Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

le tre proposte ue

Digital Omnibus, ci siamo: come cambia Gdpr, Ai Act

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Il 19 novembre 2025 la Commissione europea presenta tre proposte che unificano digital acquis, GDPR e AI Act, spostando il baricentro del potere regolatorio verso Bruxelles e ridefinendo confini del dato personale, ruoli tecnici e tutela dei diritti fondamentali nel governo dei sistemi digitali

Pubblicato il 20 nov 2025
Francesca Niola

Research Fellow Legal manager @ Aisma srl

digital omnibus

Digital Omnibus, ci siamo. Dopo tante anticipazioni e bozze, il 19 novembre 2025, la Commissione europea ha diffuso le tre proposte normative che convertono l’acquis digitale in un sistema più concentrato, più compatto e sorretto da un diverso equilibrio tra apparati amministrativi, poteri tecnici e diritti fondamentali.

Vogliono distruggere il Gdpr, fermiamoli: la minaccia Digital Omnibus

Che cos’è il Digital Omnibus GDPR
Il Digital Omnibus è un pacchetto di tre proposte della Commissione europea – COM(2025) 837, 836 e 835 – che riorganizza una parte sostanziale dell’acquis digitale UE. Usa il Data Act come spina dorsale, interviene su GDPR e AI Act e disegna una Data Union Strategy che unifica le regole su dati personali, non personali e riuso dei dati da parte di soggetti pubblici e privati.

Che cos’è il Digital Omnibus – riforma Gdpr e non solo


Il Digital Omnibus è un pacchetto di tre proposte della Commissione europea – COM(2025) 837, 836 e 835 – che riorganizza una parte sostanziale dell’acquis digitale UE. Usa il Data Act come spina dorsale, interviene su GDPR e AI Act e disegna una Data Union Strategy che unifica le regole su dati personali, non personali e riuso dei dati da parte di soggetti pubblici e privati.

Digital Omnibus, le tre proposte normative

Le tre proposte sono:

COM(2025) 837 – proposta sul digital acquis. Usa il Data Act come “spina dorsale” e rifonde in un unico testo:

  • Data Governance Act
  • Free Flow of Non-Personal Data Regulation
  • Open Data Directive

COM(2025) 836 – proposta di semplificazione e revisione dell’AI Act

  • Interviene sugli obblighi per i sistemi ad alto rischio
  • Rafforza il ruolo dell’AI Office e lega più strettamente AI Act e GDPR.

COM(2025) 835 – proposta sulla Data Union Strategy

  • Disegna l’architettura di governo europeo dei dati
  • Prevede lo sportello unico europeo per incidenti/data breach e il coordinamento tra GDPR, NIS, DORA, eIDAS.

La data del 19 novembre assume rilievo non per la mera pubblicazione di nuovi testi, ma per l’effetto combinato che queste proposte generano sull’architettura materiale della protezione dei dati e dell’intelligenza artificiale: COM 837 sul digital acquis, COM 836 sulla semplificazione dell’AI Act e COM 835 sulla Data Union Strategy.

Le tre iniziative formano un blocco concettuale unitario, in cui il dato personale, il dato non personale, gli obblighi degli operatori economici e la funzione degli organismi di vigilanza convergono in un quadro che possiede tratti inediti rispetto al modello inaugurato nel 2016 con il GDPR.

Iter e tempi del Digital Omnibus

Il Digital Omnibus, al momento, è una proposta della Commissione e non è ancora diritto vigente.

Il percorso prevede:

  • esame e modifiche da parte di Parlamento europeo e Consiglio;
  • negoziati in trilogo e definizione di un testo di compromesso;
  • successiva entrata in vigore con periodi transitori differenti per GDPR, AI Act e Data Union Strategy.

Alcune disposizioni, in particolare quelle sui sistemi di AI ad alto rischio, possono slittare fino a una finestra massima di 16 mesi rispetto alle scadenze originarie, spostando di fatto l’effettività di alcuni obblighi chiave verso il 2027.

Novità Digital Omnibus: i punti principali

Prima di addentrarci nei testi, vediamo le novità principali.

