La Commissione Europea ha avviato un pacchetto di riforma normativa denominato Digital Omnibus, presentato ufficialmente nel novembre 2025, con l’obiettivo di «razionalizzare» e «semplificare» il complesso insieme di regolamenti relativi al digitale, alla protezione dei dati, alla sicurezza delle reti e all’intelligenza artificiale.
Il pacchetto Digital Omnibus può essere visto come una “riforma epocale” della disciplina digitale europea: non una semplice revisione tecnica, ma un tentativo di ridefinire il rapporto tra tecnologia, imprese e diritti fondamentali. Se da un lato promette semplificazione, dall’altro solleva questioni profonde circa il modello di protezione dei dati in Europa. Il processo legislativo nel Parlamento Europeo sarà determinante, e i prossimi mesi saranno fondamentali per «tramare» come sarà il nuovo “acquis digitale” europeo.
Questo pacchetto tocca in maniera trasversale norme quali il GDPR, l’Regolamento (UE) 2024/1689 sull’Intelligenza Artificiale (AI Act), la direttiva ePrivacy, la normativa NIS2 per la sicurezza delle reti, e altre ancora.
L’intento dichiarato è quello di ridurre il carico regolamentare per le imprese — in particolare per le PMI — semplificando procedure, definizioni e adempimenti duplicati.
Uno dei punti più controversi riguarda la ridefinizione del dato personale. Nella bozza del Digital Omnibus viene introdotto un approccio più “soggettivo”: se un’organizzazione non fosse in grado di identificare una persona fisica a partire dai dati in possesso, quei dati potrebbero non essere più considerati “personali” ai fini del GDPR.
Questo passaggio segnala una potenziale riduzione dell’ambito di applicazione della protezione dati, con impatti significativi su settori come tracking online, profilazione comportamentale, pubblicità digitale e data broker.
Un altro aspetto significativo riguarda la base giuridica per l’IA: la bozza suggerisce che lo sviluppo e l’operatività di sistemi di intelligenza artificiale possano essere considerati “legittimo interesse” ai sensi del GDPR, semplificando così l’adozione e l’uso di sistemi automatizzati.
Inoltre, per le imprese più piccole — le cosiddette “small-mid caps” — vengono previste esenzioni o soglie più favorevoli: ad esempio l’esenzione obbligatoria dal registro dei trattamenti (art. 30 del GDPR) per imprese con meno di 750 dipendenti, salvo trattamenti ad alto rischio.
Dal punto di vista delle imprese, soprattutto PMI, il pacchetto Digital Omnibus promette risparmi in termini di oneri di conformità, con stime che parlano di miliardi di euro entro il 2029 grazie alla riduzione delle duplicazioni e all’unificazione dei flussi di segnalazione degli incidenti di sicurezza e di altri adempimenti.
Tuttavia, il pacchetto viene al tempo stesso criticato da varie organizzazioni per il rischio che la semplificazione si traduca in deregolamentazione delle tutele dei diritti fondamentali. In particolare, si teme che la modifica della definizione di dato personale, la limitazione dei diritti degli interessati (accesso, rettifica, opposizione) e la maggiore libertà per l’IA possano indebolire la protezione dei cittadini.
Per le imprese italiane che operano in ambito digitale, occorre monitorare con attenzione l’evoluzione normativa perché i cambiamenti non riguardano solo nuove regole, ma un potenziale ripensamento del paradigma della protezione dei dati.
È consigliabile iniziare a valutare:
- se le procedure aziendali di compliance dati sono adeguate;
- se i trattamenti “ad alto rischio” sono individuati e gestiti;
- se la governance dei dati e dei sistemi di intelligenza artificiale tiene conto dell’evoluzione normativa; se le policy di trasparenza sono aggiornate.
Dal punto di vista professionale, per consulenti, DPO, responsabili privacy e sicurezza, il momento richiede un doppio approccio:
- da un lato conoscere la bozza e l’assetto che si va delineando;
- dall’altro prepararsi concretamente agli scenari operativi che emergeranno e che potrebbero richiedere procedure e policy riviste.
