Digital Omnibus: legea UE care poate slăbi GDPR și viața privată digitală. Ce se schimbă și cum poți reacționa

[TL;DR] Pe scurt: Comisia Europeană vrea să modifice GDPR sub pretextul „simplificării”. Experții avertizează că, în realitate, se deschid portițe pentru ca datele noastre să fie folosite la antrenarea AI fără acord explicit, iar conceptul de „date personale” devine mult mai greu de apărat. Vezi la final cum poți contacta europarlamentarii români pentru a cere blocarea acestor modificări.

În noiembrie 2025, Comisia Europeană a pus pe masă un pachet legislativ numit „Digital Omnibus”, prezentat public ca o „simplificare” a unor reguli digitale. În realitate, documentele publice arată modificări care ating direct GDPR, ePrivacy (cookie-uri și acces la dispozitive), raportarea incidentelor de securitate și chiar facilități pentru dezvoltarea/operarea AI.

Printre cei mai vocali critici se numără noyb și EDRi – reprezentanți ai societății civile europene specializați în tehnologie și drepturi digitale – dar și Asociația pentru Tehnologie și Internet din România. Aceștia spun că nu e vorba de birocrație, ci de mutarea balanței: mai puțin control pentru oameni, mai multă flexibilitate pentru companii – inclusiv pentru actorii mari din tech și AI (Meta, Google, OpenAI, Amazon).

Important: „Digital Omnibus” este, în acest moment, o propunere. Ca să devină lege, trebuie negociată și votată de Parlamentul European și Consiliul UE (statele membre). Dosarul legislativ este 2025/0360(COD).

Ce este, concret, „Digital Omnibus”

„Digital Omnibus” este o propunere de regulament (COM(2025) 837) care modifică mai multe acte (inclusiv GDPR și Directiva ePrivacy) și urmărește, conform Comisiei, reducerea costurilor de conformare și clarificarea aplicării regulilor.

În același timp, chiar textul propunerii spune explicit că vrea să „deblocheze oportunități în utilizarea datelor” și să sprijine dezvoltarea de AI – ceea ce explică miza reală: datele.

Ce modificări ar putea conta cel mai mult (pe înțelesul tuturor)

1) Redefinirea practică a „datelor personale”: devin „personale” doar dacă tu poți identifica?

Propunerea introduce o clarificare care, pe scurt, poate duce la o logică de tip: „Dacă o entitate susține că nu te poate identifica (prin mijloace ‘rezonabil probabile’), informația nu e personală pentru ea – chiar dacă altcineva ar putea să te identifice.”

De ce contează? Pentru cetățean, asta riscă să creeze zone gri: datele circulă, dar responsabilitatea se fragmentează („nu sunt date personale pentru mine”). Pentru companii, poate însemna mai mult spațiu de manevră în prelucrări și reutilizări de date (mai ales când sunt „pseudonimizate”).

2) Accesul la date din telefon/laptop + cookie-uri: o parte din ePrivacy se mută în GDPR

Comisia recunoaște că utilizatorii au ajuns la o saturație când vine vorba de bannerele cookies și propune să simplifice regimul dublu (ePrivacy + GDPR). În practică, propunerea mută reguli despre stocarea/accesarea datelor personale din „terminal equipment” (telefon, laptop etc.) în GDPR, printr-un nou articol (88a) și introduce excepții.

În text apar explicit situații în care ar fi posibil fără consimțământ, de exemplu:

• transmisia comunicației,

• furnizarea unui serviciu cerut,

• măsurarea audienței (în anumite condiții),

• menținerea/restaurarea securității.

ONG-urile (EDRi) avertizează că mutarea asta poate deschide ușa către interpretări mai largi și „excepții” care devin regulă.

3) „Interes legitim” și AI: o punte mai prietenoasă pentru antrenarea/dezvoltarea AI

În motivație apare clar că prelucrarea de date personale în contextul dezvoltării/operării AI poate fi bazată pe „interes legitim”, „unde este cazul”.

Reuters notează că propunerea a atras critici tocmai pentru că ar crea o cale mai ușoară pentru folosirea datelor europenilor la antrenarea AI, invocând „interes legitim”.

4) Date sensibile (sănătate, opinii politice etc.) și AI: o derogare pentru „reziduuri”

Propunerea discută o derogare pentru situația în care în seturi de date pentru AI apar „rezidual” categorii speciale de date (sensibile), cu condiții și obligații de a evita/înlătura. Însă introduce și ideea de „efort disproporționat” la eliminare, caz în care ar urma măsuri de protecție.

noyb spune că astfel de modificări pot reduce protecțiile reale pentru date sensibile.

5) Drepturi GDPR (ex: cereri de acces): accent pe „abuz”

În document apare explicit ideea de a clarifica situațiile în care dreptul de acces poate fi „abuzat” și că operatorul ar putea refuza sau taxa rezonabil.

Pe hârtie, sună „anti-spam”. În practică, există riscul ca organizațiile să folosească mai agresiv această portiță ca să îngreuneze cererile legitime ale oamenilor.

6) Breșe de date: praguri de notificare mai ridicate

Propunerea indică alinierea pragurilor astfel încât, dacă o breșă nu este „probabil” să ducă la „risc ridicat”, operatorul să nu fie obligat să notifice autoritatea.

Asta poate însemna mai puține notificări către autorități și mai puțină vizibilitate publică asupra incidentelor „mici” care, cumulate, devin mari.

Ce ar însemna pentru…

Pentru cetățeanul obișnuit

• Mai puțină claritate: unele date pot fi tratate ca „nepersonale” de către un operator, chiar dacă altul te poate identifica.

• Mai multe excepții la consimțământ pentru acces pe dispozitiv (în numele audienței, securității etc.).

