Il Digital Omnibus europeo apre una nuova fase per la regolazione digitale dell’Unione europea. Tra GDPR, AI Act, Data Act e governance dei dati, il pacchetto promette semplificazione per le imprese ma solleva anche interrogativi sul futuro delle tutele.
Indice degli argomenti
Digital Omnibus, cantiere normativo per riscrivere le regole del digitale europeo
Il 19 novembre 2025, la Commissione europea ha presentato il Digital Omnibus, la più ampia revisione del diritto digitale europeo mai fatta fino ad ora. Non si tratta di un singolo provvedimento, ma di un pacchetto di tre proposte legislative – COM (2025) 835, 836 e 837 – che interviene simultaneamente su GDPR, AI Act, Data Act e Data Union Strategy, con l’obiettivo dichiarato di razionalizzare un quadro normativo diventato, nel tempo, troppo frammentato e costoso da rispettare. In sintesi: un cantiere normativo per riscrivere le regole del digitale europeo per rispondere alle esigenze della competitività globale.
Una scelta ambiziosa, che a mio avviso non riguarda soltanto la semplificazione burocratica, ma rappresenta un vero e proprio riposizionamento strategico dell’Unione europea rispetto alla regolazione dell’intelligenza artificiale, dei dati e dell’innovazione in un contesto geopolitico radicalmente mutato. L’obiettivo dichiarato dalla Commissione è ridurre il carico amministrativo di almeno il 25% per tutte le imprese e del 35% per le PMI, rispondendo alle preoccupazioni espresse nel Rapporto Draghi sulla competitività. È una promessa significativa, soprattutto in una fase in cui l’industria europea denuncia costi di compliance crescenti e tempi di implementazione incompatibili con la velocità dell’innovazione tecnologica.
Alla luce di tutto questo, però, viene spontaneo chiedersi: siamo di fronte a un intervento di semplificazione, oppure la Commissione Europea ha intrapreso la strada di una deregolamentazione mascherata?
Semplificazione, rinvio, riforma: tre concetti che non si equivalgono
Va riconosciuto che la spinta alla semplificazione ha radici concrete. Il Rapporto Draghi sulla competitività europea ha messo a fuoco con nettezza il problema: circa 100 leggi focalizzate sul tech e oltre 270 autorità regolatorie nel settore digitale tra i vari Stati membri. Un’impresa europea che vuole sviluppare un sistema di intelligenza artificiale si trova oggi a navigare simultaneamente tra GDPR, AI Act, NIS2, Data Act e Data Governance Act – spesso con scadenze diverse, autorità diverse e logiche non sempre coerenti. La Commissione stima risparmi complessivi fino a 150-155 miliardi di euro entro il 2029, importanti risorse oggi assorbite da adempimenti duplicati che, in alternativa, potrebbero andare all’innovazione.
Il problema nasce però quando si sovrappongono tre operazioni distinte: semplificazione, rinvio e riforma strutturale. Sono tre cose diverse. La razionalizzazione del reporting degli incidenti di cybersecurity – un unico portale invece di notifiche multiple ad autorità diverse – per esempio è vera semplificazione; il rinvio degli obblighi per i sistemi AI ad alto rischio, motivato dal fatto che gli standard tecnici non sono ancora pronti, è un rinvio tecnico legittimo; la ridefinizione del concetto di dato personale nel GDPR è invece una riforma strutturale, con implicazioni profonde sulle tutele dei cittadini europei.
Il Digital Omnibus li mescola tutti e tre nello stesso pacchetto. Ed è esattamente questo il nodo politico centrale.
GDPR: semplificazione o svuotamento?
Tra le modifiche più discusse del pacchetto, quelle al GDPR sono anche le più delicate. L’Omnibus interviene su due punti in particolare: la definizione di dato personale e la base giuridica per l’addestramento dei sistemi di intelligenza artificiale.
Sul primo punto, la proposta introduce un criterio soggettivo: se un’azienda non dispone dei mezzi per identificare una persona, quei dati cessano di essere “personali” per quella azienda, con tutto ciò che ne consegue in termini di obblighi. È una modifica che risponde a un’esigenza reale delle aziende – evitare che la definizione attuale generi oneri sproporzionati – ma che apre una questione seria: chi definisce cosa è ragionevolmente identificabile? Il rischio è che si crei un regime a geometria variabile, in cui le stesse informazioni godono di tutele diverse a seconda di chi le tratta, o se sarà frutto di una negoziazione contrattuale.
Sul secondo punto, l’Omnibus stabilisce che lo sviluppo e il funzionamento dei sistemi di AI possano fondarsi sul legittimo interesse del titolare del trattamento. In pratica, risolve per via legislativa un dibattito che ha attraversato per anni la comunità dei data protection officer. Capisco la logica: eliminare l’incertezza giuridica che oggi blocca molti progetti di innovazione. Ma il legittimo interesse, che per definizione richiede una valutazione caso per caso, rischia qui di trasformarsi in una scorciatoia per il trattamento indifferenziato di dati su larga scala. È una scelta politica rilevante, e va trattata come tale, non nascosta dentro una misura di semplificazione.
AI Act: quando il rinvio è ragionevole
Sul fronte dell’AI Act, il terreno di gioco appare essere quello del rinvio operativo. In effetti, molti standard tecnici non sono ancora pronti, gli organismi di enforcement sono ben lontani dall’aver raggiunto un’adeguata strutturazione e le linee guida applicative sono in molti casi incomplete. In questo senso, posticipare alcune disposizioni può essere letto come una necessità tecnica. Una scelta che ritengo essere corretta, se l’alternativa è invece un’implementazione affrettata che potrebbe generare incertezza senza produrre tutele reali.