Nuova soglia per definire i “dati personali” (Gdpr)


Se un’azienda non può o non vuole identificare una persona, i dati collegati a quella persona potrebbero essere esclusi dall’applicazione delle regole Gdpr. Di fatto si passa da un criterio “oggettivo” (dati che potrebbero identificare qualcuno) a uno più “soggettivo” (dipende da cosa l’azienda può/vuole fare), con forte contestazione da parte delle associazioni per i diritti digitali.

Meno banner per i cookie


Alcuni trattamenti (statistiche aggregate di traffico, controlli di sicurezza, verifiche tecniche) potrebbero essere svolti senza chiedere il consenso esplicito via cookie banner. Obiettivo: ridurre la “banner fatigue” e i costi per i siti, specie Pmi. Critica principale: l’espressione “finalità di sicurezza” è molto ampia e rischia di diventare una porta d’ingresso per controlli invasivi sui dispositivi.

Limitazioni al diritto di accesso ai propri dati (art. 15 Gdpr)

Su impulso tedesco, la proposta vuole restringere il diritto di accesso ai dati personali ai soli scopi di tutela della privacy, escludendo gli usi in contenziosi (per esempio lavoro: richieste dati per dimostrare straordinari non pagati). Le organizzazioni per i diritti digitali contestano perché la Corte di giustizia ha già chiarito che il diritto di accesso può essere esercitato per qualsiasi fine, inclusi giornalismo e ricerca.

Uso dei contenuti degli utenti per addestrare l’AI (opt-out)

Le grandi piattaforme (Meta, Google, Amazon, ecc.) potrebbero usare in modo generalizzato i contenuti pubblicati dagli utenti per addestrare sistemi di intelligenza artificiale, passando da un modello di consenso esplicito (opt-in) a uno di esclusione su richiesta (opt-out). L’onere di opporsi passerebbe agli utenti, che dovrebbero gestire migliaia di possibili trattamenti, spesso senza sapere chi usa cosa.

Proroga fino a 16 mesi per l’AI Act

Viene prevista una proroga (massimo 16 mesi) per la piena applicazione di alcune obbligazioni dell’AI Act, motivata con il ritardo delle linee guida tecniche e di conformità. La finestra si riduce (fino a 6–12 mesi) se le specifiche arriveranno prima. L’industria tecnologica accoglie la proroga, mentre Brando Benifei del Parlamento Ue e altri mettono in guardia: significa ritardare tutele cruciali contro discriminazioni (es. algoritmi di selezione del personale, sistemi sanitari AI).

Portale unico Ue per le segnalazioni di incidenti cyber

Oggi un soggetto colpito da un attacco informatico deve notificare l’incidente a più autorità nazionali e Ue con procedure differenti. Il Digital Omnibus introduce un unico portale europeo: l’azienda invia una sola segnalazione che viene poi smistata alle autorità competenti, con l’obiettivo di semplificare e uniformare gli obblighi.

Portafoglio digitale aziendale e “identità unica” Ue

Viene rafforzata l’idea di portafogli digitali per le imprese: una sorta di carta d’identità digitale valida in tutti i 27 Stati membri, per evitare di ripetere le stesse pratiche amministrative Paese per Paese. La Commissione stima risparmi complessivi fino a 150–155 miliardi di euro entro il 2029.

Effetto complessivo: semplificazione vs. “deregulation” tech

Il pacchetto è presentato come grande operazione di semplificazione e riduzione degli oneri normativi, ma:
– gli attivisti per i diritti digitali lo vedono come un indebolimento strutturale delle tutele Gdpr e dell’AI Act;
– molte big tech giudicano comunque insufficiente l’alleggerimento, specie perché DMA e DSA restano sostanzialmente invariati.

Riforma GDPR e AI Act 2025. Il nuovo governo dei dati

La prima impressione restituisce una trasformazione che procede per stratificazione.

La Commissione utilizza il lessico della “semplificazione” e della “razionalizzazione”, ma il contenuto effettivo dei testi del 19 novembre manifesta una tensione più profonda: l’ordinamento europeo inizia a costruire una forma diversa di governo del digitale, in cui l’esigenza di certezza regolatoria convive con un nuovo criterio di distribuzione del potere sulle informazioni.

La rilevanza costituzionale deriva dall’ampliamento degli spazi decisionali affidati a organi tecnici sovranazionali, dalla ridefinizione della nozione stessa di dato personale e dalla riorganizzazione dei meccanismi di controllo.

