Negli ultimi anni l’Unione europea ha adottato molte norme per disciplinare il digitale: dall’uso dei dati alla cybersecurity, fino all’intelligenza artificiale. L’obiettivo è chiaro: tutelare cittadini e consumatori, garantire un mercato più equo e rendere la tecnologia più affidabile.
Tuttavia, l’accumulo di regole – spesso nate in momenti diversi e con finalità diverse – ha avuto anche un effetto collaterale: per molte aziende è aumentata la complessità, con sovrapposizioni, dubbi interpretativi e adempimenti ripetuti. In questo contesto si inserisce la strategia di “semplificazione” promossa dalla Commissione europea (“Un’Europa più semplice e più veloce”), che punta a rendere l’acquis UE più leggibile, coerente e applicabile. (Si veda La Comunicazione “Un’Europa più semplice e più veloce” indispensabile per comprendere la strategia dell’UE dei prossimi cinque anni)
Il Digital Omnibus è il primo passo concreto di questa strategia: un pacchetto di proposte che mira a razionalizzarealcune delle principali norme digitali. Il percorso legislativo è però solo all’inizio: quanto segue è una prima lettura, focalizzata sulle novità più rilevanti, senza pretesa di completezza.
Indice
Il pacchetto di norme: due proposte, un obiettivo comune
Il Digital Omnibus si compone di due proposte distinte:
-
COM(2025) 837 (2025/0360 COD)
Interviene su un insieme ampio di regole che riguardano dati, privacy e cybersecurity, tra cui: GDPR, Direttiva ePrivacy, Data Act, e meccanismi di segnalazione incidenti collegati a strumenti come NIS2, DORA, CER, eIDAS. L’obiettivo è ridurre duplicazioni e migliorare l’interazione tra normative che oggi “si parlano” con fatica. -
COM(2025) 836 (2025/0359 COD)
È la proposta “gemella” dedicata all’AI Act: introduce correzioni e semplificazioni per rendere più fluida l’applicazione della disciplina sull’intelligenza artificiale.
Le due proposte sono diverse, ma la finalità è comune: costruire un quadro normativo più coerente, comprensibile e sostenibile per imprese ed enti pubblici.
L’iter legislativo: a che punto siamo
Entrambe le proposte seguono la procedura legislativa ordinaria (Parlamento e Consiglio). Questo significa che il testo potrà essere modificato anche in modo significativo durante i negoziati.
Di conseguenza, oggi non cambia nulla per le aziende: le regole attuali restano in vigore. Solo dopo l’eventuale approvazione definitiva (indicativamente non prima del prossimo anno) e la pubblicazione in Gazzetta Ufficiale UE si potrà parlare di nuove disposizioni operative, spesso con ulteriori tempi di adeguamento.
Per chi vuole mantenersi aggiornato, ecco alcuni LINK UTILI:
| Dettagli | Link |
|---|---|
| La Commissione Europea ha messo a disposizione, nella sua pagina, un modulo pubblicamente accessibile per esprimere perplessità, valutazioni e pareri. | Modulo UE |
| Iter del Digital Omnibus sul sito dedicato dell’UE. | Iter Digital Omnibus |
| Iter del Digital Omnibus sull’intelligenza artificiale (AI) sul sito dedicato dell’UE. | Iter Digital Omnibus AI |
Proposta 837: Data Act
Sul Data Act, la proposta non sembra voler riscrivere le regole da capo, ma intervenire su alcuni punti che nella pratica possono creare frizioni.
Di fatto la proposta mira a rafforzare il Data Act attraverso l’incorporazione di strumenti precedenti come il Data Governance Act e (Regolamento (UE) 2022/868), del Regolamento (UE) 2018/1807 sul libero flusso dei dati non personali e della Direttiva Open Data e riutilizzo delle informazioni del settore pubblico (EU 2019/1024). Il Data Act diventa l’unico riferimento per l’accesso, la condivisione e il riutilizzo di dati personali e non personali.
Le modifiche più rilevanti si concentrano su quattro aree, ricordando che trattasi ancora di una proposta.
