Il “Digital Omnibus”: una prima sintesi

di Michele Di Salvo

Sommario: Premessa – 1. Una riscrittura trasversale per un diritto digitale coerente – 1.1. La razionalizzazione del “Data Acquis”: un unico testo per i dati – 1.2. Il GDPR e la Direttiva ePrivacy: un aggiornamento profondo e pragmatico – 1.3. Il “Single-Entry Point”: una rivoluzione nelle notifiche degli incidenti – 1.4. Addio al Regolamento P2B – 2. Il “Digital Omnibus on AI”: rendere l’AI Act operationale e innovation-friendly – 3. Riflessioni e sfide future

Premessa

Il 19 novembre 2025 segna una data fondamentale per il futuro digitale dell’Europa. In quella data, la Commissione Europea ha pubblicato le versioni definitive di due proposte di regolamento – COM(2025) 837 e COM(2025) 836 – che costituiscono insieme il cuore del pacchetto “Digital Omnibus”. Questo pacchetto rappresenta la più ambiziosa operazione di razionalizzazione e semplificazione dell’intero corpus normativo digitale dell’Unione dagli albori del Mercato Unico Digitale.

L’iniziativa nasce da una constatazione chiara e urgente: il quadro normativo europeo sul digitale, sviluppatosi in modo incrementale e a volte frammentario nell’ultimo decennio, ha creato un labirinto di obblighi, sovrapposizioni e incoerenze. Questo “digital rulebook” stratificato, sebbene ambizioso nella protezione dei diritti e nella promozione dell’innovazione, ha finito per gravare eccessivamente su imprese, pubbliche amministrazioni e cittadini, rischiando di soffocare la competitività e l’innovazione che intendeva promuovere.

Il primo regolamento, il “Digital Omnibus” vero e proprio, agisce come un “test di stress” orizzontale, rivedendo e interconettendo normative su dati, servizi digitali e cybersecurity. Il secondo, il “Digital Omnibus on AI”, interviene in modo più chirurgico sull’AI Act, appena entrato in vigore, con l’obiettivo di renderne l’applicazione più chiara, semplice e favorevole all’innovazione, senza comprometterne le tutele fondamentali.

1. Una riscrittura trasversale per un diritto digitale coerente

Il Regolamento COM(2025) 837 non è un semplice aggiornamento, ma un’operazione di “consolidamento legislativo” senza precedenti. Il suo obiettivo è fondere, armonizzare e snellire un ecosistema normativo divenuto troppo complesso.

1.1. La razionalizzazione del “Data Acquis”: un unico testo per i dati

Uno degli interventi più significativi è la riorganizzazione completa della normativa sui dati. Il Data Act diventa il perno unico della materia, assorbendo e sostituendo tre testi normativi preesistenti: – il Regolamento sul libero flusso dei dati non personali; – il Data Governance Act (DGA); – la Open Data Directive

Questo processo non è una mera fusione, ma una riscrittura organica. Viene ridisegnato il regime sul riutilizzo dei dati pubblici, integrato il divieto di localizzazione dei dati non personali e rivisti i modelli per i servizi di intermediazione e il “data altruism”, rendendoli più agili e meno onerosi, specialmente per le PMI. Anche le norme dello stesso Data Act sullo switching dei servizi cloud vengono alleggerite per i servizi altamente personalizzati e per quelli offerti da piccole e medie imprese.

1.2. Il GDPR e la Direttiva ePrivacy: un aggiornamento profondo e pragmatico

Si tratta forse della parte più attesa e delicata della riforma. Il Digital Omnibus interviene sul Regolamento Generale sulla Protezione dei Dati (GDPR) e sulla Direttiva ePrivacy con l’obiettivo di chiarire, semplificare e adattare le norme all’evoluzione tecnologica.

– Definizione di “Dato Personale”: Viene chiarito che un’informazione non è automaticamente un dato personale solo perché teoricamente identificabile da qualcuno. Si introduce un criterio di “ragionevolezza”, escludendo dall’ambito di applicazione del GDPR i dati in forma aggregata, pseudonimizzata o ridotta, privi di concrete possibilità di re-identificazione.

– Basi Giuridiche Rafforzate: Viene esplicitato che lo sviluppo e miglioramento dei sistemi di IA possono costituire un legittimo interesse (art. 6(1)(f)), subordinato a una valutazione d’impatto e a garanzie rafforzate come la minimizzazione dei dati e un diritto di opposizione incondizionato.

– Nuove Eccezioni per i Dati Sensibili (art. 9): Vengono introdotte due nuove deroghe al divieto di trattamento: (i) per i dati biometrici utilizzati per la mera verifica dell’identità (se sotto il controllo esclusivo dell’interessato); (ii) per lo sviluppo e il funzionamento di sistemi di IA, purché con misure tecniche per prevenire la raccolta non necessaria.

– Semplificazione degli Obblighi Informativi: Non sarà più necessario fornire l’informativa se l’interessato può “ragionevolmente conoscere” il trattamento, attenuando uno degli adempimenti più onerosi.

– Notifica dei Data Breach: La notifica all’autorità di controllo sarà obbligatoria solo in caso di “rischio elevato” per gli interessati (allineando la soglia a quella per la comunicazione), e il termine viene esteso da 72 a 96 ore.

