Il 19 novembre 2025, la Commissione europea ha presentato il Digital Omnibus, una proposta di regolamento volta ad aggiornare e coordinare il quadro normativo europeo in materia di protezione dei dati personali, cybersicurezza e intelligenza artificiale.
L’iniziativa si inserisce nell’ambito della più ampia “Implementation and Simplification Agenda 2025” della Commissione europea, un programma volto a ridurre la complessità regolatoria e a rendere più coerente e accessibile il diritto dell’Unione Europea. In questo contesto, il Digital Omnibus rappresenta l’applicazione di tali principi al settore digitale, per migliorare la coerenza tra gli strumenti già vigenti, tra cui:
- Regolamento (UE) 2016/679 – General Data Protection Regulation (GDPR)
- Regolamento (UE) 2024/1689 – Artificial Intelligence Act (AI Act)
- Direttiva (UE) 2022/2555 – NIS2
- Regolamento (UE) 2023/2854 – Data Act
- Regolamento (UE) 2022/868 – Data Governance Act
- Direttiva 2002/58/CE – ePrivacy Directive
L’obiettivo dichiarato è quello di rafforzare la coerenza tra le diverse fonti normative, semplificare alcuni adempimenti per le imprese titolari del trattamento ed adattare il quadro giuridico alla nuova realtà tecnologica, segnata dall’uso diffuso di sistemi di intelligenza artificiale e dal crescente valore economico dei dati.
Un punto di particolare rilievo riguarda l’applicazione delle regole sui sistemi di intelligenza artificiale ad alto rischio, che il Digital Omnibus propone di collegare alla disponibilità effettiva degli standard tecnici e degli strumenti di supporto, introducendo così una maggiore flessibilità nei tempi di adeguamento per le imprese.
Al tempo stesso, le modifiche proposte introducono questioni interpretative rilevanti, che richiederanno un’attenta analisi per comprenderne l’impatto sulla tutela effettiva dei diritti fondamentali degli individui.
L’analisi che segue prende in esame le disposizioni della proposta del Digital Omnibus che riguardano la revisione del GDPR.
La ridefinizione del concetto di “dato personale”
Uno dei passaggi più significativi del Digital Omnibus riguarda la revisione dell’art. 4, par. 1 del GDPR, che ridefinisce il concetto di dato personale in una chiave più contestuale e relativa. La qualificazione di “dato personale” non dipenderebbe più da una potenziale identificabilità oggettiva dell’interessato, ma dalla capacità del titolare di identificare un individuo tenendo conto dei mezzi ragionevolmente disponibili.
Ciò introduce un criterio soggettivo di identificabilità, spostando il focus dall’oggettiva possibilità di identificare un individuo (come oggi previsto dal considerando 26 GDPR) alla capacità effettiva del singolo titolare. In pratica, lo stesso dato potrà essere “personale” per un grande provider, ma non per una PMI priva dei mezzi tecnici per risalire all’identità dell’interessato.
La riforma si ispira a un orientamento giurisprudenziale già emerso nella sentenza della Corte di Giustizia C-413/23 P (EDPS v. SRB), che ha riconosciuto la rilevanza del contesto del titolare nella valutazione dell’identificabilità del soggetto interessato. Resta però da chiarire come questa impostazione si concilierà con il principio di uniformità del livello di protezione previsto dall’art. 1, par. 2 del GDPR: una definizione eccessivamente dipendente dai mezzi e dalle capacità del titolare potrebbe determinare applicazioni non omogenee della disciplina tra Stati membri e tra operatori economici di diversa natura.
Le “categorie particolari” di dati e la questione delle inferenze
Il Digital Omnibus interviene anche sull’art. 9 del GDPR, proponendo di circoscrivere le “categorie particolari di dati” ai soli casi in cui le informazioni rivelano direttamente caratteristiche sensibili dell’interessato (origine razziale, opinioni politiche, salute, orientamento sessuale, ecc.). Ne resterebbero dunque esclusi i dati dai quali tali caratteristiche possono essere soltanto dedotte o inferite attraverso correlazioni, analisi statistiche o modelli predittivi.
