Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

semplificazioni

Digital omnibus, la sfida di aiutare le aziende senza affossare i diritti

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Il Digital Omnibus interviene su dati, privacy, IA e cybersicurezza. Dalla revisione della definizione di dato personale alle eccezioni per categorie particolari e watermarking, l’Europa tenta di semplificare senza scivolare verso una deregolamentazione di fatto. Ci riuscirà?

Pubblicato il 21 nov 2025
Rocco Panetta

Partner Panetta Studio Legale e IAPP Country Leader per l’Italia

digital omnibus

È tempo di semplificazioni, anche in Europa e anche sul digitale.

Ogni qual volta i sistemi economici, produttivi, sociali entrano in crisi, le prime colpe sono attribuite all’eccesso di regolazione. Anche in questo caso, se l’Europa non è competitiva di fronte alle sfide della data economy e dell’AI la colpa è delle regole e non anche della politica che non vuole un’Europa più unita, con un’unica fiscalità, con un’unica giustizia, con un’unica politica economica.

Seguendo questa scia, la Commissione Europea, la stessa che negli ultimi due o tre anni ha inanellato un numero significativo di regolamenti nel settore del digitale, il 19 novembre ha presentato il tanto annunciato Digital Omnibus, contenente due proposte di regolamento finalizzate a semplificare e razionalizzare le norme europee esistenti in materia di dati, intelligenza artificiale e cybersicurezza.

Ecco il Digital Omnibus, la grande semplificazione: cosa cambia per Gdpr, AI

Digital Omnibus in breve

La prima proposta interviene sul corpo normativo europeo in materia di dati, proponendo modifiche – tra gli altri – al Regolamento Generale sulla Protezione dei Dati (GDPR) e alla Direttiva ePrivacy (ma anche al Data Governance Act e al Data Act). La seconda proposta, invece, è dedicata specificamente all’Artificial Intelligence Act (AI Act) ed è tesa a modificare anche norme che, ad oggi, non sono ancora diventate pienamente applicabili.

Data union strategy e gli European Business Wallets

Le due proposte di regolamento fanno parte di un pacchetto più ampio di misure, che include anche una Data Union Strategy, finalizzata a sbloccare dati di alta qualità per l’intelligenza artificiale, e gli European Business Wallets, per fornire alle imprese un’identità digitale unica.

Il risultato atteso dovrebbe essere un risparmio fino a 5 miliardi di euro in costi amministrativi entro il 2029 (con gli European Business Wallets che potrebbero sbloccare altri 150 miliardi di euro di risparmi per le imprese ogni anno).

Lo sforzo messo in campo dal legislatore europeo è certamente rilevante. Sono moltissime le misure proposte dalla Commissione e occorrerà tempo per analizzarle tutte nel dettaglio, per comprenderne impatti ed effettiva utilità. Ciò anche in vista dell’imminente attività di valutazione da parte di Parlamento e Consiglio, che potrebbe rimescolare ancora le carte in gioco.

A poche ore dalla pubblicazione dei testi ufficiali, credo però si possano già avanzare alcune riflessioni preliminari, perlomeno rispetto alle proposte di semplificazione del GDPR e dell’AI Act.

Obiettivi del Digital Omnibus sulla revisione del GDPR

La revisione del GDPR, con i suoi obiettivi e le sue ambizioni, rappresenta uno dei capitoli più significativi del Digital Omnibus. L’aggiornamento della normativa europea sui dati personali rientra nel primo dei due regolamenti proposti dalla Commissione, quello incentrato sulle norme sui dati.

L’obiettivo dichiarato è quello di semplificare e chiarire l’applicazione del vasto quadro normativo in materia digitale. Le modifiche, di natura tecnica, puntano a ridurre costi e oneri amministrativi per imprese, cittadini e pubbliche amministrazioni, evitando duplicazioni e rendendo più efficiente la vigilanza.

Lo scopo è favorire l’uso dei dati come risorsa strategica, sostenere lo sviluppo di un’IA affidabile e rafforzare i diritti degli utenti, senza abbassare gli standard di tutela della privacy e dei diritti fondamentali. Si tratta dunque di un primo intervento per stimolare l’innovazione e la competitività nel mercato unico digitale.