• Mai greu să-ți exerciți drepturile dacă „abuzul” devine pretext.

• Mai multă presiune pe viața privată într-o eră în care AI are foame de date.

Pentru companii

• Pro: posibil costuri mai mici și reguli mai „armonizate” (mai ales în zona cookie banners / competențe).

• Contra: risc de backlash, litigii, instabilitate reputațională și incertitudine (dacă ONG-urile atacă prevederi sau dacă apar interpretări divergente).

Pentru instituții/administrațiile publice

• Posibilă simplificare în raportări și mecanisme (ex. single-entry point pentru raportarea incidentelor la ENISA).

• Dar și risc de slăbire a protecțiilor tocmai când încrederea publică în instituții și platforme e fragilă.

Pentru privacy și libertăți personale

Miza nu e „cookie banner-ul”. Miza este dacă Europa păstrează principiul de bază: datele personale sunt despre tine și rămân protejate, chiar când sunt convenabil de „reinterpretat” pentru economie sau AI.

Ce spun ONG-urile (pe scurt, dar esențial)

• noyb: vorbește despre un „downgrade” major și „death by a thousand cuts” – o slăbire prin multe mici modificări care, cumulate, schimbă esența GDPR.

• EDRi: avertizează că mutarea ePrivacy în GDPR și lărgirea excepțiilor poate eroda controlul real al oamenilor asupra a ceea ce se întâmplă „în” dispozitivele lor și asupra confidențialității comunicațiilor.

• Apti.ro: descrie Digital Omnibus ca pe o încercare de a face „GDPR ferfeniță” sub pretextul „simplificării” și avertizează că procedura de împingere a modificărilor este una accelerată. 

Context geopolitic (de ce acum)

În presa internațională, pachetul este descris ca venind pe fond de presiune politică și economică: competitivitate, lobby și tensiuni transatlantice (inclusiv discuții despre Big Tech și administrația SUA). Reuters surprinde direct această linie: reformă prezentată ca simplificare, criticată ca slăbire a protecției și „covor roșu” pentru folosirea datelor în AI. 

Jurnalistul Vlad Dumitrescu scrie într-un articol pe Hotnews.ro că este “important să înțelegem că Digital Omnibus apare într-un moment în care administrația Trump și marile companii tech din SUA fac presiuni constante pentru dereglementarea pieței digitale, inclusiv în Europa. Potrivit datelor publice, cheltuielile de lobby ale industriei tech au crescut accelerat în ultimii ani, iar mesajele promovate (că protecția datelor frânează inovația și dezvoltarea AI) se regăsesc aproape identic în documentele Comisiei.” Articolul integral aici.

Ce poți face ca cetățean UE (acum, nu mai târziu)

Pasul 1: Trimite email către europarlamentari (MEP)

Ținta: toți MEP din România (și, dacă ai energie, și MEP din comisiile relevante: ITRE + LIBE). Dosarul este în procedură ordinară și comisiile sunt deja indicate în fișa Parlamentului.  

Lista MEP România (actualizată pe site-ul Parlamentului European)

Lista adreselor de email ale europarlamentarilor români (de copiat în câmpul BCC)

Pasul 2: Trimite email către autorități din România care influențează poziția în Consiliul UE

Negocierea finală se face și în Consiliu. Ai câteva puncte de intrare oficiale:

• Reprezentanța Permanentă a României pe lângă UE (Bruxelles): rpro@mae.ro

• Guvern – Cancelaria / contact presă și informații: presa@gov.ro

• Secretariatul General al Guvernului – relația cu publicul/petiții: drp@gov.ro

• Președinția României – relația cu cetățenii: procetatean@presidency.ro

• Camera Deputaților (petiții / sesizări): srp@cdep.ro

• Senatul României (info public): infopub@senat.ro

Pasul 3: Folosește același mesaj și la parlamentari locali

Nu trebuie să fie „expertiză tehnică”. Trebuie să fie semnal politic: “nu susțineți slăbirea GDPR/ePrivacy sub pretextul simplificării”.

Template email (copiezi și trimiți)

Subiect (alege unul):

• Opriți slăbirea GDPR prin „Digital Omnibus” (2025/0360 COD)

• Vă cer să votați împotriva modificărilor care reduc protecția datelor în UE

• Digital Omnibus: nu transformați „simplificarea” într-un downgrade al drepturilor

Corp email:

Bună ziua,
Sunt cetățean(ă) al Uniunii Europene și vă scriu în legătură cu dosarul „Simplification of the digital legislative framework (Digital Omnibus)” – 2025/0360(COD).

Vă solicit să nu susțineți modificări care slăbesc protecția reală oferită de GDPR și ePrivacy, în special:

• redefinirea/fragmentarea noțiunii de „date personale” (mai multă zonă gri pentru operatori, mai puțin control pentru oameni);

• mutarea regulilor ePrivacy în GDPR cu excepții care pot permite acces la date din dispozitive fără consimțământ în multiple situații (inclusiv „măsurarea audienței”);

• lărgirea utilizării „interesului legitim” în context AI și relaxări privind datele sensibile în seturi AI („rezidual”, „efort disproporționat”).

ONG-uri precum noyb și EDRi avertizează public că pachetul riscă să fie un „death by a thousand cuts” pentru GDPR și să erodeze confidențialitatea comunicațiilor.

Vă rog să îmi confirmați poziția dvs. și cum veți vota / ce amendamente veți susține pentru a proteja drepturile digitale ale cetățenilor.

Cu respect,
[Nume]
[Oraș, țară]
[Opțional: telefon]

Google UCP: ce este Universal Commerce Protocol și ce înseamnă pentru retailul din România