Digital Omnibus, il riordino Ue potrebbe indebolire tutele su dati, AI e privacy?

La Commissione europea ha messo mano al cuore del proprio acquis digitale con la proposta di regolamento nota come “Digital Omnibus”.

Si tratta di un testo orizzontale che modifica, tra gli altri, il GDPR, il regolamento sullo sportello digitale unico, il regolamento sulla protezione dei dati delle istituzioni europee, la disciplina sull’identità digitale, la direttiva ePrivacy e la direttiva NIS2 sulla cybersicurezza, oltre a coordinarsi con il DORA e con le norme sulle infrastrutture critiche.

Contestualmente vengono abrogati il Data Governance Act, il regolamento sul libero flusso dei dati non personali e la direttiva sugli open data, i cui contenuti confluiscono nel già noto Data Act.

Il Digital Omnibus è parte del più ampio pacchetto di semplificazione digitale annunciato dalla Commissione per la fine del 2025, che include anche una strategia sull’“Unione dei dati”, la revisione del Cybersecurity Act e l’introduzione del portafoglio europeo per le imprese. L’iniziativa si inserisce nella strategia di Bruxelles per alleggerire gli oneri amministrativi (almeno) del 25% per tutte le imprese e del 35% per le PMI, nell’ottica di rendere il mercato unico più competitivo senza rinunciare ai livelli di protezione costruiti negli ultimi anni.

Accanto al regolamento orizzontale, la Commissione ha presentato un secondo testo dedicato specificamente all’AI Act, il cosiddetto “Digital Omnibus on AI”, che mira a intervenire sui tempi di applicazione e su alcuni meccanismi di governance dei sistemi di intelligenza artificiale.

Data economy: il Data Act diventa l’asse portante

Una delle svolte più evidenti delle iniziative riconducibili al Digital Omnibus è la riunificazione della disciplina europea dei dati. Il Data Governance Act, la normativa sul libero flusso dei dati non personali e la direttiva sugli open data vengono assorbiti nel Data Act, che diventa il fulcro dell’intero sistema. Il divieto di localizzazione ingiustificata dei dati è stabilizzato all’interno di questo regolamento, a garanzia di un mercato realmente unico anche sul piano digitale.

La proposta restringe in modo significativo anche il perimetro dell’accesso pubblico ai dati detenuti da privati (B2G): gli obblighi di condivisione sono ammessi solo in presenza di “emergenze pubbliche” chiaramente definite, mentre vengono precisati i criteri per calcolare gli eventuali compensi dovuti ai detentori dei dati e per l’uso statistico da parte delle amministrazioni.

Altro capitolo centrale riguarda i servizi cloud. Il testo riconosce le difficoltà dei fornitori di dimensioni ridotte o dei servizi altamente personalizzati nel rispettare, in tempi brevi, i vincoli allo switching previsti dal Data Act. Per questi soggetti è previsto un regime meno oneroso per i contratti stipulati prima del settembre 2025, pur mantenendo l’obiettivo di lungo periodo: rimuovere progressivamente costi e barriere al passaggio da un provider all’altro.

Tra le altre misure spicca la semplificazione del quadro sugli smart contract, con l’eliminazione dei requisiti essenziali inizialmente previsti e il rinvio alla futura definizione di standard armonizzati, se e quando il mercato ne evidenzierà la necessità.

Privacy: il Digital Omnibus interviene su dubbi interpretativi

Il Digital Omnibus interviene in modo chirurgico sul GDPR, mirando a sciogliere alcuni nodi interpretativi emersi in questi anni.

Tra questi:

• Definizione di dato personale: nel Digital Omnibus, il concetto viene precisato alla luce dei “mezzi ragionevolmente disponibili” per identificare una persona fisica. L’intento è allineare il testo normativo alla prassi delle autorità e dei giudici, in un contesto in cui l’uso di dati eterogenei e sistemi di intelligenza artificiale rende più sfumato il confine tra dato personale e dato anonimo.
• Informative e adempimenti “light” in scenari a basso rischio: per trattamenti standard e poco invasivi la proposta contenuta nel Digital Omnibus prevede informative semplificate e la possibilità di calibrare alcuni obblighi documentali, con l’obiettivo di concentrare le risorse di imprese e PA sui trattamenti effettivamente più delicati.
• Data breach: la notifica alle autorità di controllo sarebbe richiesta solo in caso di rischio elevato per i diritti e le libertà degli interessati, con un termine massimo di 96 ore e l’obbligo di utilizzare il nuovo portale europeo di notifica. Il Comitato europeo per la protezione dei dati dovrà predisporre modelli standardizzati per facilitare la compilazione delle segnalazioni e delle valutazioni d’impatto.
• Decisioni automatizzate: il regolamento Digital Omnibus chiarisce le condizioni per l’utilizzo di processi decisionali interamente automatizzati, rafforzando l’idea di un modello ibrido in cui l’intervento umano resta necessario nei casi più sensibili, senza bloccare gli scenari in cui l’automazione può portare efficienza senza sacrificare le opportune tutele.