Le modifiche al Data Act
In primo luogo, viene rafforzata la tutela dei segreti commerciali nel contesto della condivisione dei dati generati da dispositivi connessi (IoT). La proposta introduce una regola che consente al data holder di negare la messa a disposizione di trade secrets quando vi sia un rischio elevato che tali informazioni possano essere acquisite o divulgate in modo illecito verso Paesi terzi o soggetti sotto la loro influenza, in particolare dove le tutele risultino meno robuste rispetto al quadro UE.
Secondo, l’Omnibus riscrive la parte più discussa del Data Act: il business-to-government (B2G). Il perimetro viene ristretto, spostando il baricentro dalle “eccezionali necessità” alle sole emergenze pubbliche. In pratica, alcune disposizioni vengono soppresse e sostituite da un nuovo articolo-chiave che disciplina in modo più compatto le richieste di accesso ai dati in contesti emergenziali, affiancato da un riassetto delle regole sulla compensazione (con la previsione di gratuità in specifiche ipotesi) e da un nuovo canale di tutela amministrativa/para-giurisdizionale, con un diritto di reclamo per contestare richieste, condizioni e compensi.
Terzo, sul fronte cloud e switching tra servizi di data processing, la proposta introduce correttivi per i casi in cui i servizi siano fortemente personalizzati o legati a contratti conclusi prima dell’entrata in applicazione del Data Act (12 settembre 2025), oltre a misure pensate per alleggerire gli oneri per provider PMI e small mid-cap. L’intento è preservare l’obiettivo anti–vendor lock-in (inclusi switching/egress charges), ma riducendo frizioni e carichi amministrativi dove l’applicazione “rigida” delle regole sarebbe poco proporzionata.
Infine, l’Omnibus mira a semplificare alcuni nodi di incertezza tecnologico-giuridica, tra cui la disciplina sugli smart contracts utilizzati per eseguire accordi di condivisione dei dati: l’orientamento è quello di alleggerire l’impianto, riducendo obblighi che potrebbero generare incertezza o costi elevati senza corrispondenti benefici.
Proposta 837: modifiche al GDPR
Molte delle novità proposte per il GDPR riguardano l’adeguamento della normativa alle pronunce della Corte di Giustizia, ma altre hanno invece l’intento di semplificare l’applicazione pratica delle regole con l’intento di ridurre alcuni costi di compliance per le Aziende. Le modifiche proposte sono molte, variegate e con importanti conseguenze se approvate. Pertanto in questa sede ci concentriamo sulle proposte di modifica che facilmente saranno approvate e quelle che avranno un impatto strategico per l’uso dei dati personali.
La prima area riguarda le definizioni, in particolare la nozione di dato personale (art. 4(1)) recependo la giurisprudenza della Corte di giustizia degli ultimi anni .
(Si veda per tutti: La CGUE precisa il confine dei dati pseudonimizzati: opportunità e implicazioni dopo la “Sentenza Deloitte” ).
La proposta chiarisce che le informazioni non costituiscono dati personali per un determinato titolare del trattamento se quest’ultimo non dispone, e non può ragionevolmente ottenere, i mezzi per identificare l’interessato. La valutazione diventa quindi più soggettiva e incentrata sul titolare, ancorata alle reali capacità di identificazione dell’operatore specifico.
Nuove aperture legate all’AI
Molto interessanti sono le modifiche all’uso dei dati particolari. La proposta prevede la possibilità di trattamento di dati particolari per finalità di sviluppo, addestramento, testing e validazione di sistemi o modelli di IA, purché siano adottate misure tali da limitare la raccolta di questo genere di dati e, qualora ci si avveda dell’utilizzo di dati particolari, si intervenga per rimuoverli o, perlomeno, per evitare che tali dati siano utilizzati per la produzione degli output, siano diffusi o resi disponibili a soggetti terzi. Tale previsione va vista in collegamento con la proposta che prevederebbe il legittimo interesse come condizione di liceità del trattamento di dati personali per le finalità di addestramento dell’IA, ferma restandone l’esperibilità previo bilanciamento con i diritti e le libertà degli interessati.
Il nuovo Data Breach
Oggi la notifica è obbligatoria salvo che sia “improbabile che la violazione dei dati personali presenti un rischio”. La proposta di modifica prevede l’obbligo di notifica soltanto in quei casi in cui la violazione presenti un rischio elevato per gli interessati.
