Il Digital Omnibus è al centro del dibattito sul futuro della regolazione digitale europea. Presentato come uno strumento di semplificazione, l’intervento della Commissione cela una riorganizzazione profonda delle competenze e dei luoghi in cui il diritto prende forma: un processo che merita di essere letto con la lente del costituzionalismo amministrativo, prima ancora che con quella della compliance.
Indice degli argomenti
La semplificazione nel diritto digitale europeo: molto più di una riduzione burocratica
La semplificazione, nel vocabolario del diritto europeo del digitale, appartiene a quella famiglia di parole che sembrano modeste e invece custodiscono un’intera teoria dell’ordine pubblico. La superficie lessicale rinvia alla riduzione del peso amministrativo; il contenuto istituzionale rinvia, con ben altra profondità, alla ridistribuzione delle competenze, alla selezione dei luoghi di decisione, alla definizione del centro da cui promana l’interpretazione autentica della disciplina.
Le conclusioni del Consiglio europeo del 20 marzo 2025 e la successiva iniziativa della Commissione del 19 novembre 2025 inscrivono il Digital Omnibus in una politica della competitività che lega semplificazione, consolidamento normativo e maggiore uniformità applicativa. Il richiamo all’armonizzazione, espresso con particolare enfasi nelle sedi istituzionali, lascia intravedere una tensione verso l’unificazione dei criteri applicativi; proprio tale tensione consente di cogliere il nucleo sostanziale dell’intervento.
Concentrazione delle fonti e delle funzioni: il GDPR al centro dell’architettura regolatoria
La proposta di ricondurre l’acquis dei dati attorno a poli normativi più ampi, con il GDPR posto al centro dell’architettura regolatoria, imprime al sistema una direzione precisa.
Il fenomeno della concentrazione delle fonti si intreccia con la concentrazione delle funzioni interpretative: una normativa più compatta implica, sul piano operativo, una riduzione delle sedi nelle quali il diritto prende forma concreta. In questa prospettiva, la semplificazione non coincide con una riduzione dell’intervento pubblico, bensì con una sua diversa distribuzione, più compatta, più verticale, più ordinata.
Valutazioni d’impatto: quando la definizione del rischio si sposta a livello europeo
Un simile movimento si rende particolarmente visibile nella disciplina delle valutazioni d’impatto. La scelta di affidare alla Commissione e al Comitato europeo per la protezione dei dati la definizione di elenchi comuni di trattamenti rilevanti incide sulla trama delle competenze amministrative.
L’elaborazione nazionale, che in precedenza modulava i criteri di rischio in relazione ai contesti interni, viene assorbita entro un circuito europeo di determinazione. La funzione regolatoria, in altri termini, si concentra in un livello nel quale la generalità del criterio prevale sulla specificità del contesto.
Unificazione dei criteri: stabilizzazione normativa e ridefinizione del rapporto tra amministrazione e territorio
Da tale passaggio discende una conseguenza ulteriore, che riguarda la qualità stessa dell’azione amministrativa.
L’unificazione dei criteri produce un effetto di stabilizzazione, poiché riduce la variabilità delle interpretazioni e rende più prevedibile l’applicazione delle norme; nello stesso tempo, essa modifica il rapporto tra amministrazione e territorio, orientando la decisione verso parametri definiti a livello sovranazionale.
Il potere, così riorganizzato, si esercita entro coordinate che tendono a privilegiare la coerenza sistemica rispetto alla differenziazione.
Il punto di accesso unico per notifiche e incidenti: come cambia il circuito informativo europeo
Questa traiettoria trova un riscontro significativo anche nella disciplina delle notifiche e degli incidenti. L’istituzione di un punto di accesso unico per la trasmissione delle informazioni relative a violazioni dei dati e incidenti cyber ridisegna il circuito informativo dell’amministrazione europea.
Il dato, prima distribuito tra autorità differenti secondo logiche settoriali, viene ricondotto entro una infrastruttura comune, nella quale la standardizzazione del formato e la centralizzazione della raccolta assumono un rilievo determinante.
La semplificazione, qui, si traduce in un riordino delle modalità attraverso cui il potere conosce e, quindi, governa il fenomeno regolato.
Il Digital Omnibus e l’orbita del GDPR: ePrivacy, AI Act e sicurezza informatica in un unico circuito
Il medesimo schema attraversa la progressiva attrazione di discipline eterogenee entro l’orbita del GDPR, e proprio qui la semplificazione rivela il suo significato meno visibile e più incisivo.
