Introduzione: Oltre l’AI Act

Nel primo articolo di questa serie abbiamo analizzato come il Digital Omnibus semplifichi l’AI Act con timeline più flessibili e governance centralizzata. Ma quella era solo una parte della storia. Il 19 novembre 2025, la Commissione Europea ha presentato un pacchetto molto più ambizioso che tocca il cuore stesso della privacy europea: il GDPR e le regole sui cookie.

Mentre le modifiche all’AI Act sono state generalmente accolte come ragionevoli aggiustamenti pragmatici, le proposte su privacy e dati personali hanno scatenato una tempesta. Le organizzazioni per i diritti digitali parlano di “smantellamento del GDPR”. La Commissione risponde che si tratta di “evoluzione necessaria”. Chi ha ragione?

La posta in gioco è alta. Non si tratta solo di banner sui cookie o di tecnicismi giuridici. Si tratta di decidere quale modello di privacy vogliamo per il futuro digitale europeo, in un momento storico in cui l’intelligenza artificiale ha fame insaziabile di dati e le Big Tech premono per deregolamentazione.

Iniziamo dal problema che tutti conosciamo. Ogni volta che visitiamo un sito web, ci appare il famigerato banner sui cookie. Clicchiamo “Accetta tutto” senza leggere, solo per farlo sparire. Lo ripetiamo decine di volte al giorno. È questa la “consent fatigue” che la Commissione vuole risolvere.

Il sistema attuale nasce dall’articolo 5(3) della direttiva ePrivacy, che richiede consenso esplicito prima di installare cookie non essenziali sul dispositivo dell’utente. Un principio sacrosanto sulla carta, ma che nella pratica ha creato un ecosistema paradossale: gli utenti sono bombardati da richieste di consenso ma cliccano meccanicamente senza comprendere realmente cosa stanno autorizzando. Le aziende spendono milioni in sistemi di gestione del consenso sempre più sofisticati (e irritanti).

E la privacy? Difficile dire se sia davvero meglio protetta.

La Commissione ha fatto i conti. Gli oneri di compliance costano miliardi alle imprese europee. Gli utenti sono frustrati. L’efficacia della protezione è discutibile. Secondo Bruxelles, il sistema non funziona per nessuno: né per chi deve rispettarlo, né per chi dovrebbe esserne protetto.

Ma la soluzione proposta è quella giusta? Qui iniziano i problemi.

Il nuovo articolo 88a: spostare i mobili mentre crolla il soffitto

La modifica strutturale più significativa consiste nello spostamento della regolamentazione dei cookie dalla ePrivacy Directive al GDPR, attraverso un nuovo Articolo 88a. A prima vista sembra una mossa razionale di consolidamento normativo. Invece di avere due framework sovrapposti, se ne crea uno solo. Maggiore coerenza, applicazione uniforme attraverso le autorità GDPR nazionali, fine della frammentazione interpretativa.

Il diavolo, come sempre, sta nei dettagli. Questo “Articolo 88a” regolerà tutto il “processing of personal data on and from terminal equipment”, cioè cookie, fingerprinting, tracking di ogni tipo. Ma mentre si sposta la regolamentazione, si cambiano anche le regole del gioco. E qui nascono le controversie.

Attualmente, i cookie possono essere usati senza consenso solo per finalità strettamente necessarie al funzionamento del sito. Il classico esempio è il carrello dell’e-commerce o la gestione della sessione utente. Tutto il resto richiede il consenso esplicito dell’utente.

Il Digital Omnibus propone di allargare significativamente le eccezioni. La sicurezza e la protezione dalle frodi non richiederebbero più consenso. Sensato, direte. Chi si opporrebbe a misure di sicurezza? Ma il punto è: chi definisce cosa rientra nella “sicurezza”?

E qui la vaghezza della formulazione apre scenari inquietanti.

Ancora più controversa è l’eccezione per “audience measurement”, cioè le statistiche sul traffico del sito. Google Analytics senza banner di consenso? Tecnicamente, secondo la proposta, potrebbe diventare possibile se i dati restano aggregati e non vengono condivisi con terzi. Ma come si verifica che i dati restino davvero interni? E cosa impedisce che definizioni creative di “audience measurement” legittimino pratiche oggi vietate?

