Il Digital Omnibus segna non solo una svolta di merito nella regolazione europea del digitale, ma soprattutto un cambio di passo nella tecnica normativa adottata dall’Unione.
Dalla stratificazione di atti settoriali si passa a un modello di codificazione e razionalizzazione, fondato su fusioni, abrogazioni mirate e riallineamento trasversale delle fonti.
L’obiettivo dichiarato è ridurre l’ipertrofia regolatoria e riportare il sistema entro un quadro più coerente, leggibile e applicabile per operatori pubblici e privati.
Indice degli argomenti
Digital Omnibus e svolta nella strategia regolatoria europea
In particolare, il Digital Omnibus consta di due distinte proposte di regolamento.
La prima proposta normativa – COM (2025) 837 final 2025/0360 (COD) – riforma il settore dei dati, della sicurezza informatica e della privacy mediante un generale intervento di revisione delle norme esistenti, derivante dalla fusione di una serie di disposizioni settoriali (stabilite, tra l’altro, dal Data Governance Act, dalla Direttiva Open Data e dal Regolamento sulla libera circolazione dei dati non personali) in un unico testo ristrutturato, per effetto della modifica dei Regolamenti europei 2016/679, 2018/1724, 2018/1725, 2023/2854, nonché delle Direttive europee 2002/58, 2022/2555 e 2022/2557, con contestuale abrogazione delle norme contenute nei Regolamenti europei 2018/1807, 2019/1150, 2022/868, nonché nella Direttiva europea 2019/1024.
La seconda proposta normativa – COM (2025) 836 finale 2025/0359 (COD) – apporta modifiche e integrazioni alla legge europea sull’intelligenza artificiale (“EU IA Act” – Regolamento 2024/1689/UE), nell’ottica di realizzare una razionalizzazione più efficiente e semplificata della relativa disciplina.
Prende forma, dunque, un nuovo approccio regolatorio che modifica notevolmente la complessiva architettura normativa euro-unitaria, determinando un rilevante cambio di paradigma nella strategia legislativa finora perseguita.
In particolare, la tecnica normativa adottata mira a semplificare e razionalizzare la generale regolamentazione esistente in materia mediante un intervento di coordinamento e unificazione delle legislazioni emanate nel corso del tempo.
Dal sovraccarico normativo al nuovo approccio di semplificazione
Dopo una prolungata fase di stratificazione normativa realizzata negli ultimi decenni mediante la promulgazione di distinti e settoriali pacchetti di riforma, che hanno determinato una progressiva frammentazione applicativa secondo un approccio di “overload” giuridico, determinando talvolta anche sovrapposizioni legislative dalla complessa e oltremodo incerta ricostruzione interpretativa, infatti, il “Digital Omnibus” realizza un intervento di allineamento trasversale nell’ambito di un coordinato corpus di raccordo unitario.
In un certo senso, quindi, la strategia formalizzata nell’ultimo pacchetto “Digital Omnibus” sembra quasi sconfessare e mettere in discussione il consolidato impianto regolatorio edificato in materia, forse prendendo atto dei ritenuti ritardi rilevati nell’adeguamento del quadro normativo rispetto all’evoluzione dell’innovazione tecnologica anche a causa di un eccessivo appesantimento regolatorio in grado di paralizzare lo sviluppo digitale: un netto taglio con il passato che si formalizza con il nuovo differente approccio di “deregulation” – decisamente più soft – mediante unificazione, semplificazione e integrazione delle legislazioni finora settoriali, ora invece riordinate da un processo di codificazione sistematica volto a incentivare la competitività del settore digitale grazie all’eliminazione di disposizioni ripetitive, confliggenti e sovrapposte, al fine di garantire una maggiore certezza giuridica.
Il Digital Omnibus e il riassetto della governance dei dati
Analizzando la proposta di regolamento n. 837 “Digital Omnibus”, si evince tale approccio di semplificazione perseguito dal legislatore euro-unitario come obiettivo principale del progetto di riforma delineato, per evitare di rallentare i processi di innovazione digitale a causa di rigidi vincoli prescritti nell’ambito di un’elefantiaca ipertrofia normativa, rivelatasi oltremodo macchinosa rispetto alla celerità con cui si determinano gli sviluppi tecnologici, pur senza compromettere la salvaguardia di elevati standard di protezione.