Questa modifica avrebbe, da un lato, il pregio di consentire al titolare di effettuare valutazioni analoghe in tema di notifica della violazione al Garante e di comunicazione alla stessa all’interessato. L’obiettivo della proposta di modifica ha lo scopo di sgravare le autorità di controllo da segnalazioni minori e a ridurre gli oneri per le imprese, auspicando che non porti le aziende ad avere meno attenzione per gli incidenti.
Un’ulteriore modifica all’articolo 33 del GDPR riguarderebbe poi la tempistica di notifica, innalzata da 72 a 96 ore.
Ma l’azione che avrà senz’altro un impatto concreto, e positivo, per le imprese è l’istituzione di un unico punto di accesso (single-entry point) per la notifica di data breach e incidenti. ENISA – l’Agenzia europea per la cybersicurezza – sarebbe individuata come il soggetto responsabile di sviluppare e gestire una piattaforma unica attraverso cui l’impresa possa adempiere ai plurimi obblighi di notifica cui soggiace in virtù di molteplici atti normativi, come GDPR, NIS2, Regolamento DORA. Questa modifica sarebbe davvero un passo avanti importante verso l’eliminazione di duplicazioni di adempimenti e incertezze operative per le imprese.
Proposta 837: ePrivacy
La proposta interviene sulla Direttiva ePrivacy con un’idea di fondo: ridurre la frammentazione tra ePrivacy e GDPR, che negli anni ha alimentato banner ripetitivi e incertezza su basi giuridiche e competenze.
Il cuore della riforma sarà incentrato sui contenuti dell’Art. 5(3) della Direttiva 2002/58/CE sarebbe in gran parte integrato nel GDPR, introducendo regole specifiche per il trattamento dei dati generati tramite dispositivi terminali (cookie, SDK, fingerprinting, identificatori di dispositivo). La Commissione dichiara apertamente lo scopo: semplificare un doppio regime che, negli anni, ha generato incertezza (consenso e-Privacy per l’accesso al device, poi GDPR per il trattamento successivo, con basi giuridiche non sempre coerenti) e ha contribuito alla “consent fatigue” dei banner, spesso poco chiari e percepiti come mero ostacolo.
In estrema sintesi, la direzione è quella di far confluire nel GDPR una parte importante della disciplina sull’accesso ai dati tramite dispositivi terminali (cookie e tecnologie equivalenti), così da governare il tema in un quadro più unitario. È un passaggio delicato e molto discusso: l’ambizione è buona (meno sovrapposizioni), ma l’efficacia dipenderà dal testo finale e dagli standard applicativi.
Proposta 836: le principali novità per l’AI Act (selezione)
Anche qui, l’obiettivo è rendere l’AI Act più “attuabile” e proporzionato.
-
Sostegno a PMI e small mid-caps: alcune semplificazioni e strumenti pensati per PMI vengono estesi o rafforzati per imprese di dimensione intermedia, per evitare che la compliance diventi una barriera all’innovazione.
-
Bias detection e bias mitigation: si introduce una disciplina più chiara per il trattamento di categorie particolari di dati quando necessario a individuare e ridurre discriminazioni nei sistemi ad alto rischio, con vincoli e misure di sicurezza stringenti.
-
Tempistiche per gli high-risk: l’applicazione di alcuni obblighi viene collegata alla disponibilità di standard e linee guida, con scadenze massime (backstop) per i sistemi degli Allegati III e I. In pratica, un tentativo di allineare “diritto scritto” e strumenti tecnici disponibili.
Conclusioni
Il Digital Omnibus è, per ora, un cantiere aperto. La traiettoria è chiara: semplificare, ridurre duplicazioni e rendere più coerente il “rulebook” digitale europeo. Ma siamo ancora nella fase in cui Parlamento e Consiglio potranno modificareanche in modo sostanziale le proposte.
Per le aziende, oggi il messaggio è semplice: le regole vigenti non cambiano, ma vale la pena seguire l’evoluzione del dossier perché alcune linee (incident reporting unico, razionalizzazione cookie/terminal equipment, chiarimenti su AI e trattamento dati) potrebbero incidere in modo significativo su governance, compliance e processi.