La terza eccezione riguarda i “servizi esplicitamente richiesti dall’utente”. Anche qui, la logica è apparentemente ragionevole. Se chiedo attivamente una funzionalità, è normale che il sito usi cookie per fornirmela. Ma nella pratica digitale, quasi tutto può essere presentato come “servizio richiesto”. La personalizzazione del contenuto? L’ottimizzazione dell’esperienza? Dove si traccia il confine?

Le organizzazioni privacy temono che queste eccezioni, nella pratica applicazione, diventino la norma anziché l’eccezione. Un ritorno mascherato al mondo pre-GDPR, dove il tracking era pervasivo e il consenso un’illusione.

L’utopia tecnologica degli “Automated Signals”

Di fronte alle critiche sui cookie senza consenso, la Commissione presenta la sua carta vincente: gli “automated consent signals”. L’idea è affascinante. Invece di cliccare su banner ripetitivi, configurerei una volta per tutte le mie preferenze privacy nel browser o in uno strumento dedicato. Queste preferenze verrebbero trasmesse automaticamente a ogni sito che visito, in formato machine-readable standardizzato. I siti web sarebbero obbligati a rispettare questi segnali. Niente più banner, esperienza fluida, consenso più informato perché espresso con calma e non sotto pressione.

Sulla carta è bellissimo. Nella pratica, gli interrogativi sono molteplici e preoccupanti.

Chi svilupperà questi standard tecnici? La standardizzazione tecnologica è notoriamente lenta e soggetta a conflitti d’interesse. Serviranno anni per arrivare a specifiche condivise. Nel frattempo, cosa succede? E quando gli standard arriveranno, saranno davvero rispettati? Come si garantisce che i siti web non ignorino semplicemente i segnali? L’enforcement è già difficile oggi con banner visibili; diventerà invisibile con segnali automatici che gli utenti non vedono.

Poi c’è il problema della granularità. Un segnale binario (accetto tutto / rifiuto tutto) è troppo semplice e non riflette le reali preferenze degli utenti, che potrebbero voler accettare alcuni cookie e rifiutarne altri. Ma se creiamo categorie troppo dettagliate, ricadiamo nella stessa complessità che volevamo eliminare.

E l’adozione? Quanti utenti configureranno attivamente queste preferenze? La storia della tecnologia insegna che le impostazioni di privacy avanzate vengono usate solo da una minoranza consapevole. La maggioranza resterà con le impostazioni predefinite. Se il default è “accetta”, abbiamo creato un sistema di consenso presunto ancora più pervasivo di quello attuale.

AI training: il legittimo interesse diventa una carta bianca?

Ma la modifica più esplosiva, quella che ha fatto scattare l’allarme rosso nelle organizzazioni per i diritti digitali, riguarda l’intelligenza artificiale. Il Digital Omnibus stabilisce che lo sviluppo e l’operazione di sistemi AI costituiscono un “legittimo interesse” del controller ai sensi dell’Articolo 6(1)(f) del GDPR.

Per capire la portata di questa modifica, serve un passo indietro. Il GDPR prevede diverse basi giuridiche per il trattamento di dati personali. Il consenso esplicito è una di queste, ma non l’unica. C’è anche il “legittimo interesse”, che permette il trattamento se l’interesse del controller supera i diritti dell’interessato. Attualmente, questo bilanciamento deve essere fatto caso per caso, documentato, e l’onere della prova sta su chi tratta i dati.

La proposta della Commissione rovescia questa logica. Il legittimo interesse per l’AI training viene presunto. Non serve più dimostrarlo ogni volta. L’onere si sposta: ora è l’interessato che deve dimostrare che i suoi diritti prevalgono sull’interesse del controller a usare i dati per addestrare modelli di intelligenza artificiale.

Le implicazioni sono enormi. Praticamente qualsiasi uso di dati personali potrebbe essere giustificato come “AI training” o “AI operation”. Il web scraping su larga scala per costruire dataset? Legittimo interesse. L’uso di conversazioni private per addestrare chatbot? Legittimo interesse. La profilazione comportamentale per migliorare algoritmi di raccomandazione? Legittimo interesse.

Max Schrems, fondatore di noyb, non usa mezzi termini: “Digital Omnibus: la Commissione europea vuole distruggere i principi fondamentali del GDPR”. European Digital Rights (EDRi) rincara: “Digital Omnibus – Deregolamentazione invece di semplificazione”.