L’intento della Commissione europea è ridurre l’incertezza applicativa e evitare che il regime rafforzato di tutela si estenda a categorie di dati non effettivamente qualificabili come particolari. Tuttavia, in un ecosistema digitale basato su algoritmi di profilazione e machine learning, la distinzione tra dato “diretto” e dato “inferenziale” rischia di essere labile: molte informazioni apparentemente neutre (ad esempio dati di navigazione o cronologie di consumo) possono essere utilizzate per ricostruire elementi riconducibili alla sfera più intima della persona. La riforma sembra dunque muoversi in direzione di un bilanciamento tra certezza giuridica e protezione sostanziale, ma sarà essenziale che l’EDPB definisca dei criteri o delle linee guida interpretative per individuare le ipotesi in cui la derivazione inferenziale debba comunque attivare un regime di tutela rafforzata.
Esercizio dei diritti: verso una maggiore proporzionalità
La proposta di modifica dell’art. 12 del GDPR mira a razionalizzare la gestione delle richieste di esercizio dei diritti da parte degli interessati, consentendo ai titolari di rifiutare o subordinare a un corrispettivo l’evasione delle istanze quando esse siano manifestamente infondate, ripetitive o perseguano finalità estranee alla protezione dei dati. La misura intende contrastare un uso improprio degli strumenti di accesso, che in taluni casi ha generato un carico amministrativo significativo per le imprese.
In parallelo, la revisione dell’art. 13 del GDPR prevede per il titolare del trattamento l’esenzione dall’obbligo di fornire un’informativa autonoma quando vi siano elementi oggettivi per ritenere che l’interessato conosca già le finalità e la base giuridica del trattamento. Questa disposizione, se correttamente calibrata, potrebbe rappresentare una semplificazione dei flussi documentali e una riduzione delle informative “standardizzate”, a favore di modelli più mirati e proporzionati, purché accompagnata da garanzie idonee a prevenire un’eccessiva discrezionalità nella valutazione del titolare.
Decisioni automatizzate e contratti
Il nuovo testo dell’art. 22 del GDPR consente l’adozione di decisioni interamente automatizzate, qualora tali decisioni siano necessarie all’esecuzione di un contratto tra titolare e interessato, anche se l’output potrebbe teoricamente essere ottenuto in modo manuale. La novità mira ad allineare il quadro giuridico alla realtà dei servizi digitali personalizzati, in cui l’automazione rappresenta una componente funzionale e inevitabile.
Si tratterebbe di un passo verso un riconoscimento del ruolo centrale dell’intelligenza artificiale nei rapporti contrattuali, fermo restando che il titolare dovrà garantire (i) la trasparenza sul funzionamento del sistema e delle logiche decisorie; e (ii) la possibilità per l’interessato di richiedere un intervento umano nei casi di impatto significativo sui suoi diritti.
La disposizione si coordina con l’art. 14 AI Act, che disciplina i requisiti di human oversight per i sistemi di AI ad alto rischio.
Data breach ed i meccanismi di notifica coordinata: centralizzazione dell’incident reporting
Un’altra novità significativa del Digital Omnibus riguarda la revisione dell’art. 33 del GDPR, che introduce importanti modifiche in tema di data breach.
La proposta prevede: (i) l’innalzamento della soglia per l’obbligo di notifica, limitandolo ai soli casi in cui l’incidente presenti un alto rischio per i diritti e le libertà degli interessati; (ii) l’estensione del termine per la comunicazione all’autorità di controllo da 72 a 96 ore; (iii) l’istituzione di un “single entry point” europeo per le segnalazioni di incidenti, gestito da ENISA, destinato a diventare il punto di raccolta unico per le notifiche previste da GDPR, NIS2, DORA, eIDAS e CER Directive, secondo il principio “report once, share many”.
L’obiettivo è chiaro: semplificare gli adempimenti e armonizzare gli obblighi di incident reporting, oggi distribuiti tra diversi atti normativi.
Questo nuovo approccio intende favorire una integrazione effettiva tra cybersicurezza e protezione dei dati personali, riducendo la frammentazione e il rischio di duplicazioni. La sfida sarà garantire che la semplificazione non comporti una riduzione della capacità di monitoraggio delle autorità di controllo.
