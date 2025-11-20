Digital Omnibus, ci siamo. Dopo tante anticipazioni e bozze, il 19 novembre 2025, la Commissione europea ha diffuso le tre proposte normative che convertono l’acquis digitale in un sistema più concentrato, più compatto e sorretto da un diverso equilibrio tra apparati amministrativi, poteri tecnici e diritti fondamentali.

Digital Omnibus, le tre proposte normative

Le tre proposte sono:

COM(2025) 837 – proposta sul digital acquis. Usa il Data Act come “spina dorsale” e rifonde in un unico testo:

Data Governance Act

Free Flow of Non-Personal Data Regulation

Open Data Directive

COM(2025) 836 – proposta di semplificazione e revisione dell’AI Act

Interviene sugli obblighi per i sistemi ad alto rischio

Rafforza il ruolo dell’AI Office e lega più strettamente AI Act e GDPR.

COM(2025) 835 – proposta sulla Data Union Strategy

Disegna l’architettura di governo europeo dei dati

Prevede lo sportello unico europeo per incidenti/data breach e il coordinamento tra GDPR, NIS, DORA, eIDAS.

La data del 19 novembre assume rilievo non per la mera pubblicazione di nuovi testi, ma per l’effetto combinato che queste proposte generano sull’architettura materiale della protezione dei dati e dell’intelligenza artificiale: COM 837 sul digital acquis, COM 836 sulla semplificazione dell’AI Act e COM 835 sulla Data Union Strategy.

Le tre iniziative formano un blocco concettuale unitario, in cui il dato personale, il dato non personale, gli obblighi degli operatori economici e la funzione degli organismi di vigilanza convergono in un quadro che possiede tratti inediti rispetto al modello inaugurato nel 2016 con il GDPR.

Novità Digital Omnibus: i punti principali

Prima di addentrarci nei testi, vediamo le novità principali.

Nuova soglia per definire i “dati personali” (Gdpr)



Se un’azienda non può o non vuole identificare una persona, i dati collegati a quella persona potrebbero essere esclusi dall’applicazione delle regole Gdpr. Di fatto si passa da un criterio “oggettivo” (dati che potrebbero identificare qualcuno) a uno più “soggettivo” (dipende da cosa l’azienda può/vuole fare), con forte contestazione da parte delle associazioni per i diritti digitali.

Meno banner per i cookie



Alcuni trattamenti (statistiche aggregate di traffico, controlli di sicurezza, verifiche tecniche) potrebbero essere svolti senza chiedere il consenso esplicito via cookie banner. Obiettivo: ridurre la “banner fatigue” e i costi per i siti, specie Pmi. Critica principale: l’espressione “finalità di sicurezza” è molto ampia e rischia di diventare una porta d’ingresso per controlli invasivi sui dispositivi.

Limitazioni al diritto di accesso ai propri dati (art. 15 Gdpr)



Su impulso tedesco, la proposta vuole restringere il diritto di accesso ai dati personali ai soli scopi di tutela della privacy, escludendo gli usi in contenziosi (per esempio lavoro: richieste dati per dimostrare straordinari non pagati). Le organizzazioni per i diritti digitali contestano perché la Corte di giustizia ha già chiarito che il diritto di accesso può essere esercitato per qualsiasi fine, inclusi giornalismo e ricerca.

Uso dei contenuti degli utenti per addestrare l’AI (opt-out)



Le grandi piattaforme (Meta, Google, Amazon, ecc.) potrebbero usare in modo generalizzato i contenuti pubblicati dagli utenti per addestrare sistemi di intelligenza artificiale, passando da un modello di consenso esplicito (opt-in) a uno di esclusione su richiesta (opt-out). L’onere di opporsi passerebbe agli utenti, che dovrebbero gestire migliaia di possibili trattamenti, spesso senza sapere chi usa cosa.

