriz de Anchorena, Chair of the Committee of Convention 108, Data Protection Day 2026, https://data-protection-day.eu/ ↩︎

  5. European Data Protection Supervisor, Data Protection Day 2026: Reset or refine?, https://www.edps.europa.eu/data-protection/our-work/publications/events/2026-01-28-data-protection-day_en ↩︎

  6. Wojciech Wiewiórowski, European Data Protection Supervisor, Statement for Data Protection Day 2026, https://data-protection-day.eu/ ↩︎

  7. European Data Protection Board, Coordinated Enforcement Framework: EDPB selects topic for 2026, 14 October 2025, https://www.edpb.europa.eu/news/news/2025/coordinated-enforcement-framework-edpb-selects-topic-2026_en ↩︎

  8. European Commission, Digital Package, 19 November 2025, https://digital-strategy.ec.europa.eu/en/faqs/digital-package ↩︎

  9. White & Case LLP, GDPR under revision: Key takeaways from the Digital Omnibus Regulation proposal, 2 December 2025, https://www.whitecase.com/insight-alert/gdpr-under-revision-key-takeaways-from-digital-omnibus-regulation-proposal ↩︎

  10. EDPB-EDPS, Joint Opinion 1/2026 on the Proposal for a Regulation as regards the simplification of the implementation of harmonised rules on artificial intelligence (Digital Omnibus on AI), 21 January 2026, https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-12026-proposal_en ↩︎

  11. noyb - European Center for Digital Rights, Digital Omnibus: EU Commission wants to wreck core GDPR principles, 19 November 2025, https://noyb.eu/en/digital-omnibus-eu-commission-wants-wreck-core-gdpr-principles ↩︎

  12. Business Daily Network, European Commission faces scrutiny over digital omnibus package amid transparency concerns, 16 December 2025, https://businessdailynetwork.com/stories/677170982-european-commission-faces-scrutiny-over-digital-omnibus-package-amid-transparency-concerns ↩︎

  13. noyb, Open letter: Digital omnibus brings deregulation, not simplification, 11 November 2025, https://noyb.eu/en/open-letter-digital-omnibus-brings-deregulation-not-simplification ↩︎

  14. IBM Security, Cost of a Data Breach Report 2025, July 2025, https://www.ibm.com/reports/data-breach ↩︎

  15. IBM, 2025 Cost of a Data Breach Report: Navigating the AI rush without sidelining security, 19 November 2025, https://www.ibm.com/think/x-force/2025-cost-of-a-data-breach-navigating-ai ↩︎

  16. European Commission, Data Protection Regulation one year on: 73% of Europeans have heard of at least one of their rights, Press Release IP-19-2956, 13 June 2019, https://europa.eu/rapid/press-release_IP-19-2956_en.htm ↩︎

  17. Rughinis, R., Rughinis, C., Vulpe, S.N., Rosner, D., From social netizens to data citizens: Variations of GDPR awareness in 28 European countries, Computer Law & Security Review, Volume 42, Article 105585, September 2021, https://www.sciencedirect.com/science/article/abs/pii/S0267364921000583 ↩︎

  18. Help Net Security, Average global data breach cost now $4.44 million, 4 August 2025, https://www.helpnetsecurity.com/2025/08/04/ibm-cost-data-breach-report-2025/ ↩︎

  19. CyberScoop, Research shows data breach costs have reached an all-time high, 30 July 2025, https://cyberscoop.com/ibm-cost-data-breach-2025/ ↩︎

  20. DataStackHub, Data Privacy Statistics For 2025–2026, October 2025, https://www.datastackhub.com/insights/data-privacy-statistics/ ↩︎