Per tale ragione, la proposta “Digital Omnibus” mira a introdurre un organico corpus normativo che sia in grado di semplificare la legislazione digitale vigente, dopo aver espunto dal rinnovato quadro regolatorio una serie di regole obsolete o, comunque, ritenute eccessive e superflue, con l’intento di armonizzare e snellire le disposizioni normative emanate nel corso del tempo.
A sostegno delle ragioni che giustificano l’adozione di una simile riforma, si riconosce, infatti, la progressiva proliferazione di un quadro normativo sempre più esteso, al punto da creare “complessità giuridica, incluse alcune sovrapposizioni, definizioni non perfettamente allineate e questioni sull’interazione degli strumenti” (cfr. Contesto della proposta, motivazioni e obiettivi della proposta, p. 4).
Pertanto, il cd. “Digital Omnibus” stabilisce la creazione di un unitario quadro normativo di riferimento per l’intera governance dei dati, al fine di ridurre i costi procedurali associati all’interpretazione e all’implementazione delle diverse normative settoriali, migliorando la chiarezza e la coerenza delle regole sotto il profilo applicativo.
Al riguardo, la tecnica normativa adoperata dal legislatore prevede una riunificazione semplificata e razionalizzata delle disposizioni normative riferibili al settore complessivo dei dati rispetto all’attuale frammentazione regolatoria diversificata per singoli aspetti o specifiche fattispecie, disperse in un panorama regolatorio ampio e talvolta caotico (tra i tanti, si vedano: Regolamento 2022/868/UE, Direttiva 2019/1024/UE, Regolamento 2024/1689/UE, Regolamento 2022/868/UE, Regolamento 2023/2854/UE, compreso il Regolamento 2016/679/UE), procedendo contestualmente all’abrogazione, tra l’altro, del Regolamento 2019/1150/UE del Parlamento europeo e del Consiglio del 20 giugno 2019.
Altruismo sui dati e nuove deroghe al trattamento
Entrando nel merito delle revisioni realizzate dalla citata proposta di regolamento, è possibile analizzare alcune delle principali novità introdotte nell’ambito di un ridefinito equilibrio di contemperamento degli interessi in gioco tra tutela dei diritti fondamentali ed esigenza regolatoria di semplificazione e flessibilità, alla luce del previsto impatto derivante sul tradizionale regime giuridico previsto dalle legislazioni settoriali vigenti in materia.
In particolare, l’articolo 1 apporta una serie di modifiche al Regolamento (UE) 2023/2854 (Data Act, cd. “legge sui dati”), aggiornandone il relativo ambito di applicazione anche in un’ottica di alleggerimento del regime giuridico prescritto dalla disciplina di riferimento, reso più flessibile per i servizi di intermediazione dei dati.
Viene, altresì, inserito, ex articolo 2, il punto 38(b) recante la positivizzazione della nozione di “altruismo sui dati”, intesa come “la condivisione volontaria dei dati sulla base del consenso dei soggetti dati a trattare dati personali che li riguardano, o dei permessi dei titolari di dati per consentire l’uso dei loro dati non personali senza cercare o ricevere una ricompensa che vada oltre il semplice compenso legato ai costi sostenuti quando rendono i loro dati disponibili per obiettivi di interesse generale previsti dal diritto nazionale”.
L’articolo 3 modifica il Regolamento (UE) 2016/679 (ossia il Regolamento generale sulla protezione dei dati – GDPR). Al riguardo, revisionando l’attuale formulazione normativa dell’art. 4 GDPR, la proposta di regolamento “relativizza” la nozione di dati personali, con conseguente restringimento dell’ambito di applicazione del Regolamento (UE) 2016/679, chiarendo che le informazioni relative a una persona fisica non devono intendersi necessariamente come tali quando, per l’entità che le tratti, tenuto conto dei mezzi utilizzati, non sia comunque possibile identificare la persona fisica cui si riferiscono.
Inoltre, viene modificato l’articolo 9, paragrafo 2, GDPR, ampliando il regime derogatorio di esenzioni al divieto di trattamento di categorie particolari di dati, quando l’operazione del trattamento riguarda “l’elaborazione dei dati biometrici necessaria al fine di confermare l’identità di un soggetto” […] purché siano “attuate misure organizzative e tecniche appropriate per evitare la raccolta e il trattamento di categorie speciali di dati personali”.