Proroga fino a 16 mesi per l’AI Act



Viene prevista una proroga (massimo 16 mesi) per la piena applicazione di alcune obbligazioni dell’AI Act, motivata con il ritardo delle linee guida tecniche e di conformità. La finestra si riduce (fino a 6–12 mesi) se le specifiche arriveranno prima. L’industria tecnologica accoglie la proroga, mentre Brando Benifei del Parlamento Ue e altri mettono in guardia: significa ritardare tutele cruciali contro discriminazioni (es. algoritmi di selezione del personale, sistemi sanitari AI).

Portale unico Ue per le segnalazioni di incidenti cyber



Oggi un soggetto colpito da un attacco informatico deve notificare l’incidente a più autorità nazionali e Ue con procedure differenti. Il Digital Omnibus introduce un unico portale europeo: l’azienda invia una sola segnalazione che viene poi smistata alle autorità competenti, con l’obiettivo di semplificare e uniformare gli obblighi.

Portafoglio digitale aziendale e “identità unica” Ue



Viene rafforzata l’idea di portafogli digitali per le imprese: una sorta di carta d’identità digitale valida in tutti i 27 Stati membri, per evitare di ripetere le stesse pratiche amministrative Paese per Paese. La Commissione stima risparmi complessivi fino a 150–155 miliardi di euro entro il 2029.

Effetto complessivo: semplificazione vs. “deregulation” tech



Il pacchetto è presentato come grande operazione di semplificazione e riduzione degli oneri normativi, ma:

– gli attivisti per i diritti digitali lo vedono come un indebolimento strutturale delle tutele Gdpr e dell’AI Act;

– molte big tech giudicano comunque insufficiente l’alleggerimento, specie perché DMA e DSA restano sostanzialmente invariati.

Riforma GDPR e AI Act 2025. Il nuovo governo dei dati

La prima impressione restituisce una trasformazione che procede per stratificazione.

La Commissione utilizza il lessico della “semplificazione” e della “razionalizzazione”, ma il contenuto effettivo dei testi del 19 novembre manifesta una tensione più profonda: l’ordinamento europeo inizia a costruire una forma diversa di governo del digitale, in cui l’esigenza di certezza regolatoria convive con un nuovo criterio di distribuzione del potere sulle informazioni.

La rilevanza costituzionale deriva dall’ampliamento degli spazi decisionali affidati a organi tecnici sovranazionali, dalla ridefinizione della nozione stessa di dato personale e dalla riorganizzazione dei meccanismi di controllo.

Stratificazione normativa e nuovo equilibrio dei poteri

Il documento COM 837 utilizza il Data Act come perno per inglobare il Data Governance Act, il Free Flow of Data Regulation e l’Open Data Directive.

Questa operazione, lungi dal ridursi a un collage normativo, costruisce un corpo unitario che assembla regole sulla circolazione dei dati, sui regimi di riuso e sulle condizioni di accesso da parte degli apparati pubblici.

La concentrazione normativa assume un significato costituzionale preciso: la disciplina dell’informazione pubblica e privata entra in un unico blocco regolatorio sottoposto a un controllo centrale della Commissione.

Riforma GDPR, cambia cosa è dato personale

Il dato personale perde progressivamente il carattere di perimetro rigido dell’art. 8 della Carta e acquisisce una natura relazionale, definita attraverso la “ragionevole identificabilità” riferita al soggetto che opera il trattamento.

La proposta codifica questa linea mediante strumenti di supporto tecnico atti a stabilire quando un dato pseudonimizzato acquisisce la qualità di dato non personale per uno specifico operatore.

Questo passaggio altera la tradizionale concezione europea della protezione dei dati, che aveva improntato la sua espansione alla logica dell’universalità: una volta che un dato assume la qualità di personale, quella qualità permea qualsiasi contesto di trattamento.

Il sistema delineato il 19 novembre adotta una logica diversa, centrata su un criterio situato nel rapporto tra titolare e informazione, con implicazioni sistematiche per l’eguaglianza sostanziale nella tutela.

Definizioni, flussi informativi e ruolo della Commissione nel Digital Omnibus

Questa trasformazione risulta evidente fin dal documento COM 837, che costruisce un dispositivo più coerente rispetto alla bozza iniziale.