La Commissione risponde che restano tutte le garanzie: l’obbligo di valutazione d’impatto (DPIA), i principi di minimizzazione dei dati, le misure tecniche appropriate, e soprattutto i diritti degli interessati (accesso, opposizione, cancellazione) continuano ad applicarsi. Ma i critici ribattono che nella pratica, l’esercizio di questi diritti diventa molto più difficile quando il trattamento si basa su legittimo interesse presunto invece che su consenso esplicito.

C’è poi un aspetto di coordinamento con l’AI Act, analizzato nel primo articolo. L’Articolo 4a dell’AI Act permette il trattamento di dati sensibili per bias mitigation. Ora il Digital Omnibus aggiunge il legittimo interesse per AI training con dati comuni. Insieme, queste due norme creano un framework molto permissivo per l’uso di dati nell’intelligenza artificiale. Troppo permissivo, secondo chi teme che l’Europa stia cedendo alle pressioni lobbistiche di Big Tech.

La pseudonimizzazione: quando i dati personali non sono più personali

Un’altra modifica controversa riguarda la pseudonimizzazione e la definizione stessa di “dato personale”. Il Digital Omnibus codifica una recente sentenza della Corte di Giustizia europea e la porta alle estreme conseguenze.

La proposta è questa: i dataset pseudonimizzati possono essere condivisi con terze parti senza che questo costituisca trasferimento di dati personali, se il terzo ricevente non ha i mezzi per re-identificare gli individui. In pratica, un ID pseudonimo come “XYZ123” non sarebbe considerato dato personale per chi riceve il dataset e non ha la tabella di mapping che collega XYZ123 a Mario Rossi.

Questo introduce un “approccio soggettivo” alla definizione di dato personale. Attualmente, il GDPR definisce i dati personali oggettivamente: è dato personale tutto ciò che si riferisce a una persona identificata o identificabile. Con la nuova formulazione, i dati diventano “personali” solo per chi ha ragionevole possibilità di identificare l’individuo.

L’impatto potenziale è devastante per la protezione dei dati. Settori che operano sistematicamente con pseudonimi o ID random, come i data broker e l’industria pubblicitaria programmatica, potrebbero trovarsi fuori dal campo di applicazione del GDPR. Se i dati non sono “personali” per loro, non hanno obblighi GDPR. Niente consenso, niente informativa, niente diritti degli interessati.

Le tecniche di re-identificazione, inoltre, evolvono rapidamente. Dataset che oggi sembrano impossibili da de-anonimizzare, domani potrebbero essere ri-collegati a persone reali combinandoli con altre fonti. Chi tutela gli interessati in questo scenario? Se il ricevente del dataset non è coperto dal GDPR, siamo in un limbo regolatorio.

noyb è intervenuta con la “Lettera aperta: l’Omnibus digitale porta alla deregolamentazione, non alla semplificazione”. Non è un singolo cambiamento che smantella il GDPR, ma l’accumulo di modifiche apparentemente tecniche che, nel loro insieme, svuotano la protezione dall’interno.

Il coordinamento con l’AI Act: due sistemi, una confusione

Le modifiche GDPR del Digital Omnibus devono essere lette insieme alle modifiche all’AI Act analizzate nel primo articolo. Si crea un sistema a due livelli che, sulla carta, dovrebbe essere complementare ma che rischia di generare sovrapposizioni e conflitti.

Per l’AI training con dati comuni, si usa il legittimo interesse presunto dal GDPR. Per l’AI training con dati sensibili finalizzato al bias mitigation, si usa l’articolo 4a dell’AI Act. Per i dataset pseudonimizzati, si applicano le nuove regole di sharing. Per i sistemi AI ad alto rischio, si sommano i requisiti dell’AI Act e del GDPR.

Due autorità di governance: le autorità GDPR nazionali e l’AI Office europeo. Due sistemi di valutazione d’impatto: la DPIA del GDPR e le valutazioni dell’AI Act. Due set di linee guida, due meccanismi di enforcement, due possibilità di sanzioni.

La Commissione ha promesso linee guida congiunte tra l’European Data Protection Board e l’AI Office. Ma i dettagli di questo coordinamento restano vaghi. Cosa succede se un’autorità GDPR nazionale ritiene che un trattamento per AI training non sia giustificato come legittimo interesse, mentre l’AI Office lo considera conforme all’AI Act? Chi prevale? Come si evita il forum shopping, con le aziende che cercano l’interpretazione più favorevole?