Stratificazione normativa e nuovo equilibrio dei poteri

Il documento COM 837 utilizza il Data Act come perno per inglobare il Data Governance Act, il Free Flow of Data Regulation e l’Open Data Directive.

Questa operazione, lungi dal ridursi a un collage normativo, costruisce un corpo unitario che assembla regole sulla circolazione dei dati, sui regimi di riuso e sulle condizioni di accesso da parte degli apparati pubblici.

La concentrazione normativa assume un significato costituzionale preciso: la disciplina dell’informazione pubblica e privata entra in un unico blocco regolatorio sottoposto a un controllo centrale della Commissione.

Riforma GDPR, cambia cosa è dato personale

Il dato personale perde progressivamente il carattere di perimetro rigido dell’art. 8 della Carta e acquisisce una natura relazionale, definita attraverso la “ragionevole identificabilità” riferita al soggetto che opera il trattamento.

La proposta codifica questa linea mediante strumenti di supporto tecnico atti a stabilire quando un dato pseudonimizzato acquisisce la qualità di dato non personale per uno specifico operatore.

Questo passaggio altera la tradizionale concezione europea della protezione dei dati, che aveva improntato la sua espansione alla logica dell’universalità: una volta che un dato assume la qualità di personale, quella qualità permea qualsiasi contesto di trattamento.

Il sistema delineato il 19 novembre adotta una logica diversa, centrata su un criterio situato nel rapporto tra titolare e informazione, con implicazioni sistematiche per l’eguaglianza sostanziale nella tutela.

Domande frequenti sul Digital Omnibus tra riforma GDPR e AI Act

Che cos’è il Digital Omnibus GDPR?
È il pacchetto di tre proposte legislative della Commissione europea (COM(2025) 835, 836, 837) che riorganizza l’acquis digitale, modifica il GDPR, semplifica l’AI Act e definisce una Data Union Strategy per il governo integrato dei dati in Europa.

Cosa cambia per il GDPR con il Digital Omnibus?
Cambia la definizione di dato personale, si introduce un criterio più soggettivo legato ai mezzi del titolare, si riscrive l’art. 22 sulle decisioni automatizzate e si restringe l’uso del diritto di accesso, mentre la disciplina ePrivacy confluisce nel GDPR con il nuovo art. 88a.

Cosa cambia per l’AI Act e i sistemi ad alto rischio?
L’AI Act viene reso più flessibile: alcuni obblighi per i sistemi ad alto rischio possono essere rinviati fino a 16 mesi, l’AI Office ottiene un ruolo centrale e aumentano gli spazi per definire la conformità tramite standard tecnici e linee guida.

Le piattaforme possono usare i miei contenuti per addestrare l’AI?
Con il Digital Omnibus il modello di consenso tende a spostarsi da opt-in a opt-out: salvo eccezioni, i contenuti pubblicati potrebbero essere usati per l’addestramento, e spetta all’utente esercitare il diritto di opposizione nei confronti dei diversi servizi.

Quando entrerà in vigore il Digital Omnibus?
Le proposte dovranno essere esaminate da Parlamento e Consiglio, che potranno modificarle. L’entrata in vigore non sarà immediata e varierà a seconda dei singoli capitoli; per alcune parti critiche dell’AI Act si guarda già verso il 2027.

Cosa significa Digital Omnibus per le PMI?
Per le PMI sono previste alcune semplificazioni e regimi alleggeriti, soprattutto in materia di AI e di obblighi di report, ma l’aumento del peso degli standard tecnici e delle piattaforme sovranazionali può accrescere la dipendenza da fornitori esterni e ridurre lo spazio di manovra autonoma

Diritto di accesso (art. 15 GDPR) e nuove restrizioni

Accanto alla ridefinizione del dato personale, il Digital Omnibus interviene sul diritto di accesso.

La proposta limita esplicitamente la possibilità di utilizzare l’art. 15 GDPR per finalità diverse dalla tutela stretta della privacy, escludendo, o comunque riducendo, gli usi in contesti di contenzioso (lavoro, contratti, responsabilità civile) e nelle attività di indagine giornalistica o di ricerca.

Questo restringimento entra in tensione con la giurisprudenza della Corte di giustizia, che ha riconosciuto all’interessato la facoltà di esercitare il diritto di accesso per qualsiasi scopo legittimo. La riforma sposta il baricentro dalla persona al sistema, riducendo l’accesso ai dati a un presidio funzionale alla protezione formale della privacy, e non a uno strumento generale di trasparenza e controllo diffuso del potere digitale.

