Presentato il Digital Omnibus: la proposta della Commissione UE che ridisegna il quadro normativo della protezione dei dati europea
Il 19 novembre 2025 la Commissione Europea ha presentato ufficialmente il Digital Omnibus, la proposta legislativa che rappresenta la più ampia revisione del quadro normativo digitale dell’UE dall’entrata in vigore del GDPR nel 2018, che potrebbe segnare un cambio di paradigma per la protezione dei dati europea.
L’iniziativa introduce un insieme di modifiche a molteplici regolamenti digitali dell’UE, tra cui GDPR e Artificial Intelligence Act, sollevando un dibattito senza precedenti tra necessità di competitività e tutela dei diritti fondamentali.
Da un lato, vi è l’esigenza concreta di rendere operativo un framework normativo articolato da numerosi regolamenti che negli ultimi anni è diventato un labirinto, mentre d’altra parte il potenziale rischio è quello che la semplificazione diventi il pretesto per una rinegoziazione dei principi fondamentali che hanno reso l’Europa un punto di riferimento globale in materia di protezione dati.
Obiettivi e tempistiche del Digital Omnibus: L’obiettivo dichiarato dalla Commissione Europea è quello di ridurre il carico amministrativo di almeno il 25% per tutte le imprese e del 35% per le PMI, rispondendo alle preoccupazioni espresse nel rapporto Draghi sulla competitività europea.
Il 16 settembre 2025 la Commissione aveva aperto una consultazione pubblica conclusasi il 14 ottobre e seguita adesso dalla presentazione ufficiale del pacchetto normativo, con una proposta che impatta simultaneamente su:
- GDPR (General Data Protection Regulation);
- Artificial Intelligence Act (Regolamento sull’Intelligenza Artificiale);
- Direttiva ePrivacy (cookie law);
- Direttiva NIS2 (sicurezza delle reti);
- Data Act e Data Governance Act;
- Framework europeo per l’identità digitale.
La ridefinizione di “dato personale” - Uno degli aspetti più critici e meno pubblicizzati riguarda la proposta di introdurre un “approccio soggettivo” della nozione di “dato personale” nel testo del GDPR: se una specifica informazione non permette di identificare direttamente una persona, il dato non deve essere considerato “personale” per l’azienda che lo tratta, e resta fuori dal campo di applicazione del GDPR.
Tale formulazione consentirebbe un’esenzione generale dal GDPR per i titolari del trattamento che utilizzano dati “pseudonimi” (come “user12473” o dati da cookie di tracciamento) invece dei nominativi degli interessati.
Questo cambiamento si discosterebbe notevolmente dall’interpretazione piuttosto ampia da una giurisprudenza maturata in oltre 20 anni dalla Corte di Giustizia (CGUE) su cosa costituisca “dato personale”, la cui definizione deriva dall’Articolo 8 della Carta dei diritti dei cittadini dell’UE, ed è molto probabile che un cambiamento così profondo andrebbe a ridisegnare lo stesso concetto europeo della privacy.
Se la proposta di questa modifica fosse confermata avrebbe quindi un impatto dirompente non solo sui diritti dei cittadini, ma anche sulle attività di tracking online, in quanto la maggior parte del tracciamento web opera tramite identificatori pseudonimi, e sull’advertising, perchè l’intero ecosistema pubblicitario digitale si basa su ID univoci, nonché sulle attività dei data broker, in quanto buona parte delle banche dati da essi commercializzate sarebbero esentate dall’ambito di applicazione del GDPR.
“Small-Mid Caps”: una nuova categoria di imprese - Il Digital Omnibus introduce una nuova categoria di impresa, le “small-mid caps” (SMCs), che si collocano tra le piccole e medie imprese (PMI) e le grandi imprese.
Le SMCs sono definite come aventi meno di 750 dipendenti e un fatturato annuo fino a €150 milioni o attivi totali fino a €129 milioni.
Molte imprese precedentemente categorizzate come “grandi” potrebbero così rientrare in questa nuova categoria SMC, beneficiando di:
-Deroghe GDPR: alcune deroghe attualmente disponibili per le PMI verrebbero estese alle SMCs, in particolare l’esonero dagli obblighi di tenuta dei registri ai sensi dell’art. 30 del Regolamento UE, a meno che il trattamento dei dati personali non sia considerato a “rischio elevato”;
- Prospetti semplificati: per offerte pubbliche di titoli;
- Accesso facilitato ai mercati di capitali.
