L’evoluzione della normativa europea sui cookies rappresenta uno degli esempi più concreti del travaglio dell’Unione Europea quando si tratta di trovare i giusti equilibri tra innovazione tecnologica e tutela dei diritti fondamentali. Il punto di partenza risale al 2002, con la direttiva sulla privacy e le comunicazioni elettroniche, la cosiddetta ePrivacy Directive, che introduceva per la prima volta il principio del consenso come condizione per la memorizzazione di informazioni nei dispositivi degli utenti. Era il tentativo di arginare pratiche di tracciamento invasive in un contesto in cui i browser non erano ancora pensati per gestire preferenze granulari di privacy. La modifica del 2009 rese il consenso ancora più vincolante, imponendo che non potesse più essere implicito. Da qui è di fatto partito l’utilizzo dei banner che hanno progressivamente colonizzato la navigazione online in Europa e che, se da un lato hanno reso più trasparente l’uso dei dati, dall’altro hanno trasformato l’esperienza digitale in un percorso costellato di clic obbligati. Con l’entrata in vigore del Gdpr nel 2018, il quadro si è ulteriormente stratificato.
Al regolamento generale, che ha fissato le basi per il trattamento dei dati personali in tutta l’Unione, si è continuata ad affiancare la direttiva ePrivacy, creando un doppio livello di norme non sempre di immediata interpretazione. È stata la giurisprudenza, in particolare la sentenza Planet49 della Corte di giustizia del 2019, a chiarire alcuni punti chiave: il consenso ai cookies non può essere presunto, né dedotto da caselle preselezionate, ma deve essere espresso in modo chiaro, libero e consapevole. L’idea di armonizzare e sostituire la direttiva con un nuovo regolamento ePrivacy ha accompagnato per anni i lavori del legislatore europeo, ma le resistenze politiche e le difficoltà di mediazione hanno portato, a inizio 2025, al ritiro definitivo della proposta.
Il risultato è che l’Europa si ritrova oggi con un impianto normativo ancora valido, ma costruito su regole datate, adattate negli anni più dalla prassi e dalle autorità di controllo che da aggiornamenti organici della legge. Il tema cookies è così diventato il simbolo di un problema più ampio: un ecosistema regolatorio frammentato, che moltiplica oneri amministrativi per le imprese e lascia spesso i cittadini confusi di fronte a un consenso più formale che sostanziale.
Digital Omnibus, l’UE raccoglie i feedback
In questo scenario si colloca la nuova iniziativa della Commissione europea, promessa già nel cuore dell’estate e presentata a metà settembre 2025, con cui Bruxelles ha avviato una raccolta di evidenze e feedback destinata a confluire nel pacchetto Digital Omnibus. L’obiettivo dichiarato è ridurre la complessità e semplificare le regole che governano tre pilastri centrali della trasformazione digitale: i dati, la cybersicurezza e l’intelligenza artificiale.
La Commissione ha fissato quindi il termine del 14 ottobre per ricevere osservazioni da parte di imprese, associazioni di categoria, cittadini e organismi di ricerca. Il Digital Omnibus verrà poi presentato entro fine anno e sarà parte integrante dell’agenda per la riduzione del 25 per cento degli oneri normativi complessivi per le imprese e del 35 per cento per le Pmi. È una promessa che accompagna la Commissione da tempo, ma che ora trova un banco di prova concreto in settori che toccano tanto l’innovazione tecnologica quanto la competitività industriale e la fiducia degli utenti. Henna Virkkunen, Commissaria europea con delega a sovranità tecnologica, sicurezza e democrazia, ha ribadito che la semplificazione non sarà sinonimo di deregolamentazione. L’intento, al contrario, è quello di “mantenere inalterati gli standard elevati che l’Europa si è data in materia di sicurezza, equità e diritti digitali, alleggerendo però il carico burocratico e le sovrapposizioni normative” che rischiano di soffocare la capacità innovativa soprattutto delle imprese di dimensioni più ridotte.