Le reazioni: un dibattito polarizzato

Il Digital Omnibus ha spaccato il mondo digitale europeo in due campi opposti.

Da una parte, la Commissione e le imprese che vedono queste modifiche come evoluzione necessaria.

Phil Brunkard di Info-Tech Research Group rappresenta la posizione di molti nel settore IT enterprise: “Si tratta per lo più di notizie positive, poiché le norme GDPR semplificate, un portale unificato per la segnalazione di incidenti di sicurezza informatica e il Portafoglio europeo delle imprese indicano tutti una riduzione degli attriti amministrativi e cicli di conformità più rapidi. Anche se solo una parte dei 5 miliardi di euro (circa 5,8 miliardi di dollari) di risparmi previsti entro il 2029 si concretizzerà, ciò consentirà di liberare risorse di bilancio da destinare all’innovazione anziché alle pratiche burocratiche”. [N.d.r.: la traduzione è nostra]

Dall’altra parte, un fronte compatto di organizzazioni per i diritti digitali che vedono il Digital Omnibus come un tradimento dei principi fondanti del GDPR. European Digital Rights ha scritto una lettera aperta al Commissario Virkkunen firmata da tre major NGO: “Tuttavia, le modifiche legislative attualmente previste vanno ben oltre la semplice semplificazione. Esse deregolamenterebbero elementi fondamentali del GDPR, del quadro normativo sulla privacy elettronica e della legge sull’intelligenza artificiale, riducendo in modo significativo le protezioni consolidate” [N.d.r.: la traduzione è nostra].

Le preoccupazioni non riguardano solo il merito delle modifiche, ma anche il metodo. Il processo legislativo è stato accelerato. Le consultazioni pubbliche parlavano genericamente di “cookie banner”, ma la proposta finale tocca pilastri fondamentali del GDPR. Mancano impact assessment approfonditi sui diritti fondamentali. Le organizzazioni privacy denunciano pressioni lobbistiche di Big Tech dietro le quinte.

Nel mezzo, figure come Sanchit Vir Gogia di Greyhound Research offrono una lettura più sfumata ma non meno critica, affermando che la riforma: “può sembrare che riduca la complessità per l’IT aziendale, ma in realtà non fa altro che riassegnare tale complessità all’interno dell’azienda”.

Cosa significa nella pratica

Per i publisher e le piattaforme web, le modifiche aprono scenari inediti. Se le eccezioni per audience measurement passano nella forma attuale, si potrebbe tornare a usare analytics senza banner di consenso. Ma è una scommessa rischiosa. Le interpretazioni delle nuove norme saranno divergenti nei primi anni, e l’enforcement durante il periodo transitorio è un’incognita. Investire pesantemente in sistemi “consent-free” potrebbe rivelarsi prematuro se poi le autorità nazionali interpretano restrittivamente le eccezioni.

Gli sviluppatori di AI, invece, vedono aprirsi praterie. Il legittimo interesse presunto per l’AI training semplifica enormemente l’accesso ai dati. Ma attenzione: restano obbligatorie le valutazioni d’impatto, la documentazione del legittimo interesse (anche se presunto va comunque giustificato), la trasparenza verso gli interessati. E soprattutto, restano pienamente applicabili i diritti di opposizione, accesso e cancellazione. Un utente può sempre opporsi al trattamento dei suoi dati per AI training, e a quel punto l’azienda deve dimostrare che il suo interesse è davvero prevalente. Non è la carta bianca che alcuni temono, ma nemmeno il lasciapassare che altri sperano.

Per i Data Protection Officer, si prospettano anni complicati. Navigare il nuovo framework richiederà una profonda revisione delle procedure interne, formazione massiccia dei team, e soprattutto capacità di interpretare norme che saranno inevitabilmente ambigue nei primi tempi. Il coordinamento tra AI Act e GDPR modificato aggiungerà ulteriore complessità.

E i cittadini? L’esperienza utente potrebbe effettivamente migliorare se gli automated signals funzionano. Configurare una volta le preferenze e non vedere più banner sarebbe un progresso reale. Ma il prezzo potrebbe essere una minore trasparenza su chi usa i nostri dati e per cosa. I diritti formali restano, ma esercitarli diventa più difficile quando non c’è più il momento del consenso esplicito in cui ci viene spiegato cosa stiamo autorizzando.