La prevista esenzione, mediante il ricorso alle opportune misure di minimizzazione del rischio, vale anche quando il trattamento di tali categorie di dati personali sia effettuato per lo sviluppo e la gestione di un sistema di IA nelle varie fasi del ciclo di vita del relativo modello (come l’addestramento, il test e la validazione).
In tali casi, l’operazione di trattamento integra un interesse legittimo ai sensi dell’articolo 6 del Regolamento (UE) 2016/679, suscettibile di generale bilanciamento, compresa l’effettuazione di una specifica valutazione volta a verificare se “l’interesse perseguito […] sia vantaggioso per il soggetto e per la società nel suo complesso”. Per previsione legislativa, l’interesse perseguito si ritiene sempre “necessario” per rilevare e rimuovere i pregiudizi […] oppure quando il “trattamento dei dati personali mira a garantire risultati accurati e sicuri per un uso vantaggioso, ad esempio per migliorare l’accessibilità a determinati servizi” (Considerando nn. 30 e 31).
Diritti degli interessati e semplificazione procedurale nel Digital Omnibus
In chiave di semplificazione alleggerita dei vincoli vigenti in materia di protezione dei dati personali, il modificato paragrafo 5 dell’articolo 12 del GDPR introduce un meccanismo dissuasivo e deterrente volto a limitare all’interessato la possibilità di accedere ai propri dati “quando le richieste sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo o anche, per richieste ai sensi dell’articolo 15, perché il soggetto abusa dei diritti conferiti […] per scopi diversi dalla protezione dei propri dati”.
In tali ipotesi, il titolare del trattamento può “applicare una tariffa ragionevole tenendo conto dei costi amministrativi per fornire le informazioni o la comunicazione o per intraprendere l’azione richiesta”, o persino rifiutarsi di dare seguito alla richiesta ricevuta.
Seguendo l’approccio coordinato di sistematica e coerente unificazione regolatoria, il successivo articolo 4 del “Digital Omnibus” modifica il Regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, per allineare il relativo testo con le modifiche apportate al Regolamento (UE) 2016/679.
Del pari, per le medesime ragioni, l’articolo 5 prevede ulteriori modifiche alla “Direttiva ePrivacy” 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, con l’intento, tra l’altro, di modificare la disciplina in materia di consenso rispetto alla profilazione dei banner virtuali sui cd. “cookies”.
Anche prendendo atto dell’attuale inefficacia dei prescritti banner “pop-up” visualizzabili sui siti web per ottenere il consenso preliminare al trattamento dei dati personali, spesso percepiti dagli utenti come un “fastidio”, piuttosto che come un importante strumento informativo, la proposta di regolamento delinea un intervento di semplificazione mediante l’inserimento di una regolamentazione unica prevista esclusivamente dal Regolamento (UE) 2016/679.
Si configura, inoltre, un regime derogatorio, rispetto al criterio generale che, per determinati scopi, consideri legittimo il trattamento dei dati pur senza acquisire il necessario consenso quando sussiste “un basso rischio per i diritti e le libertà dei soggetti interessati o quando la collocazione di tali tecnologie è necessaria per l’erogazione di un servizio richiesto dal soggetto dati”, mediante l’utilizzo di strumenti standardizzati per la codifica di indicazioni automatizzate in grado di archiviare correttamente le informazioni personali raccolte (cfr. Contesto della proposta, motivazioni e obiettivi della proposta, p. 7, in combinato disposto con il Considerando n. 44).
Prima revisione dell’AI Act nel Digital Omnibus on AI
La seconda proposta normativa (cd. “Digital Omnibus on AI”) – COM (2025) 836 finale 2025/0359 (COD) – modifica la legge europea sull’intelligenza artificiale.
A distanza di poco più di 1 anno dalla formale entrata in vigore del Regolamento (UE) 2024/1689, anche la sua disciplina risulta, pertanto, oggetto di opportuna revisione normativa, soprattutto in relazione alle disposizioni applicabili secondo il previsto regime di posticipazione regolatoria delineato a tappe dal 2026, con particolare riferimento, tra l’altro, alle norme che regolano i sistemi di IA ad alto rischio.