Il rischio, tuttavia, è che questa norma possa diventare il grimaldello con cui modificare in profondità l’impianto regolatorio. Una riforma strutturale dovrebbe richiedere una scelta politica consapevole, fondata su una valutazione chiara degli effetti industriali e strategici delle norme esistenti. Ed è proprio qui che emerge una certa ambiguità nel confronto tra Commissione, Stati membri e stakeholder: non sempre appare chiaro se l’obiettivo sia guadagnare tempo per implementare meglio le regole oppure ripensare il modello regolatorio nel suo complesso. La distinzione non è tecnica: è politica, e il Parlamento europeo farebbe bene a presidiarla con attenzione durante il trilogo che si trova nella difficile posizione di mantenere e correggere la linea senza essere accusato di cedere alle pressanti richieste delle big tech USA.
La legislazione settoriale come risorsa, non come ostacolo
Strettamente connesso al tema dell’AI Act è il riconoscimento del ruolo della legislazione settoriale – a mio avviso – uno degli aspetti più costruttivi emersi nel dibattito sull’Omnibus.
Negli ultimi anni il rischio era che l’AI Act venisse concepito come una normativa orizzontale totalizzante, destinata a sovrapporsi a discipline già esistenti e consolidate, ma il confronto attuale sembra invece orientarsi verso una logica diversa e più razionale.
Molti settori (dispositivi medici, macchinari industriali, automotive, aeronautica, per dirne alcuni) dispongono, infatti, già di meccanismi regolatori maturi ed efficaci; si tratta di contesti in cui esistono da anni procedure di certificazione, standard tecnici e sistemi di controllo ben rodati. Duplicarli con obblighi paralleli non aggiunge tutele: aggiunge costi.
L’approccio sensato è l’integrazione, non la sostituzione: utilizzare la normativa AI come livello complementare, evitando sovrapposizioni e conflitti interpretativi. E completare invece la declinazione sugli aspetti IA di queste normative in ambito settoriale – per esempio il Regolamento Macchine (UE) 2023/1230 a sette mesi dalla sua applicazione manca ancora delle norme armonizzate alle quali le aziende devono fare riferimento.
PMI e soglie dimensionali: la domanda sbagliata
Un tema centrale nel dibattito riguarda le eccezioni per le piccole e medie imprese. Il Digital Omnibus discute dove collocare le soglie dimensionali rilevanti per queste eccezioni alle SMC, le Small Mid Cap. E lì si apre il dibattito se definirle come fino a 750 dipendenti, o fino a 1000 – come se il numero di addetti fosse ancora una misura adeguata dell’impatto di un’impresa nel digitale.
Non lo è più. La storia della tecnologia recente è piena di casi in cui organici ridottissimi si accompagnano a una capacità di incidere sul mercato globale enorme. Continuare a costruire la regolazione principalmente sulla dimensione aziendale rischia di diventare anacronistico rispetto alla realtà dell’economia digitale.
La domanda giusta non è “chi si può esentare”, ma “come costruire norme che siano applicabili da tutti, indipendentemente dalla dimensione dell’operatore“. Una regolazione davvero sostenibile non dovrebbe richiedere eccezioni continue: dovrebbe essere proporzionata, chiara e implementabile per definizione.
Dalla Brussels Effect alla competizione tecnologica: cosa cambia per l’Italia
Nel complesso, ritengo che la revisione avviata dall’Unione europea possa essere letta in modo positivo. Non perché si rinunci alla regolazione, ma perché si dimostra consapevolezza istituzionale: le leggi non sono immutabili, e anche nel diritto tecnologico può essere necessario correggere, adattare, a volte fare un passo indietro.
Si sta probabilmente chiudendo l’epoca in cui l’Europa poteva contare soprattutto sulla propria forza regolatoria – il cosiddetto Brussels Effect – come principale leva geopolitica nel digitale. Se alcuni Paesi (Corea del Sud, Taiwan, qualche Stato americano) si sono ispirati alla logica risk-based dell’AI Act, lo hanno fatto per adattamento selettivo e non per emulazione. Mentre gli USA di Trump hanno smontando completamente l’executive order sull’IA di Biden. Insomma la competizione sulle tecnologie emergenti è oggi molto più aggressiva, industriale e strategica.
Tutto questo richiede che la governance dell’IA e quella dei dati smettano di essere trattate come compartimenti separati: l’una dipende strutturalmente dall’altra e la mancanza di coerenza sistemica tra AI Act, GDPR e Data Act rischia di produrre nuova frammentazione invece di eliminarla.
Questo cambiamento produrrà conseguenze anche per l’Italia visto che la legislazione nazionale sull’intelligenza artificiale è nata in un quadro europeo di profonda trasformazione. Avevo più volte espresso il mio scetticismo rispetto all’opportunità di anticipare tutti gli altri Stati con una normativa nazionale, e ora questa guarda caso rischia di dover essere rapidamente rivista.
Non possiamo permetterci di aggiungere un altro livello di incertezza normativa su un settore che ha già abbastanza nebbia di fronte a sé. Serve chiarezza procedurale, coerenza sistemica e la capacità – rara in questo momento – di distinguere ciò che va semplificato da ciò che va invece presidiato. L’Italia ha le condizioni per contribuire a quella distinzione in sede europea. Deve però iniziare a farlo adesso.