Digital Omnibus: l’impatto sui cookie

La modifica forse più importante proposta dal Digital Omnibus riguarda però la disciplina dei cookie e degli altri strumenti di tracciamento. Le regole oggi disperse nella direttiva ePrivacy vengono recepite nel GDPR, in due nuovi articoli dedicati. Al centro c’è l’introduzione di segnali di consenso e opposizione “machine-readable”, destinati a essere incorporati nativamente in browser e sistemi operativi. I siti e le app dovranno leggere tali segnali e adeguarsi alle scelte espresse dagli utenti a livello di dispositivo, riducendo la proliferazione di banner ripetitivi e di difficile comprensione.

Resta confermata la possibilità di trattare dati sui terminali senza consenso per funzioni essenziali – trasmissione della comunicazione, servizio richiesto dall’utente, misurazioni aggregate first-party, sicurezza del dispositivo – mentre è previsto un regime particolare per i fornitori di servizi media.

Cybersicurezza: uno sportello unico per molteplici obblighi

Sul fronte della cybersicurezza la proposta del Digital Omnibus affronta una delle criticità più avvertite dagli operatori: la molteplicità di canali e modelli di notifica previsti oggi da NIS2, DORA, GDPR, direttiva sulle infrastrutture critiche e quadro eIDAS.

Il Digital Omnibus istituisce un c.d. Single Entry Point europeo gestito da ENISA, l’Agenzia dell’Unione per la cybersicurezza, punto di riferimento di settore.

Attraverso un unico portale digitale, imprese e amministrazioni potranno trasmettere una sola notifica, valida simultaneamente per tutti i regimi di segnalazione applicabili. Il principio è quello del “report once, share many”: una sola trasmissione, riutilizzata dalle diverse autorità competenti.

L’utilizzo di questo canale diventerà obbligatorio per gli operatori soggetti a NIS2 e agli altri strumenti coinvolti, una volta che la Commissione avrà attestato la piena operatività della piattaforma. Il portale sarà inoltre interoperabile con le European Business Wallets, consentendo l’identificazione sicura del soggetto notificante e la precompilazione di parte delle informazioni richieste.

AI Act: tempi più flessibili e base giuridica per mitigare i bias

Il pacchetto Digital Omnibus comprende anche un intervento mirato sull’AI Act, formalmente contenuto in una proposta distinta ma politicamente coordinata.

Tra le novità più rilevanti:

• timeline più flessibili per l’applicazione delle regole sui sistemi ad alto rischio, collegate alla disponibilità di standard armonizzati e linee guida tecniche;
• estensione delle semplificazioni previste per le PMI alle cosiddette small mid-cap, riconoscendo che molte realtà europee operano già su scala internazionale pur non rientrando nella definizione classica di piccola o media impresa;
• introduzione di un nuovo articolo che consente, a condizioni rigorose, il trattamento di categorie particolari di dati personali allo scopo di rilevare, correggere e monitorare i bias dei sistemi di intelligenza artificiale. Si codifica così, anche sul piano giuridico, l’esigenza di utilizzare dati sensibili per verificare l’assenza di discriminazioni algoritmiche;
• rafforzamento del ruolo dell’AI Office europeo, chiamato a coordinare le autorità nazionali, sviluppare linee guida vincolanti e vigilare direttamente sui modelli di intelligenza artificiale di portata generale.

L’operazione non stravolge l’impianto dell’AI Act, ma ne rende più graduale l’implementazione e cerca di sciogliere le frizioni con il diritto alla protezione dei dati, in particolare sul terreno del trattamento di dati sensibili per finalità di non-discriminazione.

Digital Omnibus: quanto si risparmia davvero?