Definizioni, flussi informativi e ruolo della Commissione nel Digital Omnibus

Questa trasformazione risulta evidente fin dal documento COM 837, che costruisce un dispositivo più coerente rispetto alla bozza iniziale.

La fusione tra Data Governance Act, Free Flow of Non-Personal Data Regulation e Open Data Directive non assume la forma di un’operazione compilativa.

Il nuovo impianto assegna alle definizioni un ruolo ordinante: la distinzione tra dati digitali e documenti, la disciplina dei regimi di riuso e la facoltà degli enti pubblici di modulare condizioni e tariffe per soggetti con forte potere economico producono un quadro più nitido e più rigoroso di quello contenuto nella bozza.

L’intervento costruisce un regime integrato in cui i flussi informativi – pubblici e privati – vengono governati attraverso un unico perimetro regolatorio, con una distribuzione dei compiti più definita tra autorità nazionali e organismi sovranazionali.

La bozza del 9 novembre aveva previsto l’assorbimento degli strumenti preesistenti, ma non aveva ancora elaborato un disegno unitario.

I testi del 19 novembre, invece, articolano una struttura più complessa, che considera la circolazione del dato come oggetto di un potere centrale dotato di capacità interpretative, normative e tecniche.

La Commissione ottiene la facoltà di intervenire mediante atti delegati su profili essenziali: criteri per la pseudonimizzazione, parametri per gli standard, modelli uniformi per la notifica degli incidenti, configurazione del sistema europeo di riuso dei dati.

Questo ruolo, assente nella bozza, si consolida nel quadro finale e produce un mutamento significativo nel rapporto tra livello europeo e livello nazionale.

Definizioni, poteri tecnici nel Digital Omnibus

Anche la disciplina dei trattamenti sul terminale, contenuta nel nuovo art. 88a GDPR, conferma questa metamorfosi.

La bozza aveva già previsto il trasferimento della materia ePrivacy nel GDPR, ma la nuova formulazione colloca tale trasferimento dentro una trama più articolata: preferenze codificate, segnali machine-readable, armonizzazione delle basi giuridiche e una più ampia facoltà di fondare il trattamento sull’interesse legittimo in contesti delimitati.

Questa struttura, più elaborata rispetto alla versione preliminare, lega la tutela dei dati alla disciplina dei dispositivi e riconduce la gestione del consenso entro una dinamica tecnica che trasforma la scelta dell’utente in un elemento strutturato dell’infrastruttura digitale.

Consenso, terminali

Ciò si ribatte sulla disciplina della privacy con il nuovo articolo 88a all’interno del GDPR.

L’elemento più rilevante di questa evoluzione riguarda la forma dell’assenso.

La decisione dell’utente non rimane più confinata nel gesto estemporaneo con cui, per anni, ha interagito con banner e interfacce mutevoli.

Viene tradotta in un segnale che attraversa il sistema operativo, il browser, le applicazioni, e interagisce con servizi digitali che recepiscono tale scelta come istruzione vincolante.

La volontà dell’individuo circola dunque come codice, con una stabilità che riorganizza l’intero processo di trattamento.

Questa architettura conferisce al segnale una funzione che riassume dimensione tecnica e forza giuridica.

La scelta si inscrive così in un percorso più ampio, sorretto da standard comuni e criteri condivisi.

La Commissione, attraverso il potere di orientare la definizione tecnica dei segnali, costruisce un perimetro uniforme che consente alle preferenze degli utenti di operare senza frizioni lungo l’intera filiera digitale.

La tutela della persona assume così una fisionomia che unisce immediatezza tecnica, nitidezza normativa e continuità applicativa.

Digital Omnibus e AI: training, opt-out e proroga dell’AI Act

Nel pacchetto Digital Omnibus, l’intelligenza artificiale è incastonata in un sistema di eccezioni mirate.

Da un lato, cambia la logica del consenso per l’uso dei contenuti generati dagli utenti nell’addestramento dei modelli: il passaggio dall’opt-in all’opt-out sposta sull’utente il peso di conoscere, monitorare e contestare i trattamenti, in un ambiente in cui gli attori e le filiere dell’AI sono spesso opachi.