Le questioni che restano aperte

La costituzionalità delle modifiche rispetto all’Articolo 8 della EU Charter of Fundamental Rights è tutt’altro che scontata. La Corte di Giustizia europea ha ripetutamente dimostrato, con precedenti come la Data Retention Directive e il Privacy Shield, che non esita a bocciare norme che ritiene lesive dei diritti fondamentali. La ridefinizione soggettiva di “dato personale” e il legittimo interesse presunto per AI training potrebbero essere contestati dopo l’adozione. Anni di contenzioso in prospettiva.

Gli standard tecnici per gli automated signals richiederanno tempo, forse anni. Chi li svilupperà? W3C, IETF, organismi europei di standardizzazione? Con quale governance? E soprattutto, con quale enforcement? La storia degli standard volontari sul web insegna che l’adozione è lenta e parziale. I browser implementeranno nativamente queste funzionalità? I siti le rispetteranno davvero? Come si verificherà?

Il periodo transitorio sarà caotico. La timeline stimata parla di adozione finale entro metà 2026, entrata in vigore nell’estate 2026, ma applicazione piena probabilmente solo dal 2028 quando gli standard tecnici saranno pronti. Due anni di incertezza giuridica in cui non sarà chiaro quale regime si applica. I contratti esistenti restano validi? I cookie banner sono ancora obbligatori? Le aziende possono già invocare il legittimo interesse per AI training?

E poi c’è l’impatto settoriale specifico. L’adtech e il programmatic advertising potrebbero essere rivoluzionati dall’audience measurement senza consenso, ma anche pesantemente colpiti se le interpretazioni saranno restrittive. L’healthcare dovrà coordinare le nuove norme con regolamentazioni settoriali già complesse. La ricerca accademica potrebbe beneficiare delle facilitazioni sui dataset pseudonimizzati, ma dovrà fare i conti con le norme etiche che regolano la ricerca su soggetti umani.

Scenari per il futuro

Proviamo a immaginare tre scenari possibili per i prossimi anni.

Scenario ottimistico: Gli automated signals funzionano magnificamente. Standard tecnici robusti e interoperabili vengono sviluppati rapidamente. I browser li integrano nativamente, gli utenti configurano attivamente le preferenze, i siti le rispettano. L’enforcement è efficace, le autorità GDPR prevengono gli abusi del legittimo interesse per AI training, le linee guida congiunte con l’AI Office chiariscono ogni ambiguità. Si raggiunge un nuovo equilibrio tra innovazione e protezione dei diritti. L’Europa mantiene la leadership mondiale in digital rights ma con un sistema più praticabile. Win-win.

Scenario pessimistico: Gli automated signals falliscono per complessità tecnica e bassa adozione. Le eccezioni sui cookie diventano la norma, si torna di fatto al pre-GDPR. L’AI training come legittimo interesse legittima il web scraping selvaggio e l’uso indiscriminato di dati. La redefinizione soggettiva di dato personale svuota il GDPR del suo significato. L’enforcement è debole perché le autorità sono sopraffatte e le priorità vanno altrove. L’Europa perde la sua leadership in privacy e diritti digitali. Lose-lose.

Scenario realistico: Un mix confuso di successi parziali e problemi. Gli automated signals vengono adottati ma solo da una minoranza consapevole. Emergono abusi sul legittimo interesse per AI training, seguono contenziosi, gradualmente la case law chiarisce i limiti. Il periodo 2026-2028 è caotico e pieno di incertezze. Poi, lentamente, il sistema si stabilizza su un nuovo equilibrio che è diverso sia dal GDPR originale sia dalle intenzioni della proposta iniziale. Compromise.

Quale scenario si realizzerà dipende dalla volontà politica di enforcement. Se le autorità GDPR e l’AI Office applicano rigorosamente le garanzie previste, il sistema può funzionare. Se prevale un approccio lassista, si scivola verso deregolamentazione de facto. Il GDPR è quello che ne fanno le autorità che lo applicano, non solo quello che c’è scritto nei testi legislativi.