Secondo le stime contenute nella documentazione illustrativa che accompagna la proposta, il Digital Omnibus potrebbe generare risparmi superiori a un miliardo di euro l’anno, cui si aggiungerebbe un beneficio una tantum di analoga entità, per un effetto cumulato vicino ai cinque miliardi entro il 2029. L’impatto positivo riguarderebbe tanto le imprese quanto le amministrazioni pubbliche e, in ultima analisi, i cittadini, grazie a procedure più snelle e a un uso più efficiente delle risorse.

Digital Omnibus: semplificazione o arretramento sui diritti digitali?

Se il mondo delle imprese guarda con favore alla prospettiva di ridurre sovrapposizioni e adempimenti duplicati, le organizzazioni impegnate nella tutela dei diritti digitali manifestano preoccupazione rispetto alle proposte del Digital Omnibus. Alcune realtà della società civile parlano apertamente di un rischio di “deregulation mascherata”, temendo che il pacchetto finisca per indebolire pilastri come il GDPR, la disciplina ePrivacy e lo stesso AI Act, ancora lontano da una piena applicazione.

I punti più controversi riguardano:

• l’innalzamento della soglia per la notifica dei data breach, che potrebbe ridurre la trasparenza verso gli interessati;
• la possibilità di utilizzare dati sensibili per la mitigazione dei bias, con il timore che garanzie troppo generiche aprano la strada a trattamenti molto invasivi;
• la tendenza, in generale, a presentare la semplificazione come l’unica via per la competitività, rischiando di ridurre diritti fondamentali e tutele a “costi amministrativi” da comprimere.

Dall’altro lato, istituzioni e imprese insistono sul fatto che norme eccessivamente complesse o ridondanti tendono a essere applicate male o a non essere applicate affatto, generando incertezza anziché sicurezza giuridica.

Le prossime tappe

Il Digital Omnibus seguirà ora la procedura legislativa ordinaria: esame ed emendamenti da parte del Parlamento europeo e del Consiglio, eventuali triloghi, approvazione finale e pubblicazione nella Gazzetta ufficiale. È ragionevole attendersi un confronto serrato, in particolare sui capitoli dedicati al GDPR, ai cookie e alle modifiche dell’AI Act.

Per imprese e pubbliche amministrazioni, l’iter non è solo da osservare ma da governare: la portata trasversale del Digital Omnibus impone fin d’ora una riflessione su contratti cloud, processi di gestione dei dati, procedure di notifica degli incidenti e uso dell’intelligenza artificiale.

Sul piano politico, infine, il pacchetto Digital Omnibus segna un passaggio rilevante: l’Unione europea prova a dimostrare che è possibile semplificare senza arretrare sui diritti. Se il compromesso finale riuscirà in questo equilibrio sarà la vera posta in gioco del dibattito che si apre ora nelle istituzioni e nell’opinione pubblica europea.

Semplificare, ma a che prezzo…

Il “Digital Omnibus” non appare come una semplice operazione di manutenzione normativa, ma come un vero e proprio cambio di paradigma. Dietro la promessa di “semplificare” le norme e alleggerire gli oneri per le imprese, si intravede il rischio concreto di un arretramento strutturale delle tutele costruite in Europa nel tempo e con fatica.

La corsa all’intelligenza artificiale diventa così il pretesto per allentare vincoli fondamentali: l’uso di dati personali per addestrare modelli e alimentare nuovi servizi verrebbe reso più facile, spesso affidando la tutela ad un fragile meccanismo di opt-out che, nella pratica, pochi potranno davvero esercitare.

Parallelamente, si toccano concetti cardine come la nozione stessa di dato personale e si riducono gli spazi del diritto di accesso, che la giurisprudenza europea aveva elevato a strumento trasversale di controllo, anche in ambito lavorativo, finanziario, giornalistico.

L’impressione è che invece di intervenire sulla cronica non conformità di molte aziende, si mette in discussione l’estensione dei diritti degli interessati.

Come detto, il Digital Omnibus non appare come un semplice (per usare un termine inflazionato) ritocco tecnico, ma una silenziosa riscrittura del sempre più attuale equilibrio tra economia digitale, progresso tecnologico e diritti fondamentali.

Se questa impostazione dovesse confermarsi, l’Europa rischierebbe di sacrificare uno dei suoi tratti distintivi come l’elevata attenzione alla protezione dei dati personali proprio nel momento in cui la fiducia nella dimensione digitale dovrebbe essere rafforzata, non indebolita.