Intelligenza artificiale e basi giuridiche
Il nuovo articolo 88c del GDPR introduce la possibilità di trattare dati personali per lo sviluppo e l’operatività di sistemi di intelligenza artificiale sulla base del legittimo interesse, senza prevedere la necessità di un test di bilanciamento caso per caso. Si tratterebbe di una base giuridica specifica, destinata a fornire maggiore certezza agli operatori che sviluppano o utilizzano modelli di AI, pur nel rispetto delle garanzie di proporzionalità e minimizzazione.
Parallelamente, il nuovo art. 4a dell’AI Act consente il trattamento di categorie particolari di dati per finalità di debiasing dei sistemi, estendendo così ai sistemi non ad alto rischio la possibilità di intervenire sui dati sensibili per migliorare l’equità algoritmica.
Entrambe le disposizioni testimoniano la volontà di integrare il GDPR e AI Act, favorendo l’innovazione nel rispetto dei principi di sicurezza, correttezza e trasparenza.
Sistemi di IA ad alto rischio: nuove tempistiche e maggiore flessibilità introdotte dal Digital Omnibus
Un punto particolarmente rilevante per le imprese riguarda la tempistica di applicazione degli obblighi per i sistemi di intelligenza artificiale ad alto rischio.
Con il Digital Omnibus, la Commissione europea propone di collegare l’entrata in applicazione delle regole dell’AI Act sui sistemi ad alto rischio alla disponibilità effettiva degli standard tecnici e degli strumenti di supporto necessari per la conformità.
In altri termini, gli obblighi previsti dal Titolo III dell’AI Act non diventeranno automaticamente operativi nel 2026 o nel 2027, ma solo quando la Commissione confermerà che sono pronti le norme armonizzate europee, le procedure di valutazione della conformità e le piattaforme di testing e compliance indispensabili per un’applicazione proporzionata.
Il termine massimo è fissato in 16 mesi dalla data di tale conferma: ciò significa che l’entrata in applicazione potrà essere scaglionata e posticipata, garantendo un avvio coordinato con il completamento del quadro tecnico.
Per le aziende nel perimetro dei sistemi ad alto rischio, questa modifica rappresenta un alleggerimento significativo degli investimenti di compliance: potranno diluire nel tempo gli adeguamenti e pianificare le risorse una volta che il quadro tecnico-normativo sarà pienamente definito. Si tratta di una misura coerente con i principi di Better Regulation e con la strategia europea per la competitività e l’innovazione, che mira a evitare obblighi operativi in assenza degli strumenti concreti per adempiervi.
Coordinamento e governance
Uno degli aspetti più rilevanti del Digital Omnibus riguarda la governance complessiva del diritto digitale nell’Unione Europea. La proposta, infatti, non si limita ad armonizzare singole disposizioni, ma mira a creare un meccanismo strutturato di cooperazione tra le varie autorità competenti – EDPB, ENISA, European AI Office, BCE e autorità nazionali di protezione dei dati – per assicurare un’applicazione coerente delle norme su dati, IA e cybersicurezza.
In parallelo, viene istituito l’European Data Innovation Board, con funzioni consultive e di coordinamento per l’attuazione del Data Act e del nuovo quadro digitale unificato.
L’operazione appare ambiziosa: punta a superare la frammentazione regolatoria emersa negli ultimi anni, ma comporta inevitabilmente la necessità di riformulare i rapporti tra autorità di controllo, definire nuovi meccanismi di coordinamento e individuare modalità uniformi di enforcement.
Conclusioni
Il Digital Omnibus rappresenta un passaggio strategico nella costruzione del mercato digitale europeo, volto a superare la frammentazione tra le normative e a promuovere una visione integrata dei diritti digitali.
Non è una semplice revisione del GDPR, ma un ripensamento complessivo dell’architettura regolatoria europea, che, per la prima volta, tenta di coordinare protezione dei dati, cybersicurezza e intelligenza artificiale in un quadro unitario e coerente.
Una modernizzazione necessaria, che potrà favorire innovazione e semplificazione, ma che richiederà un costante equilibrio tra efficienza tecnologica e garanzie sostanziali per gli individui.
DOWNLOAD PDF