Definizione di dato personale e altri snodi del GDPR

Provando a fare una sintesi e una selezione ragionata dei principali emendamenti proposti dalla Commissione, occorre partire da alcuni degli istituti cardine del GDPR impattati dal Digital Omnibus.

Revisione della definizione di dato personale

Si propone innanzitutto una revisione della definizione di dato personale, al fine di precisare che un dato non è da considerarsi di carattere personale per un determinato soggetto quando quest’ultimo non dispone di mezzi ragionevolmente idonei a identificare la persona a cui si riferiscono i dati. Una posizione che richiama le più recenti sentenze della Corte di Giustizia dell’UE sulla perimetrazione del concetto di dato personale. Vedremo e valuteremo l’esito di tale proposta, che in linea di principio appare condivisibile.

Trasparenza e diritti degli interessati

La proposta di regolamento interviene anche sulla trasparenza e sui diritti degli interessati. Sul primo versante, si intendono estendere le possibilità di non fornire l’informativa sul trattamento dei dati personali alle persone. Rispetto al secondo profilo, il Digital Omnibus introduce ipotesi di esercizio abusivo del diritto di accesso e chiarisce le condizioni per dimostrare il carattere eccessivo di una richiesta. Anche qui, in teoria le misure incontrano esigenze concrete di semplificazione ed efficacia, ma potrebbero indurre molti alla totale disapplicazione degli istituti e alla negazione dei diritti.

Notifica dei data breach e ruolo delle autorità

Altre modifiche importanti riguardano i data breach. Con il Digital Omnibus si propone di allineare l’obbligo di notifica delle violazioni dei dati all’autorità di controllo con l’obbligo di comunicare tali violazioni agli interessati, con la notifica che pertanto sarebbe richiesta solo se una violazione può comportare un rischio elevato per i diritti degli interessati. Si propone inoltre di estendere il termine per la notifica a 96 ore. Possiamo dire, al riguardo, che le Autorità di controllo vanno già in tale direzione, soprattutto rispetto alla selettività delle notifiche e delle relative azioni/risposte. L’intervento legislativo andrebbe a cristallizzare qualcosa che è già nella prassi di molte autorità.

Digital Omnibus e dati per l’intelligenza artificiale

Il “GDPR 2.0” immaginato dalla Commissione dedica particolare attenzione ai trattamenti di dati personali connessi allo sviluppo e all’utilizzo di sistemi di intelligenza artificiale.

Legittimo interesse come base giuridica per l’IA

Innanzitutto, la proposta di regolamento elegge espressamente il legittimo interesse come base giuridica per i trattamenti di dati posti in essere nel contesto di sviluppo e funzionamento di sistemi e modelli di intelligenza artificiale, con applicazione di adeguate misure organizzative e tecniche e di garanzie per i diritti e le libertà degli interessati. Questa è la norma che farà discutere maggiormente, considerato l’effetto dell’inversione dell’onere di fare opt-out in capo agli interessati rispetto ai trattamenti di dati con tecnologia AI.

Eccezioni per categorie particolari di dati

Il Digital Omnibus intende inoltre introdurre una nuova eccezione al divieto di trattare categorie particolari di dati personali nel caso di trattamenti residuali di tali dati per lo sviluppo e il funzionamento di sistemi e modelli di IA.

Ciò nel rispetto di determinate condizioni, tra cui l’adozione di misure organizzative e tecniche adeguate per evitare la raccolta di questi dati e la relativa cancellazione.

Revisione dell’articolo 22 sul decision making automatizzato

La proposta di regolamento vuole inoltre aggiornare anche il regime previsto dall’attuale articolo 22 del GDPR per i processi decisionali automatizzati. Nel dettaglio, l’obiettivo è chiarire che l’eccezione connessa alla necessità della decisione per la conclusione di un contratto può trovare applicazione indipendentemente dal fatto che la decisione possa essere assunta con mezzi diversi da quelli esclusivamente automatizzati.

Anche qui, toccare l’articolo 22 del GDPR è come mettere in discussione un dogma granitico di una qualche confessione religiosa. Non sarà facile far quadrare il cerchio sul punto.

