Che anno sarà il 2026 per l’economia basata sui dati e sul digitale? Quali saranno le sfide strategiche con cui aziende, PA e professionisti dovranno confrontarsi? Con quali priorità dovranno essere definiti i programmi di compliance per garantire competitività economica?
Fare bilanci e previsioni è diventato, in effetti, un compito sempre più difficile in questo settore, anche per chi come me se ne occupa da oltre venticinque anni. Le regole del gioco cambiano a una velocità sorprendente, anche compiendo straordinarie inversioni a “U”; le prassi interpretative e applicative reagiscono solo in parte con la stessa velocità e, a volte, si assiste a veri e propri deragliamenti; lo scenario geopolitico sempre più instabile crea un’incertezza che ha ricadute palpabili anche nelle attività quotidiane.
Nuove normative hanno iniziato a svelare i loro effetti positivi sulla competitività; altre sono state messe in discussione in nome di una semplificazione utile e, al contempo, pericolosa.
Ma è proprio dall’eredità dell’anno appena trascorso, nei suoi punti buoni e meno buoni, che si deve partire per provare a decifrare le direttive strategiche per la data economy nel 2026. Ecco allora cinque sfide che ci aspettano nei prossimi mesi, e alle quali occorre arrivare preparati.
Indice degli argomenti
Digital omnibus: semplificazione necessaria o rischio di deregulation?
Il 2026 sarà innanzitutto l’anno del Digital Omnibus, il pacchetto di proposte di regolamento presentato dalla Commissione UE lo scorso novembre con l’obiettivo di semplificare e razionalizzare le norme europee in materia di dati, intelligenza artificiale e cybersecurity.
Nei prossimi mesi l’iter di approvazione entrerà nel vivo e il dibattito tra le istituzioni europee si preannuncia non di immediata composizione. Al di là del testo attuale e di quello finale, e ragionando su un piano più alto, il Digital Omnibus rappresenta il primo vero tentativo dell’UE di “mettere ordine” in un ecosistema normativo che negli ultimi anni è diventato più stratificato e complesso, figlio di una proliferazione pianificata e voluta dalla stessa Commissione UE e approvata dal Parlamento, salvo ora ripensarci, gettando sconcerto tra operatori e interpreti.
Come detto, l’obiettivo dichiarato è la semplificazione normativa, e diverse misure proposte possono ritenersi orientate in questa direzione. Altre, invece, lasciano più di un dubbio in termini di efficacia e, soprattutto, di livello adeguato di tutela di diritti e libertà fondamentali. Il confine tra semplificazione e deregolamentazione è sottile, e l’Europa ha deciso per la prima volta di percorrerlo.
Il vero nodo da sciogliere nei prossimi mesi non sarà definire quali regole eliminare, ma identificare i principi non negoziabili. Per la protezione dei diritti fondamentali, ma anche per la valorizzazione di un patrimonio storico-normativo che ha reso le regole europee sulla data economy un fattore determinante in termini di certezza del diritto, fiducia di clienti e consumatori e competitività economica, anche nelle forme del risparmio di spesa.
Dieci anni di GDPR: evoluzione silenziosa tra interpretazione ed enforcement
Nel 2026 festeggeremo i primi dieci anni dall’approvazione della normativa europea in materia di circolazione e protezione dei dati personali, il GDPR. Un complesso di regole che continua a dimostrarsi un corpo normativo vivente.
Non sono le norme a cambiare formalmente, ma il loro impatto strategico e operativo, plasmato nella prassi quotidiana dalle attività di enforcement delle Autorità di controllo – a partire dal Garante per la protezione dei dati personali, che continua a confermarsi Autorità faro anche a livello internazionale – e della più attenta giurisprudenza.
Del resto, il GDPR non è mai stato una normativa statica. E nel 2025 abbiamo avuto l’ennesima prova che, più che un regolamento europeo, il GDPR è un linguaggio comune di governance e valorizzazione dei dati. Il punto, allora, è essere in grado di leggere la normativa in questa chiave.
Occorre abbandonare l’idea del mero adempimento, guardando invece alle norme sulla data economy come a un’infrastruttura giuridica in grado di abilitare processi innovativi e competitività nel rispetto dei diritti fondamentali.
Per l’anno alle porte sarà, come non mai, fondamentale prendere ancora più consapevolezza e dimestichezza con tale dimensione del GDPR. In questo, continua a essere centrale e strategico il ruolo dei Data Protection Officer, la cui esperienza sul campo ormai decennale è un patrimonio per ogni azienda.
Questa funzione di controllo e consulenza è la chiave per trasformare la compliance data protection in una vera e propria governance del dato. Il tutto continuando a osservare e imparare dall’operato delle Autorità di controllo, rendendosi costantemente pronti e aperti al dialogo costruttivo e dialettico.
