Il 19 novembre 2025 la Commissione Europea ha presentato il cosiddetto Digital Omnibus, proposta legislativa che mira a semplificare il quadro regolamentare digitale europeo. Negli ultimi anni, infatti, si è creata una complessa stratificazione di atti che, pur facendo emergere l’Europa come continente all’avanguardia nella predisposizione di misure a tutela dei dati, hanno, contemporaneamente, ingenerato criticità operative e gestionali ritenute eccessivamente impattanti sull’economia aziendale.
Al fine di raccogliere le istanze emerse dai vari Paesi membri e dalle rappresentanze degli operatori economici, le istituzioni europee hanno intrapreso un percorso di consultazione che è, finalmente, terminato e ha avuto, come esito, la redazione del recente progetto normativo.

Da una parte il provvedimento è stato accolto con favore da molte aziende, in quanto potrebbe incentivare la crescita e la competitività, dall’altro lato molte organizzazioni per i diritti digitali ne hanno evidenziato i rischi di arretramento rispetto al vigente quadro di protezione dei diritti digitali e, paradossalmente, per la competitività delle aziende europee sul mercato mondiale.

Gli atti sui quali inciderà il proposto processo di armonizzazione sono, fondamentalmente, sei:

  1. Gdpr (General Data Protection Regulation);
  2. Artificial Intelligence Act (Regolamento sull’Intelligenza Artificiale);
  3. Direttiva ePrivacy (cookie law);
  4. Direttiva Nis2 (sicurezza delle reti);
  5. Data Act e Data Governance Act;
  6. Framework europeo per l’identità digitale.

Sarebbe complesso analizzare tutte le implicazioni di questo tentativo di semplificazione.
Vi sono, però, alcuni elementi che, per le loro ricadute pratiche sulla compliance, risultano di maggiore interesse.

Gli ambiti di impatto del decreto Digital Omnibus
Gli ambiti di impatto del decreto Digital Omnibus

Digital Omnibus, impatti su Gdpr, data breach, AI

A titolo esemplificativo, in materia di tutela dei dati personali, verrebbe riformata una delle definizioni fondamentali del Gdpr: la nozione di dato personale.
Allo stato attuale, tutte le informazioni che consentono di identificare, anche indirettamente, una persona fisica, vengono considerate “dato personale”; secondo le nuove regole, invece, la pseudonimizzazione dei dati – cioè il processo che consente di sostituire informazioni personali con alias – sottrarrebbe quelle informazioni dal campo di applicazione del Gdpr. Tale modifica, apparentemente non così impattante, avrebbe, invece, una rilevanza straordinaria nella gestione, archiviazione e conservazione delle informazioni; molto spesso le organizzazioni debbono impiegare risorse lavorative e sostenere costi elevati per gestire dati pseudonimizzati, definirne termini di conservazione congrui rispetto al Gdpr, calendarizzare la distruzione degli stessi, garantire standard di sicurezza elevatissimi. Se tali dati non fossero più sottoposti al Gdpr, sarebbe possibile utilizzarli, pur con adeguate cautele tecnico/organizzative, in modo molto più snello e, certamente, meno oneroso.

Altro elemento innovativo è la riforma del sistema di notificazione dei data breach. La segnalazione sarà, cioè, effettuata in casi più rari, ossia solamente quando si manifesta un alto rischio per i diritti e le libertà degli interessati e il termine concesso l’adempimento passerà da 72 a 96 ore. Andranno, quindi, riscritti i protocolli operativi aziendali di gestione dei data breach. Inoltre, è stato previsto un sistema di segnalazioni integrato, in modo da evitare la moltiplicazione di adempimenti derivanti dai diversi atti normativi sopra elencati.

Il pacchetto di regole inciderà anche sull’utilizzo dei cookie: introduzione di meccanismi di consenso automatizzati, meno banner, più trattamenti senza consenso esplicito, maggiore possibilità di profilazione e analisi anche per scopi statistici, di sicurezza e operativi.
Vi sono, poi, significative novità anche in merito all’AI Act: è stata introdotta un grande facilitazione a favore delle aziende del settore, in quanto si riconosce il legittimo interesse – senza necessità, quindi, del consenso dell’interessato – come base giuridica per le attività di allenamento degli algoritmi.

Sempre in merito all’intelligenza artificiale, il Digital Omnibus ha suscitato molte polemiche per le proroghe concesse all’entrata in vigore degli obblighi per i sistemi di intelligenza artificiale ad alto rischio, tenuto conto del ritardo alla disponibilità effettiva degli standard tecnici e degli strumenti di supporto necessari per la conformità.
L’iter legislativo europeo richiederà certamente qualche mese. Questo intervallo di tempo potrebbe, però, essere utile agli operatori economici – e agli enti pubblici – europei per avviare un ripensamento dei propri modelli privacy, al fine di essere già pronti al momento dell’entrata in vigore delle nuove disposizioni. Le organizzazioni dovranno, infatti, svolgere un’attenta analisi per poter ridisegnare le proprie misure organizzative, tecniche e di sicurezza che garantiscono il corretto trattamento dei dati personali. Si tratta di un’attività complessa perché, se è vero che ci saranno delle semplificazioni nella gestione dei dati personali, finalmente libera da alcune rigidità dell’attuale normativa, non si può non considerare che il modello adottato dalle organizzazioni operanti nel mercato europeo andrà adattato a nuove regole di semplificazione.
Questo, in termini concreti, consiste nell’effettuazione di una nuova valutazione dei rischi connessi alle varie tipologie di trattamenti, nella necessità di revisionare la documentazione privacy e le procedure di gestione dei data breach, nell’individuare basi giuridiche diverse da quelle attualmente invocate per legittimare alcuni trattamenti, nel ripensare alle ipotesi e alle metodologie di acquisizione dei consensi, nel riorganizzare e riclassificare le banche esistenti, iniziando a scorporare le sezioni che saranno, presumibilmente, sottratte all’applicazione del Gdpr. All’esito di tale processo, la compliance normativa dovrebbe continuare ad assicurare il rispetto dei diritti digitali aumentando, altresì, la competitività delle aziende europee sul mercato mondiale.

*Beatrice Carbonetto, avvocato esperta in diritto societario, civile e protezione dei dati

© RIPRODUZIONE RISERVATA

Condividi l'articolo:

ARTICOLI CORRELATIWHITEPAPER CORRELATIALTRO DALL'AUTORE