Tenuto conto dell’obiettivo di garantire un’attuazione chiara e semplice della legge europea sull’intelligenza artificiale, emerge – anche sulla base delle interlocuzioni avviate dalla Commissione europea in sede di consultazioni “multistakeholder” – il rischio di possibili criticità suscettibili di compromettere l’effettiva applicazione di alcune “disposizioni chiave dell’AI Act”, a causa di “ritardi nella designazione delle autorità nazionali competenti e degli organismi di valutazione della conformità, nonché la mancanza di standard armonizzati per i requisiti, le linee guida e gli strumenti di conformità ad alto rischio previsti dall’AI Act”, da cui potrebbero discendere ripercussioni in grado di rallentare il processo di innovazione tecnologica (cfr. Contesto della proposta, motivazioni e obiettivi della proposta, p. 2).
In considerazione dei rilievi riscontrati, mediante la formulazione della proposta di regolamento la Commissione europea introduce una serie di misure di semplificazione, nell’ottica di facilitare la corretta attuazione dell’AI Act, senza compromettere il rispetto degli elevati standard di protezione prescritti dal legislatore.
Tra le principali novità introdotte, si segnala una revisione del vigente art. 4 del Regolamento (UE) 2024/1689. La citata disposizione normativa, nella sua attuale formulazione, pone a carico di tutti i fornitori e dei deployers dei sistemi di IA l’obbligo di garantire l’alfabetizzazione del proprio personale in materia di intelligenza artificiale come necessario adempimento di apprendimento formativo permanente per tutti gli operatori che si occupano del funzionamento e dell’utilizzo dei sistemi di IA.
Invero, una simile prescrizione sembra rilevarsi inefficace, rendendosi necessario qualificare l’obiettivo dell’alfabetizzazione tecnologica nel settore dell’IA come una “priorità strategica”, indipendentemente dagli obblighi normativi e dalle potenziali sanzioni. Per tale ragione, il novellato articolo 4 stabilisce un coinvolgimento attivo della Commissione europea e degli Stati membri, nell’ambito delle rispettive competenze, al fine di “incoraggiare i fornitori e i fornitori di sistemi di IA ad adottare misure per garantire un livello sufficiente di alfabetizzazione in IA presso il proprio personale” […] “offrendo opportunità di formazione, fornendo risorse informative e permettendo lo scambio di buone pratiche e altre iniziative non vincolanti dal punto di vista legale” (cfr. Considerando n. 5, proposta di regolamento).
Obblighi per i sistemi di IA ad alto rischio nel quadro del Digital Omnibus
Inoltre, anche nell’ottica di prevenire il rischio di pregiudizi codificati nei sistemi di intelligenza artificiale, garantire coerenza giuridica, evitare duplicazioni e minimizzare gli oneri amministrativi, la proposta di regolamento individua una serie di modifiche da apportare, tra l’altro, all’art. 43 del Regolamento (UE) 2024/1689 “per allineare i requisiti di valutazione della conformità con quelli dei fornitori di sistemi di IA ad alto rischio previsti dall’articolo 16”.
Il nuovo articolo 4a, introdotto dalla proposta di regolamento subito dopo il modificato articolo 4, consente eccezionalmente ai fornitori dei sistemi di IA ad alto rischio di trattare categorie particolari di dati personali per il rilevamento e la mitigazione dei bias, quando tali attività non possono essere efficacemente soddisfatte elaborando dati sintetici o anonimizzati, purché siano stabilite limitazioni tecniche sul riutilizzo dei dati personali trattati e l’adozione di misure a presidio della sicurezza e della salvaguardia della privacy, inclusa la pseudonimizzazione, per evitare abusi e trasferimenti non autorizzati, con l’ulteriore vincolo di eliminare tali categorie speciali di dati personali quando il bias rilevato nei sistemi risulta rimosso o corretto.
Al riguardo, il Considerando n. 6 della proposta di regolamento chiarisce che “la rilevazione e la correzione dei pregiudizi costituiscono un interesse pubblico sostanziale perché proteggono le persone dagli effetti negativi dei pregiudizi, inclusa la discriminazione”: da ciò discende la necessaria previsione generalizzata – nei confronti dei fornitori e utilizzatori di tutti i sistemi e modelli di IA – di una base giuridica per il relativo trattamento in conformità con quanto previsto dalla modifica apportata all’articolo 9 del Regolamento (UE) 2016/679.