La fusione tra Data Governance Act, Free Flow of Non-Personal Data Regulation e Open Data Directive non assume la forma di un’operazione compilativa.

Il nuovo impianto assegna alle definizioni un ruolo ordinante: la distinzione tra dati digitali e documenti, la disciplina dei regimi di riuso e la facoltà degli enti pubblici di modulare condizioni e tariffe per soggetti con forte potere economico producono un quadro più nitido e più rigoroso di quello contenuto nella bozza.

L’intervento costruisce un regime integrato in cui i flussi informativi – pubblici e privati – vengono governati attraverso un unico perimetro regolatorio, con una distribuzione dei compiti più definita tra autorità nazionali e organismi sovranazionali.

La bozza del 9 novembre aveva previsto l’assorbimento degli strumenti preesistenti, ma non aveva ancora elaborato un disegno unitario.

I testi del 19 novembre, invece, articolano una struttura più complessa, che considera la circolazione del dato come oggetto di un potere centrale dotato di capacità interpretative, normative e tecniche.

La Commissione ottiene la facoltà di intervenire mediante atti delegati su profili essenziali: criteri per la pseudonimizzazione, parametri per gli standard, modelli uniformi per la notifica degli incidenti, configurazione del sistema europeo di riuso dei dati.

Questo ruolo, assente nella bozza, si consolida nel quadro finale e produce un mutamento significativo nel rapporto tra livello europeo e livello nazionale.

Definizioni, poteri tecnici nel Digital Omnibus

Anche la disciplina dei trattamenti sul terminale, contenuta nel nuovo art. 88a GDPR, conferma questa metamorfosi.

La bozza aveva già previsto il trasferimento della materia ePrivacy nel GDPR, ma la nuova formulazione colloca tale trasferimento dentro una trama più articolata: preferenze codificate, segnali machine-readable, armonizzazione delle basi giuridiche e una più ampia facoltà di fondare il trattamento sull’interesse legittimo in contesti delimitati.

Questa struttura, più elaborata rispetto alla versione preliminare, lega la tutela dei dati alla disciplina dei dispositivi e riconduce la gestione del consenso entro una dinamica tecnica che trasforma la scelta dell’utente in un elemento strutturato dell’infrastruttura digitale.

Consenso, terminali

Ciò si ribatte sulla disciplina della privacy con il nuovo articolo 88a all’interno del GDPR.

L’elemento più rilevante di questa evoluzione riguarda la forma dell’assenso.

La decisione dell’utente non rimane più confinata nel gesto estemporaneo con cui, per anni, ha interagito con banner e interfacce mutevoli.

Viene tradotta in un segnale che attraversa il sistema operativo, il browser, le applicazioni, e interagisce con servizi digitali che recepiscono tale scelta come istruzione vincolante.

La volontà dell’individuo circola dunque come codice, con una stabilità che riorganizza l’intero processo di trattamento.

Questa architettura conferisce al segnale una funzione che riassume dimensione tecnica e forza giuridica.

La scelta si inscrive così in un percorso più ampio, sorretto da standard comuni e criteri condivisi.

La Commissione, attraverso il potere di orientare la definizione tecnica dei segnali, costruisce un perimetro uniforme che consente alle preferenze degli utenti di operare senza frizioni lungo l’intera filiera digitale.

La tutela della persona assume così una fisionomia che unisce immediatezza tecnica, nitidezza normativa e continuità applicativa.

Decisioni automatizzate nel Digital Omnibus

L’intervento sull’articolo 22 del GDPR assume la forma di un ripensamento dell’intero rapporto tra potere decisionale e infrastruttura tecnica.

Il testo del 19 novembre 2025 non delimita più il procedimento automatizzato entro un circuito eccezionale, ma attribuisce all’algoritmo la capacità di agire come strumento ordinario della valutazione che incide sulla posizione giuridica dell’individuo.

La decisione automatica acquista una forza propria grazie a un sistema di basi normative che amplia la dimensione operativa dell’algoritmo.

La conformità alle prescrizioni dell’AI Act, la coerenza con codici di condotta approvati e la presenza di un legame funzionale con il rapporto contrattuale creano un tessuto giuridico che sostiene il procedimento automatizzato e gli conferisce autorevolezza.

