Il pacchetto Digital Omnibus, presentato dalla Commissione Europea e attualmente in fase di negoziazione tra Parlamento, Consiglio e Commissione, rappresenta una risposta pragmatica alle sfide evidenziate dal Rapporto Draghi[1], che ha sottolineato l’urgenza di colmare il divario tecnologico dell’Europa nei confronti di Stati Uniti e Cina.
L’obiettivo della proposta è razionalizzare il quadro normativo e ridurre gli oneri burocratici e i costi di compliance per le imprese fino al 35%[2].
Indice degli argomenti
Il Digital Omnibus come risposta alla frammentazione normativa
L’Unione Europea ha costruito un quadro normativo di altissimo livello, ma il rapido susseguirsi di normative, come l’AI Act, il Data Act, il GDPR ecc., ha generato una frammentazione che rischia di soffocare gli investimenti[3].
In questo senso, i correttivi proposti offrono un sollievo cruciale: ad esempio, il posticipo dell’applicazione delle regole per i sistemi AI ad alto rischio al tardo 2027 o 2028 è una presa d’atto della necessità di attendere lo sviluppo di standard tecnici armonizzati, senza i quali le imprese si troverebbero ad affrontare un’incertezza giuridica paralizzante[4].
Governance e diritti in un quadro orientato all’innovazione
Il vero banco di prova per il legislatore europeo consiste nel mantenere il solido paradigma basato sui diritti fondamentali, introducendo al contempo regole orientate all’innovazione[5].
L’evoluzione rapidissima di tecnologie come l’intelligenza artificiale richiede agilità, e il Digital Omnibus tenta di promuovere un approccio “pro-innovazione”.
Il ruolo operativo delle regulatory sandboxes
Ne è un esempio l’intenzione di espandere a livello europeo l’utilizzo di regulatory sandboxes[6]. Questo strumento permetterà agli sviluppatori di testare prodotti, servizi o modelli di business in un ambiente controllato senza scontrarsi immediatamente con rigidi vincoli normativi, passando da un approccio unicamente precauzionale a uno che favorisce lo sviluppo industriale[7].
La persistente difficoltà di coordinare l’AI Act con il GDPR
Nonostante gli sforzi, il pacchetto evidenzia la profonda difficoltà di coordinare le nuove normative digitali con l’infrastruttura giuridica preesistente, in primis il GDPR e la Direttiva ePrivacy[8].
Il problema del consenso a livello di browser
Un esempio evidente di questa frizione è la proposta sulla fornitura del consenso a livello di browser.
Ideata per risolvere il problema della “consent fatigue” automatizzando le preferenze di tracciamento degli utenti, questa soluzione fatica a conciliarsi con il GDPR, che richiede un consenso granulare, informato e specifico[9].
Un consenso generico semestrale, da un lato, non fornisce i dettagli specifici necessari per un consenso “informato” su milioni di siti web e per scopi diversi; dall’altro, rischia di abbattere drasticamente la disponibilità dei dati e i ricavi pubblicitari, costringendo gli editori a nascondersi dietro modelli a pagamento cd. paywall.
Ciò inaridirebbe la fonte di dati gratuiti e aperti che è vitale proprio per alimentare l’ecosistema dell’intelligenza artificiale.
Il legittimo interesse per l’addestramento dell’AI
Al contrario, un esempio positivo di coordinamento è l’introduzione del “legittimo interesse” come base giuridica per l’addestramento dell’AI.
Fino a oggi, le interpretazioni divergenti delle 27 autorità nazionali per la privacy avevano creato un blocco normativo, ritardando l’introduzione dei modelli avanzati in Europa.
Il nuovo Articolo 88c del GDPR codifica l’opinione emessa dall’European Data Protection Board nel 2024, riconoscendo che l’addestramento di modelli AI rappresenta un “interesse legittimo” valido.
L’utilizzo di dati personali pubblicamente disponibili diventa lecito per il training algoritmico, a patto di garantire rigorose salvaguardie tecniche e il diritto incondizionato di opt-out, sbloccando così enormi moli di dati per l’ecosistema europeo[10].
I nodi ancora da sciogliere e la via pragmatica alla regolamentazione
Il panorama digitale europeo presenta tuttavia ulteriori nodi cruciali che la spinta alla deregolamentazione dell’Omnibus rischia di aggravare o lasciare irrisolti[11].
Responsabilità civile e diritto d’autore
Tra questi spicca il vuoto normativo sulla responsabilità: il ritiro ufficiale della proposta di Direttiva sulla Responsabilità dell’AI, cd. AI Liability Directive, lascia irrisolto il problema di come allocare le responsabilità quando sistemi AI complessi causano danni. Questa scelta lascia i cittadini senza un percorso europeo armonizzato, costringendoli ad affrontare enormi difficoltà nel dimostrare il nesso di causalità e scaricando su di loro il peso della prova.
