Il pacchetto Digital Omnibus e il suo impatto sull’economia dei dati europea

Il termine Digital Omnibus si riferisce a un pacchetto di misure volte a semplificare e razionalizzare una parte significativa dell’acquis digitale dell’UE. L’iniziativa fa parte di una strategia più ampia volta a ridurre gli oneri amministrativi, con l’obiettivo dichiarato di rafforzare la competitività del Mercato Unico e favorire l’innovazione, in particolare nei settori dei dati, della cybersicurezza e dell’intelligenza artificiale.

Il pacchetto si articola in due filoni principali:

COM (2025) 837: un intervento “orizzontale”, che interessa diversi strumenti esistenti (principalmente GDPR, ePrivacy, NIS2 e Data Act);

COM (2025) 836: un intervento “verticale” sull’AI Act, volto principalmente a rendere la sua applicazione più graduale e flessibile nel tempo.

L’architettura alla base del Digital Omnibus va quindi oltre i semplici aggiustamenti tecnici e tende a riorganizzare profondamente il rapporto tra norme, attori economici e diritti fondamentali nello spazio digitale europeo.

Le misure descritte di seguito si basano sulle proposte legislative presentate dalla Commissione Europea (COM(2025) 836 e COM(2025) 837), attualmente in esame da Parlamento Europeo e Consiglio. Il testo finale potrebbe quindi subire modifiche significative prima di un’eventuale adozione.

1. Strumenti giuridici coinvolti

Il Digital Omnibus interessa un insieme rilevante di atti legislativi, tra cui:

• GDPR (Regolamento (UE) 2016/679);
• Direttiva ePrivacy (Direttiva 2002/58/CE);
• Direttiva NIS2 e altri strumenti relativi alla cybersecurity (DORA, CER, eIDAS);
• Data Act, rafforzato attraverso l’incorporazione di strumenti precedenti come il Data Governance Act e il Regolamento sul libero flusso dei dati non personali.

L’obiettivo dichiarato è eliminare sovrapposizioni normative, ridurre gli obblighi di conformità duplicati e fornire maggiore certezza giuridica agli operatori economici, creando così un quadro più coerente e meno frammentato.

2. Principali cambiamenti nel campo della privacy

      (i) GDPR

• Definizione di dati personali

Quadro attuale (Art. 4(1) GDPR)

L’Articolo 4(1) GDPR definisce i dati personali come qualsiasi informazione relativa a una persona fisica identificata o identificabile, considerando identificabile una persona se può essere identificata, direttamente o indirettamente, in particolare mediante un identificatore come nome, numero identificativo, dati sulla posizione, identificatore online o uno o più fattori specifici relativi all’identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di quella persona.

Nuovo quadro proposto dal Digital Omnibus
La proposta chiarisce che le informazioni non costituiscono dati personali per un determinato titolare del trattamento se quest’ultimo non dispone, e non può ragionevolmente ottenere, i mezzi per identificare l’interessato.
La valutazione diventa quindi più soggettiva e incentrata sul titolare, ancorata alle reali capacità di identificazione dell’operatore specifico.

Implicazioni

In contesti come l’addestramento AI, l’analisi di big data e la condivisione di dati industriali o IoT, l’applicazione del GDPR potrebbe restringersi, poiché potrebbe essere argomentato che i dati in questione non costituiscono dati personali per determinati attori.

• Categorie particolari di dati

Quadro attuale
Ai sensi dell’Art. 6(1)(f) GDPR, il trattamento è lecito se necessario per il perseguimento dei legittimi interessi del titolare o di terzi, purché tali interessi non siano prevalenti sui diritti e le libertà fondamentali dell’interessato. Questa base giuridica è stata storicamente interpretata in modo restrittivo nei casi di profilazione su larga scala o tecnologie emergenti ad alta intensità di dati.

Nuovo quadro proposto dal Digital Omnibus
La proposta introduce una nuova eccezione specifica che consente il trattamento di categorie particolari di dati quando strettamente necessario per rilevare, prevenire o correggere bias nei sistemi AI, a condizione che siano implementate adeguate misure tecniche e organizzative (tra cui minimizzazione dei dati, pseudonimizzazione, divieto di riuso per altri scopi e conservazione limitata).

Implicazioni
L’introduzione di una base giuridica ad hoc per la rilevazione dei bias risponde a un’esigenza concreta di audit e non discriminazione nei sistemi AI, aprendo al contempo uno spazio sensibile per il trattamento di dati altamente protetti.

• Legittimo interesse per l’addestramento AI

Quadro attuale

Secondo l’Art. 6(1)(f) GDPR, il trattamento è lecito se necessario per il perseguimento dei legittimi interessi del titolare o di terzi, purché tali interessi non prevalgano sui diritti e le libertà fondamentali dell’interessato.

Nuovo quadro proposto dal Digital Omnibus

Il Digital Omnibus riconosce esplicitamente che lo sviluppo, l’addestramento, il test e il miglioramento dei sistemi AI possono costituire un legittimo interesse del titolare, soggetto a un bilanciamento con i diritti degli interessati e all’implementazione di adeguate salvaguardie, incluso un effettivo diritto di opposizione.

Implicazioni
Il riconoscimento esplicito del legittimo interesse per l’addestramento AI rappresenta un cambiamento politico e giuridico significativo, codificando un’attività precedentemente caratterizzata da alta incertezza come potenzialmente valida ai sensi del GDPR.

