Il Digital Omnibus Package presentato dalla Commissione Europea il 19 novembre 2025 introduce modifiche che, secondo osservatori indipendenti, aziende e società civile, rappresentano un potenziale arretramento nella tutela dei dati personali e aziendali.
Le revisioni a GDPR, AI Act ed ePrivacy Directive ampliano l’uso del “legittimo interesse” come base legale per l’addestramento dei sistemi di intelligenza artificiale, riducendo drasticamente il ruolo del consenso e aprendo la strada a un utilizzo massivo di informazioni provenienti da social media, servizi online e dataset pubblici senza adeguata consapevolezza degli interessati.
Indice degli argomenti
Digital Omnibus e Private AI: il punto di svolta su dati e addestramento AI
A ciò si aggiunge una ridefinizione più restrittiva di “dato personale”, che esclude dall’ambito del GDPR informazioni la cui re-identificazione richiederebbe “sforzi sproporzionati”. Questa scelta, pur presentata come semplificazione tecnica, rischia di creare zone grigie facilmente sfruttabili: dati pseudonimizzati potrebbero perdere le tutele fondamentali, con un aumento dei rischi di re-identificazione.
Zone grigie e pseudonimizzazione: perché la tutela può indebolirsi
Nel testo, la soglia degli “sforzi sproporzionati” diventa un punto critico: se applicata in modo estensivo, può ridurre l’area di protezione del GDPR e spingere verso pratiche in cui la pseudonimizzazione viene trattata come una quasi-anonimizzazione, nonostante i rischi di ritorno all’identità.
AI Act rinviato al 2027: controlli attenuati nella fase di boom dell’AI generativa
Nel frattempo, il rinvio al dicembre 2027 dell’applicazione delle norme dell’AI Act sui sistemi ad alto rischio garantisce un lungo periodo di operatività con controlli attenuati, proprio nel momento di massima espansione dell’AI generativa.
Cookie banner semplificati e più esenzioni: l’effetto sul tracciamento
La semplificazione dei cookie banner e l’ampliamento delle esenzioni al consenso vanno nella stessa direzione: una maggiore facilità di tracciamento comportamentale, fondamentale per alimentare modelli AI sofisticati, ma che rischia di indebolire la capacità dei cittadini di controllare i propri dati.
EDPB e modelli “non sempre anonimi”: il rischio model inversion
L’European Data Protection Board ha inoltre chiarito che i modelli AI addestrati con dati personali non possono essere considerati anonimi “in tutti i casi”, poiché tecniche come i “model inversion attacks” permettono di recuperare informazioni sugli individui.
Impatto su imprese e PMI: sovranità dei dati e asimmetria competitiva
Le conseguenze previste sono significative. Le aziende europee, soprattutto PMI, rischiano di perdere sovranità sui propri dati, che potrebbero essere usati per addestrare modelli di competitor globali senza compenso né controllo. Si crea così un’asimmetria competitiva strutturale: i giganti tecnologici, già dotati di infrastrutture e capitali enormi, avrebbero accesso privilegiato ai dati europei, mentre le realtà locali rimarrebbero dipendenti da piattaforme esterne.
Non a caso, 127 organizzazioni della società civile hanno firmato una lettera di condanna e EDRi ha definito il Digital Omnibus “il più grande passo indietro dei diritti digitali fondamentali nella storia dell’UE”.
Digital Omnibus e Private AI: perché cresce l’alternativa on-premise
In questo scenario, cresce rapidamente l’interesse verso le soluzioni di Private AI: modelli di intelligenza artificiale sviluppati, addestrati ed eseguiti direttamente all’interno delle infrastrutture aziendali, senza trasferimento dei dati verso piattaforme esterne. Si tratta di un paradigma profondamente diverso dall’AI cloud-based, che consente di mantenere piena sovranità sul dato, garantire conformità normativa by design, tracciare ogni operazione e ridurre la dipendenza strategica da provider extra-UE.
Private AI in pratica: controllo, sicurezza e casi d’uso
La Private AI consente inoltre di addestrare modelli esclusivamente sui dati interni, migliorandone accuratezza, contestualizzazione e sicurezza, offrendo trasparenza sui costi e pieno controllo sulle infrastrutture. Con la piattaforma “AI in a Box”, Brainyware propone una risposta concreta: soluzioni on-premise che mantengono i dati nel perimetro aziendale, in linea con le normative previste dal nuovo AI Act e con un modello economico accessibile anche alle PMI.
Dove si applica: settori e funzioni aziendali
Le applicazioni sono molteplici: sanità, finanza, assicurazioni, manifatturiero avanzato, legal tech, customer service, gestione HR, automazione documentale e knowledge management. In tutti questi ambiti, garantire riservatezza e protezione della proprietà intellettuale è un requisito strategico, non solo tecnico.
Come partire subito: governance, contratti cloud e progetti pilota
Per questo è essenziale che le imprese avviino da subito un percorso strutturato: mappare i flussi di dati, definire quali informazioni non devono lasciare il perimetro aziendale, rinegoziare i contratti con i fornitori cloud introducendo clausole che vietino l’uso dei dati per addestrare modelli generativi e avviare progetti pilota di Private AI in ambiti mirati come customer service e automazione documentale.
In parallelo, è necessario investire nella formazione interna: le decisioni su dove e come impiegare l’AI sono scelte di governance, non solo tecniche.
Cittadini e istituzioni: trasparenza e sovranità digitale nella fase decisiva
Anche i cittadini hanno un ruolo cruciale: pretendere trasparenza sul trattamento dei dati, preferire servizi che limitino la raccolta e localizzino le informazioni, sostenere soluzioni europee che mettono al centro privacy e controllo. Se l’Europa saprà coniugare un quadro regolatorio esigente con un ecosistema di tecnologie di Private AI accessibili, il dibattito sul Digital Omnibus potrà trasformarsi da minaccia a occasione di rilancio della sovranità digitale.
Il Digital Omnibus è ora al vaglio del Parlamento Europeo e del Consiglio, e questa fase rappresenta un passaggio decisivo: le istituzioni devono proteggere la sovranità digitale dell’UE e incentivare tecnologie che rafforzino l’indipendenza tecnologica del continente. Allo stesso tempo, le imprese non devono attendere gli esiti legislativi: devono riconsiderare la propria dipendenza da soluzioni cloud esterne, adottare misure contrattuali per tutelare la proprietà intellettuale e considerare la Private AI come un investimento strategico sul lungo termine.
Il momento di agire è ora. Proteggere i dati significa difendere la competitività, la sicurezza e l’autonomia tecnologica dell’Europa nel nuovo ecosistema dell’intelligenza artificiale.