Questa struttura utilizza un criterio di equivalenza tra esito tecnico ed esito umano, con un intento che attribuisce alla macchina una funzione valutativa dotata di pieno rilievo.

Dentro questa costruzione si forma un tema di carattere costituzionale.

L’individuo incontra un potere che opera attraverso modelli, parametri e calcoli, con un’intensità che crea effetti diretti sulla sfera personale e patrimoniale.

L’asimmetria tra utenti e operatori assume una dimensione più marcata, poiché la comprensione del processo richiede competenze tecniche che solo alcuni soggetti possiedono.

L’autonomia della persona necessita quindi di nuove forme di presidio: la trasparenza del modello, la verificabilità del procedimento, la qualità dei dataset e la capacità degli organismi europei di sorvegliare la filiera tecnica diventano elementi essenziali per assicurare una tutela effettiva.

Sportello unico europeo per i data breach

La riorganizzazione dei meccanismi di segnalazione contenuta nei testi del 19 novembre 2025 crea un ambiente normativo in cui la gestione degli incidenti informativi assume una struttura profondamente diversa rispetto al modello stratificato del passato.

Il progetto di uno sportello unico europeo, concepito come varco attraverso cui far transitare tutte le notifiche relative a trattamenti, vulnerabilità, eventi cibernetici e criticità dei sistemi digitali, imprime alla protezione dei dati una dimensione più coesa e più strettamente connessa all’architettura della sicurezza informatica.

Il data breach, fino a oggi collocato dentro un regime quasi autonomo, entra in un circuito unitario che riunisce GDPR, NIS, DORA, eIDAS e altre discipline settoriali in una trama nazionale ed europea controllata da organismi specializzati.

Questa trasformazione possiede una ricaduta costituzionale immediata.

L’autorità nazionale, tradizionalmente titolare di una funzione diretta nei confronti dei titolari del trattamento, attraversa una fase di riposizionamento.

Se prima partiva da un rapporto immediato tra soggetto obbligato e garante nazionale, con il nuovo testo il flusso informativo si inserisce in un sistema dotato di filtri tecnici, criteri uniformi e protocolli europei che definiscono contenuto, ordine delle comunicazioni e modalità di trasmissione.

La tutela non perde intensità, tuttavia cambia sede: il controllo si sposta verso una piattaforma che gestisce un volume elevato di informazioni con una logica che privilegia omogeneità, interoperabilità e stabilità procedurale.

L’obbligo di notifica acquisisce così una dimensione che comprende la responsabilità del titolare, ma anche la capacità dell’infrastruttura europea di raccogliere, classificare e analizzare incidenti che toccano la sfera dei dati personali.

Questa impostazione fa avanzare la funzione di coordinamento, poiché ENISA e gli organismi europei coinvolti ottengono una visione complessiva del rischio digitale e dei modelli di vulnerabilità che attraversano l’Unione.

La segnalazione del data breach non assume più il ruolo di semplice comunicazione puntuale, ma diventa parte di un archivio europeo destinato a orientare strategie normative, verifiche tecniche e forme di assistenza operative.

Il nuovo modello incide anche sul ruolo dell’interessato.

La persona riceve tutele che si radicano nella capacità dell’infrastruttura comune di reagire in modo tempestivo e di assicurare un flusso ordinato delle informazioni tra autorità, imprese e organismi di vigilanza.

La riforma del 19 novembre crea dunque una struttura che unisce due piani tradizionalmente distinti: la protezione dei diritti individuali e la sicurezza dei sistemi informatici.

La segnalazione del data breach entra in un circuito più ampio che attribuisce alla dimensione tecnica una funzione decisiva.

L’ordinamento europeo assume una posizione centrale nella gestione degli incidenti digitali e costruisce un dispositivo che ricompone la frammentazione delle competenze e affida a un’infrastruttura comune il compito di assicurare continuità, proporzione e coerenza nella tutela della sfera privata.