• Articolo 22 GDPR (decisioni automatizzate)

Quadro attuale

• L’Articolo 22 riconosce il diritto dell’interessato a non essere sottoposto a decisioni basate unicamente su processi automatizzati, inclusa la profilazione, che producano effetti legali o incidano significativamente su di lui, salvo alcune eccezioni.
• Il concetto di “decisione unicamente automatizzata” ha generato notevole incertezza interpretativa, in particolare riguardo al ruolo e alla profondità del coinvolgimento umano.

Nuovo quadro proposto dal Digital Omnibus

• La proposta chiarisce che una decisione è considerata “unicamente automatizzata” solo se l’intervento umano non può influenzare in modo sostanziale l’esito del processo decisionale.
• Viene introdotto il criterio del “coinvolgimento umano significativo”, volto a distinguere tra controlli formali e valutazioni umane reali.

Implicazioni

Questo chiarimento potrebbe ridurre il rischio che modelli ibridi (umano + algoritmo) ricadano automaticamente nell’Art. 22, facilitando l’uso di sistemi di decisione automatizzata in contesti ad alto volume.

• Notifiche di violazioni dei dati

Quadro attuale

• In caso di violazione di dati personali, l’Art. 33 GDPR richiede la notifica all’autorità di controllo entro 72 ore, salvo che la violazione non comporti rischi per i diritti e le libertà degli interessati.
• La comunicazione agli interessati è richiesta solo se la violazione può comportare un rischio elevato.

Nuovo quadro proposto dal Digital Omnibus

• La notifica all’autorità di controllo diventa obbligatoria solo nei casi di rischio elevato, allineando la soglia a quella della comunicazione agli interessati.
• Il termine viene esteso a 96 ore e la notifica deve essere inviata tramite un Single EU Entry Point (vedi sezione Cybersecurity).

Implicazioni

La misura ridurrebbe significativamente il numero di notifiche e l’onere amministrativo per organizzazioni e autorità di controllo.

(ii) Direttiva ePrivacy

Per quanto riguarda la Direttiva ePrivacy, il Digital Omnibus propone di superare la distinzione tradizionale tra regole settoriali sulle comunicazioni elettroniche e GDPR in merito all’uso di cookie e tecnologie simili.

Le disposizioni dell’Art. 5(3) della Direttiva 2002/58/CE verrebbero in gran parte integrate nel GDPR, introducendo regole specifiche per il trattamento dei dati generati tramite dispositivi terminali (cookie, SDK, fingerprinting, identificatori di dispositivo).

L’obiettivo è inquadrare tale trattamento in un unico quadro giuridico, riducendo la frammentazione normativa e la sovrapposizione degli obblighi formali. La proposta promuove inoltre l’uso di segnali di consenso e opposizione leggibili da macchine, integrati in browser e sistemi operativi, razionalizzando i meccanismi di raccolta del consenso e riducendo la proliferazione di banner, salvaguardando la riservatezza delle comunicazioni elettroniche.

3. Implicazioni nel campo della cybersecurity

Nel settore della cybersecurity, il Digital Omnibus non modifica i principi sostanziali di protezione delle reti e dei sistemi informativi. Mira invece a risolvere una delle principali criticità operative segnalate da operatori e autorità: la frammentazione e sovrapposizione dei regimi di notifica degli incidenti.

In particolare, la proposta prevede:

• l’istituzione di un Single EU Entry Point, gestito da ENISA, tramite il quale le entità obbligate potranno inviare una singola notifica valida per più framework normativi;
• l’integrazione dei canali di segnalazione previsti da:
• Direttiva NIS2,
• Regolamento DORA,
• GDPR (in caso di violazione dei dati personali),
• Direttiva CER sulle infrastrutture critiche,
• Regolamento eIDAS, secondo il principio “report once, share many”;
• la standardizzazione dei contenuti e dei formati delle notifiche, per ridurre l’incertezza legale e facilitare la valutazione dei rischi da parte delle autorità competenti;
• maggiore cooperazione tra autorità nazionali ed europee, con meccanismi di condivisione delle informazioni più fluidi e interoperabili.

Dal punto di vista pratico, questo sviluppo è rilevante soprattutto per:

• grandi gruppi multinazionali soggetti a più obblighi settoriali;
• operatori di servizi essenziali e fornitori di servizi digitali;
• banche, compagnie assicurative e altri operatori finanziari soggetti a DORA.

Se adottata, la misura comporterebbe una semplificazione procedurale significativa, pur richiedendo alle organizzazioni di rivedere i propri processi interni di risposta agli incidenti.

4. Implicazioni per il Data Act

Il Digital Omnibus rafforza il ruolo del Data Act come pilastro dell’architettura europea dei dati. La proposta prevede l’assorbimento nel Data Act del Data Governance Act (Regolamento (UE) 2022/868), del Regolamento (UE) 2018/1807 sul libero flusso dei dati non personali e della Direttiva Open Data e riutilizzo delle informazioni del settore pubblico (EU 2019/1024), trasformandolo in un quadro di riferimento unico e completo per l’accesso, la condivisione e il riutilizzo di dati personali e non personali.

Vengono introdotti aggiustamenti mirati per rendere più proporzionati gli obblighi di switching cloud, in particolare per PMI e servizi altamente personalizzati, e per rafforzare le salvaguardie contro accessi non autorizzati da paesi terzi.

5. Conclusioni

Il Digital Omnibus rappresenta un primo forte segnale di riallineamento della politica digitale UE verso modelli più semplici e orientati alla competitività. Pur non producendo ancora effetti giuridicamente vincolanti, le organizzazioni sono già chiamate a monitorarne da vicino l’evoluzione.