Ulteriori aspetti della normativa sulla circolazione e protezione dei dati personali su cui incide il Digital Omnibus sono, ad esempio, i trattamenti di dati connessi alle attività di ricerca scientifica. Si prevede, inoltre, di armonizzare gli elenchi delle attività di trattamento che richiedono o meno una valutazione d’impatto sulla protezione dei dati (DPIA), introducendo un unico elenco a livello europeo, passaggio delicato proprio perché la DPIA è strumento flessibile e plastico che non può ridursi a un elenco legislativamente previsto.

Tra gli altri aspetti sottoposti a revisione per mano del Digital Omnibus c’è anche la disciplina sui cookie, che passa dalla Direttiva ePrivacy al GDPR con un nuovo articolo interamente dedicato a tale materia, con regole specifiche per la raccolta del consenso e per i cookie banner.

Con il Digital Omnibus – che stimola anche la creazione di modelli standardizzati da parte di organismi e autorità, come ad esempio per la notifica dei data breach – si propone altresì di istituire un punto di accesso unico per permettere alle aziende di soddisfare tutti gli obblighi di segnalazione degli incidenti previsti dalle diverse normative europee applicabili (tra cui GDPR, NIS2 e DORA).

Le motivazioni delle modifiche all’AI Act

All’aggiornamento della recentemente introdotta legge europea sull’intelligenza artificiale è invece dedicato il secondo dei due regolamenti proposti dalla Commissione.

L’Unione europea ha rilevato che nei primi mesi di applicazione (parziale) della legge si sono registrati ritardi e ostacoli che rischiano di comprometterne l’attuazione: dalla mancata designazione delle autorità nazionali competenti alla carenza di norme armonizzate e strumenti di conformità per i sistemi di IA ad alto rischio. Queste difficoltà potrebbero far lievitare i costi per imprese e pubbliche amministrazioni e frenare l’innovazione. Un punto francamente discutibile. Non sono le regole che non funzionano, ma la volontà di chi deve attuarle e farle rispettare che viene meno alle proprie scelte.

Per evitare simili effetti, la Commissione ha quindi deciso di presentare una serie di modifiche mirate al regolamento, prospettando misure di semplificazione volte a garantire un’applicazione più rapida, efficace e proporzionata delle nuove regole sull’intelligenza artificiale.

I principali emendamenti del Digital Omnibus all’AI Act

Tra le più importanti modifiche proposte dalla Commissione figura lo slittamento dell’entrata in vigore degli obblighi per i sistemi di IA ad alto rischio, previsto nell’attuale versione dell’AI Act per il prossimo 2 agosto.

In particolare, si propone di prevedere un meccanismo che collega l’applicazione di tali norme con la disponibilità di standard, specifiche comuni o linee guida della Commissione. Tale meccanismo di flessibilità non potrà tuttavia andare oltre il 2 dicembre 2027 e il 2 agosto 2028 (a seconda del sistema di IA considerato), date entro le quali tali norme dovranno comunque diventare applicabili.

Sempre in termini di dilatazione temporale dei nuovi requisiti introdotti dall’AI Act, si propone di istituire un periodo transitorio di 6 mesi per gli obblighi di watermarking sui sistemi di IA già immessi sul mercato (nell’attuale versione della legge, tali obblighi trovano applicazione a partire dal prossimo 2 agosto).

Con il Digital Omnibus si prova inoltre a trasformare l’obbligo per i provider e deployer di sistemi di IA in materia di alfabetizzazione in un obbligo per la Commissione e gli Stati membri di promuovere l’AI literacy.

Ulteriori modifiche riguardano, tra le altre, l’estensione delle agevolazioni previste per le PMI anche alle small mid-caps e l’ampliamento della disciplina sulle regulatory sandbox, con la possibilità per l’AI Office di istituire una sandbox europea. Si prevede anche l’introduzione di una base giuridica specifica che consente, in casi limitati e con adeguate garanzie, il trattamento di categorie particolari di dati personali per la rilevazione e correzione dei bias.