AI Office, small mid-caps e nuove asimmetrie nel Digital Omnibus

La revisione dell’AI Act contenuta nei documenti del 19 novembre 2025 produce un movimento che avvicina il diritto dell’intelligenza artificiale a una dimensione più flessibile, più tecnica e più dipendente dalla capacità degli organismi europei di governare la filiera applicativa.

Il nuovo impianto non si limita a riequilibrare oneri e responsabilità; costruisce un modello in cui la vigenza effettiva delle norme, soprattutto per i sistemi ad alto rischio, dipende dalla disponibilità di standard armonizzati, linee guida e specifiche comuni.

Questa scelta crea una soglia di attuazione che sposta la forza vincolante della legge verso un territorio in cui le decisioni tecniche assumono una funzione originaria, quasi fondativa.

L’AI Office riceve un ruolo che supera la figura di un’autorità amministrativa deputata alla supervisione.

La struttura acquisisce poteri che definiscono un nuovo centro di gravità per l’intero sistema europeo dell’IA.

La supervisione diretta dei modelli generativi, il controllo sui sistemi integrati nelle grandi piattaforme, la competenza su segmenti rilevanti del mercato digitale creano un organismo che incide in modo diretto su produttori, fornitori e utilizzatori, con una capacità di valutazione che attraversa tecnica, diritto e politica industriale.

Questa concentrazione di poteri pone interrogativi di natura costituzionale.

Il sistema europeo si affida a un’autorità tecnica per funzioni che coinvolgono scelte di valore, ponderazioni tra interessi e definizioni della struttura stessa dei diritti.

La protezione dell’individuo dipende quindi dalla qualità del processo tecnico e dalla sensibilità istituzionale dell’organo europeo, poiché ogni modello di IA incorpora non solo un insieme di istruzioni, ma anche un’idea di ordine, priorità e giustizia distributiva.

L’AI Office opera così in uno spazio che unisce criteri scientifici e responsabilità pubblica, con un grado di influenza che richiede una riflessione attorno alla sua legittimazione e alla sua accountability.

La riforma riconosce inoltre alle small mid-caps gli stessi benefici già previsti per le PMI.

Questa scelta crea una maggiore omogeneità dell’ambiente di conformità, tuttavia affida a soggetti con capacità economiche e strutturali molto diverse un insieme di agevolazioni rilevanti sul mercato.

La disponibilità di regimi semplificati, se inserita in un’economia digitale caratterizzata da forti concentrazioni, crea un campo competitivo in cui gli attori di medie dimensioni ottengono un vantaggio regolatorio che può incidere sulla pluralità dell’offerta e sull’equilibrio tra innovazione e tutela.

Una costituzione del digitale tra tecnica e diritti

Il rapporto tra IA e diritti fondamentali appare inoltre attraversato da un paradosso.

La semplificazione tende a favorire la diffusione dei sistemi algoritmici, poiché riduce oneri, amplia benefici e rende più accessibili i requisiti tecnici.

Questa facilitazione convive con la certezza che ogni sistema ad alto rischio produce effetti profondi sulla posizione dell’individuo: attribuisce punteggi, organizza priorità, determina accessi, orienta possibilità economiche e sociali.

La riforma utilizza l’idea di proporzione come strumento di equilibrio, tuttavia colloca l’intero sistema in una condizione in cui la capacità dell’ordinamento di proteggere la persona dipende sempre di più dall’affidabilità dei modelli e dalla competenza delle autorità tecniche, non da un limite giuridico rigido.

L’ordinamento europeo assume una posizione che utilizza la tecnica come criterio di efficacia e la centralità dell’autorità sovranazionale come strumento di coordinamento.

La tensione tra agilità regolatoria e profondità delle garanzie costituisce il tratto più delicato di questa transizione: l’economia digitale richiede velocità, ma la dignità della persona richiede un’attenzione lenta, analitica, vigile.

Il nuovo impianto si colloca proprio su questa linea sottile, con un equilibrio che necessita di interpretazioni mature e istituzioni capaci di sostenere la complessità che l’intelligenza artificiale immette nel cuore del diritto.