Sono, inoltre, stabilite modifiche riguardanti il rispetto degli obblighi prescritti per i sistemi di IA ad alto rischio dal Capitolo III del Regolamento (UE) 2024/1689, mediante l’introduzione di un meccanismo di adempimento più flessibile che collega, dopo un necessario periodo di transizione, l’effettiva applicazione di tale disciplina alla accertata disponibilità di misure di conformità alle regole definite tramite l’adozione di standard armonizzati e linee guida, atteso che “l’articolo 113 della legge europea sull’intelligenza artificiale stabilisce una data generale di entrata in vigore di tale Regolamento (2 agosto 2026) ritenuta di difficile attuazione applicativa, soprattutto per quanto riguarda gli obblighi relativi ai sistemi di IA ad alto rischio previsti nelle sezioni 1, 2 e 3 del Capitolo III del Regolamento (UE) 2024/1689”, a causa, tra l’altro, della “disponibilità ritardata di standard, specifiche comuni e linee guida alternative” che mettono a rischio l’effettiva vigenza di tali obblighi “e rischiano di aumentare significativamente i costi di attuazione” (Considerando n. 22 della proposta di regolamento).
PMI, sandbox regolatori e ruolo dell’Ufficio per l’IA
Secondo la proposta formulata dalla Commissione europea, ulteriori modifiche sono, altresì, apportate agli articoli 57, 58 e 60 del Regolamento (UE) 2024/1689, con l’intento di “rafforzare ulteriormente la cooperazione a livello dell’Unione nei sandbox regolatori dell’IA, favorire chiarezza e coerenza nella governance dei sandbox regolatori dell’IA ed estendere l’ambito dei test reali al di fuori dei sandbox regolatori dell’IA ai sistemi di IA ad alto rischio coperti dalla legislazione di armonizzazione dell’Unione elencata nell’Allegato I di tale Regolamento” (Considerando n. 10 della proposta).
Al riguardo, il novellato articolo 60 precisa che “i test di sistemi IA ad alto rischio in condizioni reali al di fuori dei sandbox regolatori dell’IA possono essere condotti da fornitori o potenziali fornitori di sistemi IA ad alto rischio elencati nell’Allegato III o coperti dalla legislazione di armonizzazione dell’Unione elencata nella Sezione A dell’Allegato I […] senza pregiudizio ai divieti previsti dall’articolo 5”.
Il nuovo articolo 63 consente alle PMI, comprese le start-up, di conformarsi in modo semplificato ad alcuni elementi del sistema di gestione della qualità richiesto dall’articolo 17, attribuendo alla Commissione europea il compito di sviluppare apposite “linee guida sugli elementi del sistema di gestione della qualità che possano essere rispettati in modo semplificato tenendo conto delle esigenze delle PMI, senza compromettere il livello di protezione o la necessità di conformità ai requisiti relativi ai sistemi di IA ad alto rischio”.
Al fine di rafforzare il sistema di governance dei sistemi di IA basato su modelli di IA a scopo generale, la proposta di regolamento interviene anche per chiarire il ruolo dell’Ufficio per l’IA nel monitoraggio e nella supervisione della conformità di tali sistemi AI mediante una modifica dell’articolo 75 del Regolamento (UE) 2024/1689.
In particolare, il novellato articolo 75 precisa che, nello svolgimento dei predetti compiti, l’Ufficio per l’IA è dotato di tutti i poteri di cui dispone un’autorità di sorveglianza, da cui discende la possibilità di adottare misure e assumere decisioni appropriate per espletare tali funzioni. A tal fine, la Commissione europea definisce le procedure per consentire all’Ufficio per l’IA di esercitare tali poteri, “inclusa la sua capacità di imporre sanzioni, come multe o altre sanzioni amministrative, in conformità con le condizioni e i limiti indicati nell’articolo 99”.
Le opinioni espresse nel presente articolo hanno carattere personale e non sono, direttamente o indirettamente, collegate in alcun modo alle attività e funzioni lavorative svolte dall’Autore, senza, quindi, impegnare, in alcun modo, l’Amministrazione di appartenenza del medesimo.
