Il 27 aprile 2025, l’European Data Protection Board (EDPB) ha pubblicato il suo report annuale 2024, un documento che si potrebbe sintetizzare con una sola parola: adattamento. In un contesto regolatorio e tecnologico che evolve a ritmi compulsivi, l’EDPB cerca di non restare indietro. Ma riesce davvero a tenere il passo?
Il report, disponibile con tanto di executive summary direttamente dalla fonte ufficiale, parte con il tono da grande assemblea multilaterale: dichiarazioni solenni, buone intenzioni, retorica dell’impegno civico. La Presidente Anu Talus ribadisce che il 2024 è stato l’anno del consolidamento della missione fondativa dell’EDPB: difendere i diritti fondamentali alla privacy e alla protezione dei dati personali, mentre il mondo digitale si trasforma sotto i nostri piedi.
Nel concreto, questo significa più linee guida, più opinioni vincolanti, più collaborazione transnazionale, ma anche (inevitabilmente) più burocrazia. L’adozione della strategia 2024–2027 segna un nuovo punto di svolta, strutturata su quattro pilastri che suonano tanto familiari da risultare quasi generici: armonizzazione, enforcement, sfide tecnologiche (ovviamente l’Intelligenza Artificiale in pole position), e coinvolgimento globale.
Ma il punto cruciale, come lo stesso titolo del report ammette con una candida brutalità istituzionale, è proprio il cambiamento continuo. Ed è qui che l’EDPB si gioca la sua partita più difficile. La regolazione europea, fondata sulla solidità del GDPR, è sempre più chiamata a interagire con un arsenale normativo che cresce a vista d’occhio: Digital Markets Act, Digital Services Act, AI Act, Governance Act, Data Act. Una giungla normativa dove ogni legge nuova pretende di avere l’ultima parola sull’etica tecnologica, mentre l’EDPB cerca di tessere coerenza come un rabdomante tra pieghe giuridiche e gap di interoperabilità.
Nel primo capitolo del report troviamo il backstage: il lavoro del Segretariato dell’EDPB, quel gruppo operativo che tiene in piedi l’apparato organizzativo. Coordinamento, contenziosi davanti alla Corte di Giustizia dell’UE, aggiornamento delle infrastrutture digitali. Un quadro chiaro: le risorse sono sotto pressione, i compiti aumentano e la macchina deve correre più veloce di quanto sia stata progettata per fare.
Il secondo capitolo entra nel vivo dell’attività 2024: opinioni di coerenza ex art. 64(2), nuove linee guida, cooperazione con partner internazionali. Qui brilla la strategia 2024–2027 con la sua ambizione di tenere insieme tutto: dalla governance dei dati all’impatto dell’AI, dalla standardizzazione dell’interpretazione GDPR fino alle sfide globali, come il trasferimento internazionale dei dati. E se ti stai chiedendo come tutto ciò venga applicato sul campo, basta aprire il terzo capitolo.
Capitolo tre: enforcement e casi nazionali. Ventinove autorità di protezione dati che si scambiano dossier, lavorano su casi transfrontalieri, e cercano di mantenere una certa coerenza operativa. Il linguaggio è tecnico, quasi notarile, ma si intuisce il sottofondo: la privacy è diventata una questione geopolitica, e il GDPR è un campo di battaglia dove si confrontano interessi economici, etici e industriali.
Nel quarto e ultimo capitolo, gli allegati tecnici: una lista puntuale (anzi chirurgica) delle linee guida adottate, delle opinioni di coerenza pubblicate, e delle dichiarazioni legislative rilasciate nel 2024. È qui che si misura l’ossessione per la trasparenza e la rendicontazione. Non sarà sexy, ma è la parte che ogni consulente legale leggerà con il cuore in gola.
L’intelligenza artificiale, manco a dirlo, è l’elefante nella stanza. Il report gli dedica ampio spazio: eventi con stakeholder, pareri specifici, sezioni dedicate. L’approccio è ancora prudenziale, ma sempre più orientato a regolare non solo l’uso dell’AI, ma anche il processo decisionale automatizzato che potrebbe compromettere il consenso informato e la libertà individuale. Con l’AI Act ormai in dirittura d’arrivo, la sovrapposizione con il GDPR è più che un’ipotesi, è già una realtà. E l’EDPB dovrà presto decidere se vuole fare da arbitro o da giocatore.
Insomma, il 2024 dell’EDPB è stato denso, forse anche troppo. Se la strategia 2024–2027 promette coerenza in un ecosistema normativo schizofrenico, la vera domanda resta: quanto può durare un modello regolatorio fondato su un equilibrio precario tra principio e prassi, tra diritto e tecnologia? E soprattutto: chi controllerà i controllori quando l’AI inizierà a normare sé stessa?
Spoiler: non sarà un comitato.