Il 19 novembre 2025 segna un momento importante per il diritto digitale europeo: la Commissione europea ha presentato il cosiddetto Digital Omnibus, un pacchetto di tre proposte normative che mira a unificare e semplificare diverse aree regolatorie, tra cui la protezione dei dati personali, l’AI Act e la cybersicurezza. L’obiettivo dichiarato è ridurre la burocrazia, aumentare la competitività e aggiornare il quadro normativo alle nuove sfide tecnologiche, senza sacrificare i livelli di tutela dei cittadini.
Il Digital Omnibus non è solo un insieme di testi: rappresenta un primo passo per ottimizzare l’applicazione del ‘digital rulebook’ europeo, con l’obiettivo immediato di abbassare i costi di compliance per imprese, PA e cittadini, mantenendo gli stessi standard di tutela, e creando al contempo un vantaggio competitivo per le imprese responsabili.
Tre proposte, un blocco unitario
Le tre proposte principali presentate dalla Commissione sono:
- Digital Acquis: utilizza il Data Act come ‘spina dorsale’ e ingloba il Data Governance Act, il Free Flow of Non-Personal Data Regulation e l’Open Data Directive, creando un quadro unitario per la gestione dei dati pubblici e privati.
- Revisione AI Act: semplifica alcune disposizioni per i sistemi ad alto rischio, rafforza il ruolo dell’AI Office europeo e coordina più strettamente AI Act e GDPR.
- Data Union Strategy: istituisce uno sportello unico europeo per la gestione di incidenti e data breach e coordina le regole su GDPR, NIS, DORA, eIDAS e altre normative settoriali.
Queste iniziative formano un vero e proprio blocco unitario, centralizzando definizioni, ruoli e competenze tecniche, e creando strumenti più coerenti per il controllo e la gestione dei dati personali e digitali.
Cambia la definizione di ‘dato personale’
Una delle novità più rilevanti riguarda la definizione di dato personale. La Commissione propone un criterio più “soggettivo”: un dato è personale se l’operatore può o vuole identificare la persona. Questo passaggio dal concetto tradizionale, più oggettivo, a un approccio basato sulle capacità e intenzioni dell’azienda ha implicazioni significative su privacy, trasparenza e diritti degli utenti.
Informative, cookie e consenso machine-readable
Il Digital Omnibus prevede semplificazioni per trattamenti a basso rischio, con informative semplificate e minori adempimenti burocratici. Per cookie e strumenti di tracciamento, introduce segnali di consenso machine-readable, incorporati a livello di browser o sistema operativo, riducendo la proliferazione di banner e permettendo ai siti di rispettare le preferenze degli utenti senza interruzioni continue. Alcuni dati sui terminali potranno essere trattati senza consenso per funzioni essenziali o sicurezza.
Gestione dei data breach: un unico sportello europeo
Sul fronte della cybersicurezza, il Digital Omnibus istituisce un portale unico europeo, gestito da ENISA. Imprese e PA potranno trasmettere una sola notifica valida per tutti i regimi applicabili: il principio è ‘report once, share many’, semplificando le procedure e migliorando la coerenza nella gestione dei rischi digitali.
AI Act: tempi più flessibili e attenzione ai bias
Il pacchetto comprende anche una revisione coordinata dell’AI Act, con tempi di applicazione più flessibili per i sistemi ad alto rischio e l’estensione delle semplificazioni a small mid-caps, non solo PMI. Introduce inoltre la possibilità di utilizzare dati sensibili per verificare e correggere eventuali bias algoritmici, bilanciando innovazione e tutela dei diritti fondamentali. L’AI Office europeo acquisisce un ruolo più attivo nel coordinamento e nella supervisione dei modelli di AI.
Inoltre, la Commissione ha previsto una proroga fino a 16 mesi per l’applicazione di alcune disposizioni dell’AI Act, offrendo alle imprese più tempo per adeguarsi alle istruzioni tecniche ancora in fase di definizione e riducendo il rischio di sanzioni per inadempienze non dipendenti dalle aziende.
Benefici e criticità
Secondo le stime della Commissione, il Digital Omnibus potrebbe generare risparmi superiori a un miliardo di euro all’anno, con un effetto cumulato vicino ai cinque miliardi entro il 2029, a vantaggio di imprese, pubblica amministrazione e cittadini. L’accesso ai dati diventa più agevole, stimolando l’innovazione, mentre la centralizzazione normativa punta a ridurre ostacoli pratici e complessità burocratiche.
Tuttavia, alcune organizzazioni per i diritti digitali mettono in guardia contro un possibile arretramento delle tutele, soprattutto per quanto riguarda data breach, utilizzo dei dati sensibili e definizione di dato personale. Il dibattito politico e tecnico sarà quindi intenso, e il compromesso finale tra semplificazione e protezione dei diritti sarà decisivo.
Le prossime tappe
Il Digital Omnibus seguirà la procedura legislativa ordinaria: esame e emendamenti da Parlamento e Consiglio, eventuale trilogo, approvazione finale e pubblicazione nella Gazzetta ufficiale. Imprese e PA dovranno già iniziare a riflettere su contratti cloud, gestione dei dati e procedure di notifica per adeguarsi in tempo al nuovo quadro normativo.