AI Act e intelligenza artificiale: il nodo del legittimo interesse - Tra le modifiche più significative emerge la creazione di una nuova disposizione nel GDPR che stabilisce lo sviluppo e l’operatività dei sistemi di AI come legittimo interesse del titolare del trattamento. In pratica, le attività di allenamento degli algoritmi dell’intelligenza artificiale con i dati personali presenti su social network, piattaforme online e siti web potrebbero essere svolte legittimamente con la base giuridica del legittimo interesse, creando un regime di notevole favore per l’AI.
Il meccanismo “stop-the-clock” per l’AI Act - Tra gli elementi più attentamente osservati del Digital Omnibus vi è la revisione dell’AI Act, in particolare le regole per i sistemi di intelligenza artificiale ad alto rischio che dovrebbero applicarsi da agosto 2026. Con gli standard tecnici ritardati e le autorità nazionali ancora in fase di rafforzamento, sia Germania che Repubblica Ceca hanno formalmente chiesto di posticiparne di un anno la data di applicazione, e in risposta la Commissione sta valutando un meccanismo “stop-the-clock” per allineare la tempistica della legge con la preparazione pratica per rimandare tutto all’agosto 2027, concedendo così alle imprese e alle autorità più tempo per implementare gli standard armonizzati.
Dati sensibili: rivelati vs inferiti - La protezione rafforzata si applicherebbe dove i dati rivelano direttamente informazioni sensibili. I titolari che si basano sull’inferenza di tratti sensibili (ad es. orientamento politico dalla navigazione) potrebbero affrontare meno vincoli dell’art. 9 del GDPR, ma dovrebbero comunque soddisfare gli articoli 5 e 6 del Regolamento europeo ed essere consapevoli di correttezza, trasparenza e rischio di danno.
Le modifiche proposte introdurrebbero nuove esenzioni che consentirebbero agli sviluppatori di AI di processare legalmente categorie sensibili di dati come informazioni sulle convinzioni politiche o religiose, etnia o salute, per finalità di training e operatività. Questa disposizione rappresenta un punto di rottura rispetto all’architettura originaria del GDPR.
L’AI Act stabilisce precedenti normativi che potrebbero orientare future regolamentazioni internazionali, ma il Digital Omnibus rischia di indebolire queste disposizioni prima ancora della loro piena implementazione.
Cookie law - La Commissione intende inoltre affrontare la cosiddetta “consent fatigue” rivedendo le regole sui cookie e tecnologie di tracciamento simili, ampliando le situazioni in cui cookie e tecnologie comparabili possono essere utilizzati senza consenso. L’approccio proposto è duplice: estendere le eccezioni attuali del framework ePrivacy per includere finalità aggiuntive come sicurezza, misurazione dell’audience e fornitura di servizi richiesti dall’utente, e introdurre un meccanismo per l’espressione automatizzata e machine-readable delle preferenze degli utenti, progettato per ridurre la necessità di banner di consenso ripetitivi.
Le modifiche ridurranno il numero di volte in cui i banner dei cookie vengono visualizzati e consentiranno agli utenti di indicare il proprio consenso con un solo clic e salvare le proprie preferenze sui cookie attraverso le impostazioni centrali delle preferenze nei browser e nel sistema operativo.
La proposta potrebbe spostare l’Europa da un sistema opt-in a qualcosa di più vicino all’opt-out, dove gli utenti devono attivamente rifiutare di fermare il tracciamento. Per i professionisti della protezione dei dati, questo cambiamento avrà implicazioni dirette sia sotto il profilo normativo che su quello della cybersecurity.
Accesso ai terminal equipment senza consenso - Le aziende tecnologiche potrebbero anche essere autorizzate a estrarre dati direttamente dai dispositivi degli utenti se determinate condizioni sono soddisfatte (ad esempio, un produttore di smartphone può sostenere di dover raccogliere dati dagli utenti per scopi di sicurezza). Ogni tracciamento è tuttavia potenzialmente un vettore di profilazione non autorizzata, di data exfiltration, di fingerprinting avanzato che può essere sfruttato per attacchi di social engineering.
Decisioni automatizzate – L’art. 22 del GDPR prevede attualmente un diritto qualificato degli individui a non essere soggetti a decisioni esclusivamente automatizzate che hanno effetti legali o similmente significativi, soggetto a tre limitate esenzioni: dove la decisione è necessaria per stipulare o eseguire un contratto, autorizzata dalla legge, o basata su consenso esplicito.