Dati, cybersicurezza e AI, capitoli delicati
Il primo fronte riguarda i dati. Oggi la disciplina europea si articola sul Gdpre su una serie di regolamenti settoriali, dalle direttive per le telecomunicazioni fino al Data Act e al Data Governance Act. Il risultato è un mosaico di regole che non sempre si incastrano in modo lineare e che, in assenza di chiarimenti ufficiali, spingono le aziende a cercare interpretazioni diverse da Paese a Paese. Per chi opera su scala continentale, ciò si traduce in costi di compliance significativi e in un’incertezza che rallenta progetti di innovazione e collaborazione. La Commissione intende ridurre questa frammentazione, con l’ambizione di offrire un quadro unico e coerente che dia certezza giuridica senza sacrificare i diritti fondamentali dei cittadini. Un secondo capitolo è quello della cybersicurezza. Con il Cybersecurity Act l’Unione ha introdotto un sistema di certificazione europeo, pensato per rafforzare la fiducia negli strumenti digitali e garantire livelli minimi di sicurezza comuni. Ma il percorso si è rivelato complesso e costoso, soprattutto per le Pmi che si trovano a competere con grandi player globali.
L’iniziativa Digital Omnibus intende intervenire anche su questo punto, limando ridondanze procedurali e favorendo un approccio più proporzionato. Il rischio, però, è evidente: semplificare troppo significherebbe depotenziare controlli che, al contrario, diventano sempre più essenziali in un contesto caratterizzato da attacchi sofisticati, minacce ibride e crescente dipendenza da infrastrutture digitali critiche. Il terzo punto, è rappresentato dall’intelligenza artificiale. L’AI Act, approvato nel 2024, è la prima cornice organica a livello mondiale che disciplina sistemi di intelligenza artificiale in base al rischio (oggi l’Italia è il primo Paese UE intanto ad avere già una sua legge). Prevede obblighi di trasparenza, requisiti di supervisione umana, controlli stringenti per i sistemi ad alto rischio. Ma la sua applicazione pratica ha rivelato difficoltà interpretative, sovrapposizioni con altre normative e differenze significative nell’implementazione nazionale. Con il Digital Omnibus la Commissione punta a sciogliere questi nodi, armonizzando gli obblighi e riducendo il carico amministrativo, senza però snaturare i principi di fondo che hanno reso l’AI Act un modello globale di riferimento.
Il nodo implicito dei cookie
Anche se il documento di consultazione non menziona in modo esplicito una revisione organica delle regole sui cookie, il tema rientra a pieno titolo nella riflessione sulla semplificazione delle norme digitali. I cookies e le tecnologie di tracciamento rappresentano infatti l’esempio più tangibile di una disciplina frammentata, che ha generato negli anni un overload di banner, opzioni e preferenze difficili da gestire per gli utenti e onerose da implementare per le imprese. Gli osservatori sottolineano che la moltiplicazione di richieste di consenso, anziché rafforzare la consapevolezza, ha prodotto una sorta di assuefazione: l’utente medio clicca rapidamente su “accetta” senza comprendere davvero le implicazioni, mentre le aziende devono adattarsi a regole non uniformi tra un Paese e l’altro. La possibilità di spostare la gestione del consenso a livello di browser, più volte discussa ma mai concretizzata, torna oggi al centro delle riflessioni. Ma si tratta di un terreno minato, dove la semplificazione rischia di scontrarsi con la necessità di tutelare in modo concreto la riservatezza degli individui.
La semplificazione promessa dal Digital Omnibus porta con sé quindi indubbi vantaggi. Per le imprese, in particolare quelle di dimensioni medio-piccole, significherebbe ridurre costi e tempi legati alla compliance. Per l’intero ecosistema digitale, un quadro normativo più lineare potrebbe favorire la certezza del diritto, condizione essenziale per attrarre investimenti e per competere con mercati extraeuropei più rapidi nel definire regole semplici, seppur meno garantiste. Resta però il rischio di scivolare in un eccesso di leggerezza normativa. In nome della semplificazione si potrebbe finire per allentare tutele costruite in anni di dibattito e di equilibrio tra interessi economici e diritti dei cittadini. Inoltre, la capacità di mediazione politica sarà determinante e già il progetto di regolamento ePrivacy ha mostrato quanto sia difficile trovare un punto di incontro tra Stati membri con sensibilità diverse sul rapporto tra privacy, sicurezza e mercato digitale.
© RIPRODUZIONE RISERVATA