– DPIA Armonizzate a Livello UE: Gli elenchi dei trattamenti che richiedono una Valutazione d’Impatto non saranno più definiti a livello nazionale, ma dall’EDPB e adottati dalla Commissione come liste vincolanti per tutta l’Unione, garantendo uniformità.

– Fine della Direttiva ePrivacy?: La disciplina su cookie e tracciatori (ex art. 5(3) della Direttiva ePrivacy) viene integralmente trasferita nel GDPR con i nuovi articoli 88a e 88b. L’art. 88b introduce per la prima volta un quadro giuridico per i “segnali di consenso” automatici e machine-readable (come il “Global Privacy Control”), che i fornitori di servizi online saranno obbligati a rispettare.

1.3. Il “Single-Entry Point”: una rivoluzione nelle notifiche degli incidenti

Per porre fine alla frammentazione degli obblighi di notifica (NIS 2, GDPR, DORA, ecc.), la proposta istituisce un meccanismo unico europeo gestito dall’ENISA. Attraverso una sola piattaforma (“Single-Entry Point”), basata sul principio “report once, share many”, gli operatori potranno assolvere tutti gli obblighi di notifica, senza dover interagire con molteplici autorità e formati. L’ENISA svilupperà una piattaforma interoperabile e sicura, con un periodo di test prima del rollout completo.

1.4. Addio al Regolamento P2B

Il Regolamento sulle relazioni tra piattaforme online e utenti commerciali (P2B) viene abrogato. Il legislatore europeo ritiene che le sue finalità siano state ormai assorbite e potenziate dal Digital Services Act (DSA) e dal Digital Markets Act (DMA). Alcune disposizioni transitorie rimarranno in vigore fino al 2032.

2. Il “Digital Omnibus on AI”: rendere l’AI Act operationale e innovation-friendly

Mentre il Digital Omnibus è una riforma orizzontale, il COM(2025) 836 è un intervento chirurgico sull’AI Act, mirato a risolvere criticità applicative emerse nei primi mesi.

– Sostegno a PMI e Startup: Vengono estese le agevolazioni per le PMI anche alle “small mid-cap enterprises” (SMCs), con documentazione tecnica semplificata e requisiti proporzionati per i sistemi di gestione della qualità.

– AI Literacy Ricalibrata: L’obbligo generale di formazione per provider e deployer viene sostituito con iniziative di promozione non vincolanti da parte di Commissione e Stati membri. Restano invece gli obblighi specifici per gli utenti di sistemi ad alto rischio.

– Liceità per il Contrasto ai Bias: Il nuovo art. 4a introduce una base giuridica esplicita per trattare dati sensibili al fine di rilevare e prevenire bias discriminatori nell’IA, subordinata a garanzie rigorose (anonimizzazione, limitazioni al riuso, cancellazione).

– Semplificazione degli Obblighi di Registrazione: Viene eliminato l’obbligo di registrare nella banca dati UE i sistemi “potenzialmente ad alto rischio” e quelli non high-risk, riducendo significativamente l’onere amministrativo.

– Accentramento della Supervisione sui Sistemi GPAI: L’AI Office avrà competenza rafforzata, e in alcuni casi esclusiva, sul monitoraggio dei sistemi basati su modelli general-purpose (GPAI) e di quelli integrati in piattaforme molto grandi (VLOPs).

– Impulso all’Innovazione: Viene ampliato l’uso dei regulatory sandbox e del real-world testing. A partire dal 2028, l’AI Office potrà istituire un sandbox regolatorio a livello UE per facilitare sperimentazioni transfrontaliere.

– Application Condizionata per i Sistemi ad Alto Rischio: Gli obblighi più stringenti del Capo III dell’AI Act diventeranno applicabili solo quando la Commissione confermerà la disponibilità di standard armonizzati e strumenti di conformità adeguati, prevenendo un vuoto normativo. Sono comunque previste scadenze massime (fine 2027-metà 2028).

L’iter di approvazione di due testi così complessi richiederà mesi di intenso negoziato tra Parlamento Europeo e Consiglio. La portata sistemica della riforma implica che la sua implementazione sarà graduale e condizionata alla disponibilità di standard tecnici.

3. Riflessioni e sfide future

Bilanciamento tra Semplicità e Granularità: Concentrare normative eterogenee in pochi testi semplifica, ma potrebbe ridurre la specificità settoriale che in passato ha garantito tutele mirate.

La Sfida del Coordinamento: Il successo del Single-Entry Point e della supervisione accentrata dell’AI Office dipenderà da un coordinamento impeccabile tra autorità nazionali ed europee. Le fasi iniziali potrebbero essere soggette a fisiologici assestamenti.

Incertezza Programmatoria: Il meccanismo di applicazione “condizionato” dell’AI Act, sebbene pragmatico, introduce un elemento di incertezza per le aziende, che potrebbero faticare a pianificare investimenti e adeguamenti a lungo termine.

In conclusione, il pacchetto Digital Omnibus rappresenta un passaggio cruciale verso un diritto digitale europeo più maturo, consapevole e pragmatico. È il tentativo, ambizioso e necessario, di correggere il tiro, trasformando un complesso mosaico di norme in un sistema coerente e sostenibile, in grado di sostenere, e non solo regolare, l’innovazione nel Vecchio Continente. La sua eredità sarà giudicata dalla capacità di tradurre questi principi in un quadro normativo che gli attori del digitale europeo possano percepire non come un ostacolo, ma come una piattaforma per la crescita.