Dall’altro lato, il regime per i sistemi ad alto rischio viene reso più flessibile: la proroga fino a 16 mesi per alcuni obblighi, collegata alla disponibilità di standard armonizzati e linee guida, posticipa nel tempo l’effettività delle garanzie contro discriminazioni algoritmiche e altri impatti sistemici.

Sul versante dei dati sensibili, il Digital Omnibus introduce un equilibrio diverso: il divieto di trattarli per certe finalità viene affiancato dalla possibilità di ricorrere all’argomento dello “sforzo sproporzionato” nella rimozione dal training, purché siano adottate misure tecniche per impedirne l’emersione negli output. Si tratta di una scelta che affida a controlli tecnici, e non a limiti rigidi, la protezione di informazioni ad alto impatto sulla dignità e sulla non discriminazione.

Decisioni automatizzate nel Digital Omnibus

L’intervento sull’articolo 22 del GDPR assume la forma di un ripensamento dell’intero rapporto tra potere decisionale e infrastruttura tecnica.

Il testo del 19 novembre 2025 non delimita più il procedimento automatizzato entro un circuito eccezionale, ma attribuisce all’algoritmo la capacità di agire come strumento ordinario della valutazione che incide sulla posizione giuridica dell’individuo.

La decisione automatica acquista una forza propria grazie a un sistema di basi normative che amplia la dimensione operativa dell’algoritmo.

La conformità alle prescrizioni dell’AI Act, la coerenza con codici di condotta approvati e la presenza di un legame funzionale con il rapporto contrattuale creano un tessuto giuridico che sostiene il procedimento automatizzato e gli conferisce autorevolezza.

Questa struttura utilizza un criterio di equivalenza tra esito tecnico ed esito umano, con un intento che attribuisce alla macchina una funzione valutativa dotata di pieno rilievo.

Dentro questa costruzione si forma un tema di carattere costituzionale.

L’individuo incontra un potere che opera attraverso modelli, parametri e calcoli, con un’intensità che crea effetti diretti sulla sfera personale e patrimoniale.

L’asimmetria tra utenti e operatori assume una dimensione più marcata, poiché la comprensione del processo richiede competenze tecniche che solo alcuni soggetti possiedono.

L’autonomia della persona necessita quindi di nuove forme di presidio: la trasparenza del modello, la verificabilità del procedimento, la qualità dei dataset e la capacità degli organismi europei di sorvegliare la filiera tecnica diventano elementi essenziali per assicurare una tutela effettiva.

Sportello unico europeo per i data breach

La riorganizzazione dei meccanismi di segnalazione contenuta nei testi del 19 novembre 2025 crea un ambiente normativo in cui la gestione degli incidenti informativi assume una struttura profondamente diversa rispetto al modello stratificato del passato.

Il progetto di uno sportello unico europeo, concepito come varco attraverso cui far transitare tutte le notifiche relative a trattamenti, vulnerabilità, eventi cibernetici e criticità dei sistemi digitali, imprime alla protezione dei dati una dimensione più coesa e più strettamente connessa all’architettura della sicurezza informatica.

Il data breach, fino a oggi collocato dentro un regime quasi autonomo, entra in un circuito unitario che riunisce GDPR, NIS, DORA, eIDAS e altre discipline settoriali in una trama nazionale ed europea controllata da organismi specializzati.

Questa trasformazione possiede una ricaduta costituzionale immediata.

L’autorità nazionale, tradizionalmente titolare di una funzione diretta nei confronti dei titolari del trattamento, attraversa una fase di riposizionamento.

Se prima partiva da un rapporto immediato tra soggetto obbligato e garante nazionale, con il nuovo testo il flusso informativo si inserisce in un sistema dotato di filtri tecnici, criteri uniformi e protocolli europei che definiscono contenuto, ordine delle comunicazioni e modalità di trasmissione.

La tutela non perde intensità, tuttavia cambia sede: il controllo si sposta verso una piattaforma che gestisce un volume elevato di informazioni con una logica che privilegia omogeneità, interoperabilità e stabilità procedurale.

L’obbligo di notifica acquisisce così una dimensione che comprende la responsabilità del titolare, ma anche la capacità dell’infrastruttura europea di raccogliere, classificare e analizzare incidenti che toccano la sfera dei dati personali.