AI act nel 2026: la stagione della compliance preventiva
Compatibilmente con il Digital Omnibus, sulla carta il 2026 dovrebbe essere anche l’anno in cui la maggior parte degli obblighi previsti dall’AI Act diventeranno applicabili. E tuttavia, già negli ultimi mesi, si è assistito a una sorta di paradosso: le norme devono ancora diventare obbligatorie, ma l’impatto dell’AI Act nelle strategie di aziende ed enti pubblici – perlomeno di quelli più virtuosi – è già evidente e attuale.
Considerato ormai che l’IA è un elemento strutturale nei processi decisionali di aziende ed enti pubblici, la governance di questa tecnologia è diventata una priorità anche al di là dello stretto obbligo normativo. E nel 2026 questo processo non potrà che continuare a evolversi, per necessità di governo dei rischi, ma anche per liberare il valore trasformativo dell’IA grazie a ecosistemi di governance e compliance sicuri ed efficaci.
Il 2026 sarà probabilmente anche l’anno del primo enforcement di questa legge, anche se non mi aspetto corse in avanti. Gli scenari fin qui descritti impongono prudenza e un supplemento di istruttoria sarà la regola per tutte le autorità di controllo, prima di emettere sanzioni pecuniarie, che nel caso dell’AI Act potrebbero raggiungere il valore massimo del 7% del fatturato annuo del trasgressore.
Ma resterà ferma – e anzi crescerà ulteriormente – l’importanza del GDPR nella regolamentazione dell’IA. La normativa sulla circolazione e protezione dei dati personali continuerà infatti a operare come prima cintura di sicurezza contro i rischi dell’IA, e in questo le Autorità di controllo data protection avranno una funzione sempre più determinante.
Cybersecurity e data protection: verso una compliance integrata
Negli ultimi anni anche la normativa sulla cybersecurity ha registrato un’accelerazione consistente, sul piano europeo ma anche a livello nazionale. Per aziende e pubbliche amministrazioni, ormai, la moltiplicazione di adempimenti ai sensi di normative diverse ma complementari è diventata una prassi quotidiana e inevitabile.
Nel 2026 sarà sempre meno sostenibile adottare modelli di compliance basati su una gestione separata degli aspetti cyber, data protection e IA. Incidenti di sicurezza, data breach, obblighi di notifica, sistemi di governance, organigrammi, procedure di gestione dei rischi e processi di innovazione richiedono invece visioni organiche e unitarie.
Inoltre, anche la nostra autorità di controllo, l’ACN – Agenzia per la cybersicurezza, inizierà proprio nel 2026 la sua attività piena di indirizzo e controllo, dopo un 2025 pieno di adempimenti preliminari ai sensi della direttiva NIS2.
Occorre dunque costruire da oggi la compliance di domani. Una compliance che, già dal 2026, non sarà e non potrà più essere verticale, ma dovrà invece essere sistemica. Non si tratta solo di gestione e prevenzione del rischio sanzionatorio, ma anche – e anzi soprattutto – di una visione strategica e reputazionale.
Tecnologia e minori online: alla ricerca di un equilibrio
Resta da capire se il 2026 sarà finalmente l’anno in cui si troverà una quadra rispetto all’uso delle nuove tecnologie da parte dei minori in rete. In questo caso l’incertezza fa più da padrona.
Il dibattito esiste da tempo; soluzioni e modelli – tanto regolamentari quanto di business – continuano a susseguirsi, ma sembra ancora mancare il punto di equilibrio.
La protezione dei minori online è, e resta, uno degli ambiti in cui si misura la credibilità di qualsiasi strategia regolatoria in materia digitale. E se da un lato la tutela dei più giovani è il punto in cui l’innovazione incontra il proprio limite etico, dall’altro il mondo delle regole è chiamato a trovare le giuste contromisure tenendo conto anche del mercato.
Senza rinunciare alle tutele, il 2026 potrebbe essere l’anno in cui fare un passo in più verso il punto di equilibrio, costruendo un dialogo tra regolatori, autorità e piattaforme online, imponendo adeguati standard di tutela, ma anche riconoscendo gli sforzi finora fatti dagli operatori più virtuosi.
La compliance come capitale competitivo invisibile nel 2026
Il 2026 sarà sicuramente un anno che, al pari di quello appena trascorso, ci riserverà nuove sfide, insieme a evidenti e inevitabili incertezze. Aziende e professionisti della data economy non possono però limitarsi a navigare a vista. Al contrario, servono visione strategica e investimenti.
Sostenere economicamente la compliance preventiva e proattiva non è infatti un costo, ma un investimento che genera fiducia, resilienza e competitività. Ciò diventa possibile solo guardando alle norme sulla data economy non come un freno per l’innovazione, ma come il telaio portante di ogni processo innovativo.
L’auspicio, allora, è che il 2026 sia davvero l’anno in cui realizzare pienamente e definitivamente questo fondamentale cambio di prospettiva.