La proposta del Digital Omnibus amplierebbe l’esenzione contrattuale chiarendo che una decisione automatizzata può essere presa anche quando lo stesso risultato potrebbe essere raggiunto anche con mezzi umani. Questo aggiustamento abbasserebbe la soglia per fare affidamento sulla base contrattuale e fornirebbe maggiore certezza legale per il deployment di decisioni automatizzate nell’UE.
Questa modifica faciliterebbe significativamente l’adozione di sistemi di:
- Rating automatico per rider e lavoratori della gig economy;
- Assegnazione turni algoritmica nei call center;
- Monitoraggio produttività per smart worker;
- Screening automatizzato nelle risorse umane.
Diritti degli interessati: limitazioni e restrizioni - L’Omnibus potrebbe anche rendere più difficile per i soggetti interessati esercitare i loro diritti di accedere ai propri dati, di farli trasferire o di opporsi al trattamento, se il titolare può dimostrare che lo scopo della richiesta del soggetto non si limita alla protezione dei dati personali. Questo potrebbe, ad esempio, minare l’accesso dei lavoratori ai dati in caso di controversia legale.
Questa modifica avrebbe impatti diretti su contenziosi lavorativi, rendendo più difficile per i dipendenti ottenere prove da utilizzare in giudizio, sulle investigazioni giornalistiche, ostacolando all’accesso a informazioni di interesse pubblico, e anche sulla ricerca accademica, con limitazioni all’accesso ai dati per finalità di studio.
ENISA Single-Entry Point: centralizzazione dell’incident reporting - Una delle proposte più tecnicamente sensate del pacchetto è il meccanismo “report once, share with all” che consente alle aziende di adempiere simultaneamente agli obblighi previsti da GDPR, NIS2, DORA e Digital Identity Regulation.
Un single-entry point ospitato da ENISA, auspicabilmente disponibile anche in lingua italiana, permetterebbe notifiche “report once, share many” ai sensi di NIS2, GDPR, DORA, eIDAS e il Digital Identity.
Le entità invierebbero le notifiche tramite un’unica interfaccia, e le autorità competenti riceverebbero correttamente i dati che nello specifico occorrono a ciascuna di esse.
Sulla carta, si tratta di un avanzamento significativo per chi deve gestire un data breach navigando tra requisiti di notifica diversi, tempistiche discordanti, formati non standardizzati, infatti la frammentazione degli obblighi di notifica delle violazioni rappresenta uno dei principali oneri amministrativi per le organizzazioni.
Modifiche all’AI Act: auto-declassificazione e accountability diluita – Un’altra modifica che desta preoccupazione per associazioni e gruppi di attivisti è la possibilità per le aziende di dichiarare unilateralmente un sistema di AI “ad alto rischio” come “a basso rischio” e aggirare le salvaguardie senza doverlo notificare a nessuno, con la rimozione del requisito di registrare i sistemi auto-esentati nel database europeo. Questa disposizione rischierebbe di inficiare l’approccio risk-based adottato nell’AI Act con quattro precisi livelli di rischio.
Un sistema di AI potrebbe quindi passare da alto rischio a basso rischio senza che autorità, ricercatori o società civile possano verificare la ragionevolezza della decisione. In caso di incidente (es. un sistema di riconoscimento facciale che produce false identificazioni, un algoritmo di credit scoring che discrimina, etc.) sarebbe estremamente difficile ricostruire se il sistema fosse stato originariamente classificato come ad alto rischio e successivamente declassato impropriamente.
Consolidamento legislativo: abrogazione e fusione di Regolamenti - Il Data Governance Act, l’Open Data Directive e il Free Flow of Data Regulation verrebbero abrogati e le loro regole chiave fuse nel Data Act, con nuove etichette volontarie UE per intermediazione dati e altruismo dei dati. Questo consolidamento vede un cambio strutturale significativo:
- Il Data Governance Act verrebbe assorbito nel Data Act;
- L’ Open Data Directive sarebbe assorbito nel Data Act;
- Il Free Flow of Data Regulation sarebbe assorbito nel Data Act;
- Il Platform-to-Business Regulation sarebbe invece abrogato (coperto da Data Services Act/Digital Markets Act).
La Commissione intende quindi integrare Data Act, Data Governance Act e strumenti correlati in un unico framework semplificato, riducendo sovrapposizioni e complessità della compliance.