Uno sguardo comparativo

Vale la pena guardare cosa succede altrove. Negli Stati Uniti vige un approccio settoriale frammentato, con leggi statali diverse (California CPRA, Virginia CDPA) ma nessuna normativa federale onnicomprensiva. Il regime è generalmente più permissivo su cookies e tracking, con prevalenza di opt-out invece di opt-in. Se il Digital Omnibus passa, l’Europa si avvicina parzialmente al modello americano pur mantenendo un framework più protettivo.

La Cina ha il Personal Information Protection Law (PIPL), ispirato al GDPR ma con enforcement centralizzato e fortemente politicizzato. L’AI è pesantemente regolata ma in un’ottica di controllo statale. Il Digital Omnibus non avvicina certo l’Europa al modello cinese.

Interessante è invece il confronto con il Regno Unito post-Brexit. L’UK GDPR sta divergendo incrementalmente dal GDPR europeo, con focus su “data adequacy” senza strangolare eccessivamente il business. L’approccio pragmatico britannico è sorprendentemente simile allo spirito del Digital Omnibus. Le due normative potrebbero riavvicinarsi sul piano pratico anche se restano formalmente separate.

Un bivio storico

Siamo a un bivio. Il Digital Omnibus rappresenta molto più di una raccolta di modifiche tecniche. È una scelta fondamentale sul tipo di società digitale che vogliamo costruire.

La domanda non è se il GDPR debba evolversi. Certamente deve. Nessuna normativa è perfetta, soprattutto in un campo che cambia rapidamente come il digitale. La domanda è: in quale direzione? Verso un modello che mantiene centralità dei diritti fondamentali adattando pragmaticamente le modalità di protezione? O verso un modello che, dietro la retorica della semplificazione, abbassa sostanzialmente il livello di tutela?

La Commissione sostiene che si tratta della prima opzione. Difatti, si afferma “Questa iniziativa offre alle aziende europee l’opportunità di crescere e rimanere all’avanguardia nel campo tecnologico, promuovendo al contempo i più elevati standard europei in materia di diritti fondamentali, protezione dei dati, sicurezza ed equità

noyb afferma “Contrariamente a quanto affermato nel comunicato stampa ufficiale della Commissione, tali modifiche non garantiscono «il massimo livello di protezione dei dati personali», ma riducono notevolmente le tutele per i cittadini europei”. [N.d.r.: la traduzione è nostra]

La verità, probabilmente, sta nel mezzo, ma il rischio di deriva è reale.

Tre considerazioni finali:

  1. il testo che verrà eventualmente adottato sarà diverso dalla proposta attuale. Il Parlamento Europeo e il Consiglio modificheranno le parti più controverse. La pressione della società civile e il dibattito pubblico contano. Non è scritto nella pietra.

  2. anche se passasse nella forma attuale, molto dipenderebbe dall’implementazione. Le linee guida, gli standard tecnici, e soprattutto l’enforcement delle autorità determineranno l’impatto reale. Un testo permissivo applicato rigorosamente è diverso da un testo permissivo applicato debolmente.

  3. questa vicenda dimostra quanto sia fragile la protezione dei diritti nell’era digitale. Quanto conquistato con anni di battaglie può essere eroso in pochi mesi se l’attenzione pubblica cala. La difesa della privacy è un processo continuo, non un risultato acquisito una volta per tutte.

Il Digital Omnibus, insieme alle modifiche all’AI Act analizzate nel primo articolo, ridisegna il panorama normativo europeo per l’era dell’intelligenza artificiale. Sarà un’evoluzione positiva o una deriva preoccupante? La risposta dipende da noi: da quanto vigili resteremo, da quanto attivamente parteciperemo al dibattito, da quanto faremo sentire la nostra voce ai rappresentanti politici.

I prossimi mesi saranno decisivi. Il dibattito è aperto.

Serie Digital Omnibus Package:

Primo articolo: AI Act - Semplificazioni e Nuove Regole

Secondo articolo: Cookie, GDPR e Privacy (questo articolo)

Riferimenti

Disclaimer: Questa analisi ha carattere informativo e non costituisce consulenza legale. Per valutazioni specifiche sulla conformità della vostra organizzazione, è consigliabile rivolgersi a professionisti specializzati.

Hashtag corelati

#DigitalOmnibus #GDPR #Privacy #Cookie #ePrivacy #AITraining #DataProtection #LegitimateInterest #ConsentFatigue #EURegulation #DigitalRights #FundamentalRights