Questa impostazione fa avanzare la funzione di coordinamento, poiché ENISA e gli organismi europei coinvolti ottengono una visione complessiva del rischio digitale e dei modelli di vulnerabilità che attraversano l’Unione.

La segnalazione del data breach non assume più il ruolo di semplice comunicazione puntuale, ma diventa parte di un archivio europeo destinato a orientare strategie normative, verifiche tecniche e forme di assistenza operative.

Il nuovo modello incide anche sul ruolo dell’interessato.

La persona riceve tutele che si radicano nella capacità dell’infrastruttura comune di reagire in modo tempestivo e di assicurare un flusso ordinato delle informazioni tra autorità, imprese e organismi di vigilanza.

La riforma del 19 novembre crea dunque una struttura che unisce due piani tradizionalmente distinti: la protezione dei diritti individuali e la sicurezza dei sistemi informatici.

La segnalazione del data breach entra in un circuito più ampio che attribuisce alla dimensione tecnica una funzione decisiva.

L’ordinamento europeo assume una posizione centrale nella gestione degli incidenti digitali e costruisce un dispositivo che ricompone la frammentazione delle competenze e affida a un’infrastruttura comune il compito di assicurare continuità, proporzione e coerenza nella tutela della sfera privata.

AI Office, small mid-caps e nuove asimmetrie nel Digital Omnibus

La revisione dell’AI Act contenuta nei documenti del 19 novembre 2025 produce un movimento che avvicina il diritto dell’intelligenza artificiale a una dimensione più flessibile, più tecnica e più dipendente dalla capacità degli organismi europei di governare la filiera applicativa.

Il nuovo impianto non si limita a riequilibrare oneri e responsabilità; costruisce un modello in cui la vigenza effettiva delle norme, soprattutto per i sistemi ad alto rischio, dipende dalla disponibilità di standard armonizzati, linee guida e specifiche comuni.

Questa scelta crea una soglia di attuazione che sposta la forza vincolante della legge verso un territorio in cui le decisioni tecniche assumono una funzione originaria, quasi fondativa.

L’AI Office riceve un ruolo che supera la figura di un’autorità amministrativa deputata alla supervisione.

La struttura acquisisce poteri che definiscono un nuovo centro di gravità per l’intero sistema europeo dell’IA.

La supervisione diretta dei modelli generativi, il controllo sui sistemi integrati nelle grandi piattaforme, la competenza su segmenti rilevanti del mercato digitale creano un organismo che incide in modo diretto su produttori, fornitori e utilizzatori, con una capacità di valutazione che attraversa tecnica, diritto e politica industriale.

Questa concentrazione di poteri pone interrogativi di natura costituzionale.

Il sistema europeo si affida a un’autorità tecnica per funzioni che coinvolgono scelte di valore, ponderazioni tra interessi e definizioni della struttura stessa dei diritti.

La protezione dell’individuo dipende quindi dalla qualità del processo tecnico e dalla sensibilità istituzionale dell’organo europeo, poiché ogni modello di IA incorpora non solo un insieme di istruzioni, ma anche un’idea di ordine, priorità e giustizia distributiva.

L’AI Office opera così in uno spazio che unisce criteri scientifici e responsabilità pubblica, con un grado di influenza che richiede una riflessione attorno alla sua legittimazione e alla sua accountability.

La riforma riconosce inoltre alle small mid-caps gli stessi benefici già previsti per le PMI.

Questa scelta crea una maggiore omogeneità dell’ambiente di conformità, tuttavia affida a soggetti con capacità economiche e strutturali molto diverse un insieme di agevolazioni rilevanti sul mercato.

La disponibilità di regimi semplificati, se inserita in un’economia digitale caratterizzata da forti concentrazioni, crea un campo competitivo in cui gli attori di medie dimensioni ottengono un vantaggio regolatorio che può incidere sulla pluralità dell’offerta e sull’equilibrio tra innovazione e tutela.

Digital Omnibus: impatti pratici per aziende, PA e cittadini

Il disegno costituzionale del Digital Omnibus si traduce in conseguenze molto concrete per i diversi attori.