La bozza del Digital Omnibus chiarisce, da un lato, che alcune porzioni dell’ePrivacy vengono ricondotte nel regolamento generale sui dati personali, in particolare attraverso il nuovo articolo 88a dedicato ai trattamenti “on or from terminal equipment”; dall’altro lato, la medesima bozza collega sempre più strettamente il GDPR alla disciplina degli incidenti di sicurezza, al punto di accesso unico gestito da ENISA e ai criteri di affidabilità e controllo elaborati nell’ambiente dell’AI Act.
In tal modo il regolamento del 2016 cessa di apparire come il solo statuto della relazione tra titolare e interessato e diviene la cerniera di una più ampia costituzione amministrativa del digitale, nella quale dati personali, sicurezza delle infrastrutture, identità digitale, reporting degli incidenti e governo dei sistemi algoritmici vengono letti come parti di un medesimo circuito regolatorio.
La Commissione presenta questa operazione come un intervento di chiarificazione e di alleggerimento, e i testi ufficiali la collegano alla riduzione dei costi ricorrenti di compliance e al programma generale di semplificazione; sotto il profilo istituzionale, però, il tratto più rilevante risiede altrove, poiché l’unificazione del lessico normativo produce anche un’unificazione delle sedi che definiscono standard, modelli e criteri di applicazione.
Il terminale da spazio protetto a snodo informativo: la trasformazione silenziosa dell’ePrivacy
Il punto merita un approfondimento ulteriore, perché il trasferimento delle regole sui terminali nel GDPR non vale soltanto come spostamento di collocazione formale. L’articolo 5, paragrafo 3, della direttiva ePrivacy custodiva anche una tutela dell’integrità dell’apparecchiatura terminale, mentre il nuovo impianto concentra l’attenzione sul trattamento dei dati personali e, così facendo, trasforma il terminale da spazio protetto in sé a snodo informativo dentro un regime più vasto di basi giuridiche, eccezioni funzionali e segnali automatizzati di preferenza.
La conseguenza teorica è che il baricentro della disciplina si allontana dal singolo atto di accesso al dispositivo e si avvicina alla gestione complessiva dei flussi di dati generati dal dispositivo stesso. La semplificazione, dunque, opera come tecnica di concentrazione del punto di vista amministrativo, dal momento che sposta nel centro europeo la capacità di definire il vocabolario giuridico comune attraverso cui quei flussi vengono qualificati, selezionati e ordinati.
Verticalizzazione silenziosa: come il Digital Omnibus ridisegna la mappa del potere amministrativo
Da qui emerge la dimensione più profonda del fenomeno. Quando il Digital Omnibus collega il GDPR al single-entry point per gli incidenti, affida all’EDPB la predisposizione di modelli comuni di notifica, accentua il ruolo della Commissione nella definizione di template e metodologie e, al contempo, intreccia le decisioni automatizzate con i parametri di conformità dell’AI Act, il diritto europeo compie qualcosa di più sofisticato di una razionalizzazione documentale.
Esso riorganizza la mappa del potere amministrativo mediante il controllo delle interfacce, dei formati e delle tassonomie. In un’amministrazione digitale avanzata, infatti, il potere si esercita assai meno nella forma classica del comando puntuale e assai più nella capacità di stabilire quale informazione entri nel sistema, con quale struttura, secondo quali soglie di rischio, sotto quale categoria giuridica e davanti a quale autorità di raccordo.
Per questo la semplificazione appare, a uno sguardo costituzionalistico, come una tecnica di verticalizzazione silenziosa: il numero dei testi si riduce, il linguaggio si unifica, gli adempimenti si condensano, e insieme cresce il peso del centro europeo quale luogo di produzione della intelligibilità amministrativa del digitale. L’unità del sistema, a quel punto, cessa di essere una formula organizzativa e diviene il principio attraverso cui si ridistribuiscono competenze, margini interpretativi e capacità di orientamento dell’intero spazio regolatorio europeo.
Sussidiarietà sotto pressione: il margine nazionale nel mercato digitale europeo
Una simile trasformazione invita a una riflessione di ordine generale. Il rapporto tra livelli di governo, tradizionalmente articolato secondo il principio di sussidiarietà, viene riletto alla luce di esigenze di coerenza e uniformità che attraversano il mercato digitale. Il margine di intervento nazionale, pur mantenendo una rilevanza formale, si inserisce in un quadro nel quale i criteri fondamentali trovano la propria sede di elaborazione a livello unionale.