A ciò si aggiungono le questioni sul diritto d’autore per l’addestramento dell’AI Generativa, attualmente al vaglio della Corte di Giustizia Europea nel caso Like Company[12].
Trasparenza algoritmica e diritto alla spiegazione
Sul fronte della trasparenza algoritmica, invece, la recente sentenza Dun & Bradstreet Austria[13] della Corte di Giustizia ha appena riaffermato che i cittadini hanno un vero e proprio diritto a una spiegazione chiara e intelligibile della logica applicata dalle “black box” decisionali[14].
Un approccio operativo alla tutela dell’utente
L’approccio migliore per sciogliere questi nodi non risiede in una continua riscrittura o stratificazione di norme astratte, ma in un metodo ispirato al concreto funzionamento della tecnologia e al reale rapporto degli attori del mercato[15].
In termini pratici, ciò si traduce ad esempio nella necessità di:
Prototipi e casi d’uso per sbloccare il valore dei dati
La vera barriera alla condivisione dei dati non è solo burocratica, ma operativa. È necessario finanziare la creazione di prototipi che dimostrino alle imprese il valore economico degli intermediari dei dati.
Tecnologie privacy-enhancing e modelli di business
Per permettere un uso sicuro dei dati senza distruggere i modelli di business, le normative dovrebbero incentivare tecniche come la privacy differenziale e i dati sintetici, che consentono di estrarre valore rispettando la compliance.
Attuazione concreta dei diritti già esistenti
Invece di limitarsi a deregolamentare, occorre rendere esigibili i diritti chiave, come la portabilità dei dati, forzando la creazione di standard interoperabili che permettano ai cittadini di muovere le proprie informazioni in modo sicuro e senza attriti.
Solo ancorando le regole alla realtà operativa dell’infrastruttura tecnologica e supportando chi sviluppa soluzioni pratiche, sarà possibile costruire un ecosistema digitale in cui la compliance non è vista come un freno ma come un pilastro per un’innovazione etica e sostenibile[16].
Note
[1] M. Draghi, The future of European competitiveness, settembre 2024.
[2] Morrison, Foerster, EU Digital Omnibus on AI: What Is in It and What Is Not?, dicembre 2025.
[3] B. Lazarotto, The Data Omnibus: The Good, the Bad, and The Ugly Behind the DGA and Data Act, dicembre 2025.
[4] B. Martens, The European Union needs more than the digital omnibus to make digital services competitive, dicembre 2025.
[5] Si veda: B. Lazarotto, The Data Omnibus: The Good, the Bad, and The Ugly Behind the DGA and Data Act, cit.
[6] Riguardo alle quali sia consentito rinviare a: A. Stazi, R. Jovine, A Comparative Analysis of Regulatory Sandboxes: Models, Evolution and Strategic Implications in EU, USA and China, in Comparative Law Review, n. 2/2025, e Id., A Comparative Analysis of Regulatory Sandboxes: Models, Evolution, and Strategic Implications in the UAE and Singapore, in Rivista di diritto dei media, n. 1/2026.
[7] Si veda: B. Martens, The European Union needs more than the digital omnibus to make digital services competitive, cit.
[8] Cfr.: Morrison, Foerster, EU Digital Omnibus on AI: What Is in It and What Is Not?, cit.; B. Lazarotto, The Data Omnibus: The Good, the Bad, and The Ugly Behind the DGA and Data Act, cit.
[9] Si veda: B. Martens, The European Union needs more than the digital omnibus to make digital services competitive, cit.
[10] Cfr.: B. Martens, The European Union needs more than the digital omnibus to make digital services competitive, cit.; A. Stazi, Legitimate Interest: A Legal Basis for AI?, Techno Polis Policy Brief n. 1/2025.
[11] Si veda: B. Lazarotto, The Data Omnibus: The Good, the Bad, and The Ugly Behind the DGA and Data Act, cit.
[12] Request for a preliminary ruling from the Budapest Környéki Törvényszék (Hungary) lodged on 3 April 2025 – Like Company v Google Ireland Limited (Case C-250/25, Like Company). Si veda: J. Hoffmann, Technological Determination of AI-Relevant Press and Copyright Law and Generative Content’s Relevance for EU Competition Law -The referral in Case C-250/25, Like Company v. Google Ireland Ltd., agosto 2025.
[13] Sentenza della Corte (Prima Sezione) del 27 febbraio 2025 (domanda di pronuncia pregiudiziale proposta dal Verwaltungsgericht Wien – Austria) – CK / Magistrat der Stadt Wien (Causa C-203/22 1, Dun & Bradstreet Austria).
[14] VUB Cyber & Data Security Lab, EU AI Law and Policy in 2025: Year-in-Review, gennaio 2026.
[15] Cfr.: B. Lazarotto, The Data Omnibus: The Good, the Bad, and The Ugly Behind the DGA and Data Act, cit.
[16] Cfr.: VUB Cyber & Data Security Lab, EU AI Law and Policy in 2025: Year-in-Review, cit.