Aziende e piattaforme digitali

Per le grandi piattaforme e gli operatori con forte potere di mercato:

  • si amplia la possibilità di riuso dei dati (anche pseudonimizzati) in base alla propria capacità di identificare o meno l’interessato;
  • il passaggio all’opt-out per l’addestramento dell’AI con contenuti degli utenti rafforza i modelli di business data-driven;
  • la maggiore centralità di codici di condotta e standard tecnici crea uno spazio di influenza nella definizione dei parametri di conformità.

PMI e small mid-caps

Per PMI e small mid-caps:

  • alcune semplificazioni e regimi “light” riducono oneri formali, specie sui sistemi AI a rischio limitato e sui meccanismi di reporting;
  • al tempo stesso, l’affidamento a strumenti tecnici complessi (standard, segnali machine-readable, interfacce unificate) può accrescere la dipendenza da fornitori esterni e consulenti;
  • la concorrenza con operatori di dimensione maggiore ma soggetti a regimi simili rende più difficile usare il diritto come leva di differenziazione qualitativa.

Pubbliche amministrazioni e sanità

Per PA, sanità e settore pubblico allargato:

  • la Data Union Strategy e lo sportello unico per i data breach rafforzano la dimensione europea della gestione del rischio;
  • si aprono nuovi spazi di riuso dei dati per finalità pubbliche, di ricerca e di pianificazione, ma su basi regolate da criteri tecnici e tariffari definiti a livello centrale;
  • la capacità di presidiare questi strumenti dipenderà dalle competenze interne e dalla possibilità di negoziare condizioni eque all’interno dei data spaces e delle infrastrutture comuni.

Cittadini e diritti fondamentali

Per i cittadini europei, infine:

  • la protezione dei dati personali si sposta da un perimetro rigido e uniforme a un sistema più condizionato dalle capacità tecniche e dalle scelte dei titolari;
  • aumentano i diritti formali legati alla trasparenza e alla contestazione dell’AI, ma la loro effettività dipende dalla leggibilità dei modelli e dalla forza delle autorità di controllo;
  • si riduce il margine di uso autonomo del diritto di accesso e si moltiplicano i contesti in cui la decisione automatizzata diventa la regola e non l’eccezione.

Una costituzione del digitale tra tecnica e diritti

Il rapporto tra IA e diritti fondamentali appare inoltre attraversato da un paradosso.

La semplificazione tende a favorire la diffusione dei sistemi algoritmici, poiché riduce oneri, amplia benefici e rende più accessibili i requisiti tecnici.

Questa facilitazione convive con la certezza che ogni sistema ad alto rischio produce effetti profondi sulla posizione dell’individuo: attribuisce punteggi, organizza priorità, determina accessi, orienta possibilità economiche e sociali.

La riforma utilizza l’idea di proporzione come strumento di equilibrio, tuttavia colloca l’intero sistema in una condizione in cui la capacità dell’ordinamento di proteggere la persona dipende sempre di più dall’affidabilità dei modelli e dalla competenza delle autorità tecniche, non da un limite giuridico rigido.

L’ordinamento europeo assume una posizione che utilizza la tecnica come criterio di efficacia e la centralità dell’autorità sovranazionale come strumento di coordinamento.

La tensione tra agilità regolatoria e profondità delle garanzie costituisce il tratto più delicato di questa transizione: l’economia digitale richiede velocità, ma la dignità della persona richiede un’attenzione lenta, analitica, vigile.

Il nuovo impianto si colloca proprio su questa linea sottile, con un equilibrio che necessita di interpretazioni mature e istituzioni capaci di sostenere la complessità che l’intelligenza artificiale immette nel cuore del diritto.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

N
Francesca Niola
Research Fellow Legal manager @ Aisma srl
Seguimi su

Leggi anche:

guest

1 Commento
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti
manuela bruni castiglione
manuela bruni castiglione
14 giorni fa

Articolo molto preciso ed utile.
Contenuti utili per affrontare la prossima evoluzione normativa.
Non condivisibile accentramento UE in materia

1
Rispondi

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • gdpr digital omnibus

  • digital omnibus

    Europa, giù le mani del Gdpr: ecco i rischi che corriamo

    24 Nov 2025

    di Walter Vannini

    Condividi
  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • data-protection-privacy

  • LA GUIDA COMPLETA

    Privacy vs protezione dati personali: attenti alla differenza, ne va della nostra identità

    30 Lug 2025

    di Redazione Affiliation Network360

    Condividi