EU Digital Identity Wallet: tra ambizione e rischi - Il Digital Omnibus prevede l’integrazione con il lancio dell’EU Business Wallet, modellato sull' EU Digital Identity Wallet per i cittadini europei. Viene applicato il principio “one in, one out” al Business Wallet europeo, ma le tempistiche appaiono irrealistiche.
Il Wallet non può essere una piattaforma affidabile per i dati più sensibili riguardanti identità, salute e finanze, se chiunque può richiedere informazioni che vanno ben oltre ciò che è proporzionato e legale per qualsiasi scopo dato.
Un sistema che comprende tutto, dagli acquisti quotidiani ai dati sanitari e finanziari, può avere successo solo se le persone lo percepiscono come sicuro. Ogni nuova riforma o intervento affrettato creerebbe solo più incertezza e rischierebbe di far deragliare l’intero progetto.
Gli Stati membri hanno attualmente la scadenza di fine 2026 per offrire il Wallet ai cittadini, ma questo è estremamente improbabile in molti paesi, in particolare poiché gli schemi di certificazione per il Wallet devono ancora essere completati.
Le pressioni geopolitiche degli USA e il paradosso della sovranità tecnologica - Un aspetto poco discusso pubblicamente ma fondamentale riguarda le pressioni geopolitiche che stanno influenzando l’introduzione del Digital Omnibus.
È infatti preoccupante che, ancora una volta, interessi geopolitici e pressioni dagli Stati Uniti sembrino guidare rinnovati tentativi di mettere in discussione o indebolire il GDPR, con il rischio di aumentare ulteriormente la dipendenza digitale dell’Europa.
Secondo diverse fonti, l’amministrazione Trump avrebbe esercitato forti pressioni sui funzionari europei per semplificare le regole digitali in modo che il blocco rimanga competitivo con la Cina, ma i principali beneficiari dell’Omnibus potrebbero essere ancora una volta le BigTech statunitensi, che già hanno un forte controllo sugli utenti europei. Anche se la performance assoluta delle aziende europee migliorerebbe, il divario con gli USA nell’AI potrebbe così ampliarsi.
Le critiche: 127 organizzazioni contro lo “smantellamento camuffato” - Secondo una coalizione di 127 associazioni per i diritti civili e gruppi di attivisti della protezione dei dati, ciò che viene presentato come una semplificazione tecnica delle leggi digitali europee è in realtà un tentativo di smantellare subdolamente le più importanti tutele dell’Europa. Tra i firmatari delle lettere aperte alla Commissione figurano organizzazioni come NOYB, EDRi, Access Now, e il Transatlantic Consumer Dialogue.
Il cuore dell’obiezione non riguarda il principio delle semplificazioni, da tutti riconosciute necessarie, ma il metodo e la sostanza. Mentre il GDPR ha richiesto anni di negoziazione, la consultazione pubblica sull’Omnibus si è velocemente conclusa lo scorso ottobre con un processo percepito come affrettato rispetto alla portata delle modifiche proposte.
Secondo associazioni e gruppi di attivisti, dai documenti trapelati emergerebbe che, nonostante le promesse della Commissione che la riforma del quadro digitale dell’UE non indebolirebbe le protezioni fondamentali per i diritti e le libertà delle persone, la realtà è che si tratterebbe del “più grande rollback dei diritti fondamentali digitali nella storia dell’UE”.
Implicazioni per i professionisti della protezione dei dati - Per Data Protection Officer e altri addetti ai lavori, il Digital Omnibus rappresenta una sfida su più livelli, e richiederà un aggiornamento significativo di policy, procedure, sistemi di compliance.
Se con le semplificazioni proposte dalla Commissione Europea il quadro normativo si orienta verso maggiore flessibilità nell’utilizzo dei dati personali per finalità di AI, la responsabilità dei professionisti della privacy e della cybersecurity diventa paradossalmente ancora più gravosa per districarsi nei nuovi scenari che si affacciano all’orizzonte delineandosi profondamente diversi da quelli attuali, e non potranno più fare affidamento su divieti normativi netti, ma dovranno esercitare un continuo bilanciamento tra opportunità di business e protezione dei diritti.
Dopo la presentazione del Digital Omnibus, seguiranno la procedura legislativa ordinaria nel Parlamento Europeo e nel Consiglio. Sono probabili accesi dibattiti politci ed emendamenti sostanziali durante il processo legislativo prima dell’adozione del testo finale, per cui nei prossimi mesi sarà fondamentale seguire gli sviluppi di un iter legislativo che pare destinato a stravolgere la visione della civiltà digitale che aveva caratterizzato l’Europa negli ultimi anni.