Un primo giudizio sul pacchetto di riforme

Siamo certamente di fronte a uno degli interventi normativi di maggior rilievo in materia di data economy degli ultimi anni. La Commissione europea ha raccolto le istanze del mercato, dettate anche da complessi equilibri geopolitici e da lotte tra potenze globali, e ha presentato ad aziende e cittadini la propria visione futura delle norme su dati e intelligenza artificiale.

Una prima lettura di queste proposte permette senza dubbio di individuare nelle pieghe diversi aspetti positivi. Ma è il metodo, il tempismo e il rischio di diluire norme delicate e ancora non del tutto consolidate nella società, che preoccupa e non poco.

Certo, rimangono ancora molti nodi da sciogliere su cui il pacchetto di proposte non ha (ad oggi) preso posizione, come ad esempio i limiti strutturali che necessariamente si incontrano in caso di esercizio dei diritti degli interessati in relazione a sistemi e modelli di IA. Voglio essere ottimista e provare a cogliere più lo spirito costruttivo di queste norme, sia in termini di competitività, sia in termini di tutela dei diritti fondamentali.

È chiaro allora che ogni intervento di semplificazione proposto deve essere letto da entrambe le prospettive. Da un lato, la tutela della competitività, dall’altro il rispetto dei diritti e delle libertà costituzionali, di questi tempi troppo spesso messe sotto scacco e compresse a fronte di esigenze economico patrimoniali. La garanzia di soddisfare entrambe le facce di questa medaglia può aversi solo abbracciando lo spirito di una semplificazione che non deve sfociare nella deregolamentazione.

Meno norme non equivale per forza a più competitività

Ogni tentativo di semplificare e avvicinare le norme a un mercato in evoluzione – come nel caso dell’aggiornamento della definizione di dato personale – è da accogliere con favore. Bisogna invece evitare di cadere nell’errore algebrico per cui disporre di meno norme permette di ottenere più competitività. E ciò in quanto è proprio grazie a norme come quelle del GDPR – che negli anni hanno orientato il mercato internazionale – che le aziende europee hanno guadagnato un indubbio vantaggio competitivo. Ed è bene non disperdere proprio ora questa preziosa eredità, che anzi deve essere tramandata anche alle ultime norme adottate, come per l’appunto l’AI Act.

Se in Italia si investe poco in aziende innovative e l’AI arranca non è per colpa del GDPR ma è perché il mercato del lavoro è costoso e la fiscalità è punitiva. Iniziamo con coraggio a dire le cose come stanno e lasciamo stare al loro posto quelle poche tutele che ci restano.

Ritengo allora utile e necessario che aziende, enti pubblici e professionisti si rendano più che mai partecipi nel dibattito collettivo che nei prossimi mesi accompagnerà i negoziati sul Digital Omnibus. Siamo in una fase iniziale, i testi pubblicati sono delle mere proposte e il tempo per modifiche e miglioramenti c’è ed è molto. Non servono allarmismi, così come esaltazioni aprioristiche. Occorrono invece letture critiche e occhi attenti, per declinare le sacrosante esigenze di competitività con il necessario rispetto dei diritti fondamentali delle persone nella data economy.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Rocco Panetta
Partner Panetta Studio Legale e IAPP Country Leader per l’Italia
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Cyber Resilience Act information sharing Security convergence

  • cybersecurity

    Data breach Infocert, ecco gli errori che fanno ancora tutti (o quasi)

    10 Gen 2025

    di Cesare Gallotti

    Condividi
  • Sanità digitale nel 2025 telemedicina predittiva IA in radiologia; sanità d'iniziativa; dati sanitari; stampa 4D; farmaci personalizzati; nanotecnologia in medicina Active Directory sanità NIS2 sanità:

  • sicurez

    Cyber attacchi agli ospedali, Active Directory nel mirino: come proteggerlo

    11 Set 2025

    di Michael Choo

    Condividi
  • rete DPO sanità vendita di farmaci online ia in sanità; duplicato tessera sanitaria sanità sostenibile ia in medicina

  • ai e sanità

    AI in ospedale: dati al sicuro con l’apprendimento continuo federato

    21 Ago 2025

    di Matteo Pennisi

    Condividi