“Pacchetto Omnibus digitale”, la Commissione europea ha presentato la proposta lo scorso 19 novembre 2025 ((COM(2025) 837 final; 2025/0360 (COD)); un intervento legislativo di ampia portata che si pone l’ambizioso obiettivo di semplificare e razionalizzare l’intero quadro normativo digitale dell’Unione europea. L’intervento è l’ultimo atto di un dibattito pubblico molto acceso, che, negli ultimi anni, ha visto contrapposta da un lato l’esigenza di regolare lo sviluppo tecnologico per assicurare che il medesimo avvenga nel rispetto dei diritti fondamentali, della salute e della sicurezza, dall’altro l’esigenza di non “imbrigliare” l’innovazione con una eccessiva burocratizzazione e una “bulimia normativa” che ha caratterizzato, secondo alcuni, l’intervento europeo nel settore digitale negli ultimi anni.
La proposta di regolamento modifica, tra gli altri, il GDPR (Reg. (UE) 2016/679), il Regolamento (UE) 2018/1725 sulla protezione dei dati nelle istituzioni UE, il Data Act (Reg. (UE) 2023/2854) e la direttiva e-privacy 2002/58/CE, abrogando al contempo vari atti ritenuti obsoleti o caratterizzati da sovrapposizioni normative.
La proposta si inserisce nell’agenda di “attuazione e semplificazione”, con l’obiettivo di ridurre la complessità e gli oneri amministrativi, sostenere la competitività e l’innovazione senza compromettere gli standard elevati e gli obiettivi strategici dell’UE.
Il pacchetto omnibus digitale è presentato come “primo passo” di un processo più ampio di ottimizzazione dell’acquis digitale, attraverso modifiche qualificate come “tecniche” e “immediate”, finalizzate a ridurre gli oneri per imprese, pubbliche amministrazioni e cittadini, mantenendo invariati gli obiettivi sottostanti e preservando “lo stesso livello di tutela dei diritti fondamentali”.
Uno dei punti più importanti della proposta è valorizzare l’uso dei dati – anche per sostenere lo sviluppo e l’utilizzo dell’intelligenza artificiale – accompagnato da modifiche mirate in materia di protezione dei dati.
Indice degli argomenti:
Nozione di dato personale e base giuridica per l’intelligenza artificiale.
Una delle esigenze più sentite, all’indomani dell’approvazione dell’AI Act e della “democratizzazione” dell’intelligenza artificiale con la diffusione dell’AI generativa, è stata quella di coordinare l’esigenza di incentivare lo sviluppo tecnologico con quella di assicurare una elevata protezione dei dati personali e dei diritti fondamentali ad essa sottesi.
In particolare, due aspetti fondamentali rischiano di creare incertezze normative o addirittura ostacoli per lo sviluppo di strumenti di intelligenza artificiale.
Il primo è l’esigenza di una maggiore chiarezza sulle nozioni di dato personale, anonimo e pseudonimo (concetti che sono alla base di molti interventi normativi nati con l’obiettivo di favorire una maggiore circolazione dei dati, come il Data Governance Act, il Data Act o il Regolamento che istituisce lo European Health Data Space). Senza un chiarimento non solo interpretativo ma anche normativo a riguardo, il rischio è quello di limitare la possibilità di usi secondari, che sono alla base dello sviluppo di sistemi di intelligenza artificiale.
Il secondo è rappresentato dall’esigenza di chiarire la base giuridica del trattamento, cercando di superare l’impostazione consenso-centrica che mal si concilia con gli usi possibili in questo settore. I
Il Digital Omnibus interviene proprio su questi due aspetti (tra gli altri).
La nozione di dato personale
La proposta chiarisce la definizione di dato personale (art. 4 GDPR) affermando che le informazioni non sono dati personali “per una determinata entità” quando non contengono elementi ragionevolmente utilizzabili da tale entità per identificare la persona fisica cui si riferiscono. In altre parole, le informazioni non diventano personali per un soggetto solo perché un destinatario successivo potrebbe avere mezzi ragionevoli per identificare l’interessato.
Si richiama la logica della recente giurisprudenza della Corte di Giustizia (C-413 del 4 settembre 2025), che ha in qualche modo “relativizzato” il concetto di identificabilità facendo riferimento ai mezzi ragionevolmente utilizzabili dal soggetto che riceve dati pseudonomizzati da parte di un titolare e concludendo che, qualora l’identificazione sia vietata dalla legge o praticamente irrealizzabile per costi/tempo/manodopera sproporzionati, allora il dato dovrà considerarsi anonimo per chi lo riceve.
In ambito sanitario, ad esempio, il Digital Omnibus Act chiarisce che “gli obblighi a cui sono soggetti gli utenti dei dati sanitari, di cui all’articolo 61, paragrafo 3, del regolamento (UE) 2025/327 del Parlamento europeo e del Consiglio 35, costituiscono un esempio di divieto di reidentificazione”. Si tratta del divieto di reidentificazione dei dati sanitari elettronici per gli utenti autorizzati ad accedere ai dati nell’ambito della istituzione dello European Health Data Space istituito.
Questa modifica della nozione di dato personale avrà ripercussioni significative sulla qualificazione dei dataset pseudonimizzati, sul data sharing e sulla compliance, chiarendo quando un soggetto possa legittimamente considerare certi dati come non personali
Viene altresì inserito nel GDPR un nuovo art. 41 bis che consente alla Commissione di adottare atti di esecuzione sui criteri/mezzi per determinare quando i dati pseudonimizzati non sono più personali per determinate entità, valutando lo stato dell’arte e criteri per il rischio di reidentificazione, con coinvolgimento attivo dell’EDPB.
Questo intervento fornirà finalmente delle linee guida operative concrete per valutare quando la pseudonimizzazione possa effettivamente trasformare i dati personali in dati non più tali per specifici operatori.
Base giuridica per l’AI
Un’altra delle novità più significative – e potenzialmente controverse – della proposta è l’introduzione di una base giuridica specifica per il trattamento di dati personali nell’ambito dell’intelligenza artificiale.
Il nuovo articolo 88 quater GDPR stabilisce che il trattamento di dati personali “necessario” per tutelare gli interessi legittimi del titolare nello sviluppo e nel funzionamento di sistemi di intelligenza artificiale e modelli di AI può basarsi su “interessi legittimi” ai sensi dell’articolo 6(1)(f) del GDPR.
Il considerando 30 è utile a chiarire che “nelle varie fasi del ciclo di vita dell’AI, come le fasi di addestramento, prova e convalida, lo sviluppo e l’uso dei sistemi di AI e dei modelli sottostanti, come i modelli linguistici di grandi dimensioni e i modelli video generativi, si basano sui dati, compresi i dati personali, che possono in alcuni casi essere conservati nel sistema o nel modello di AI.
Il trattamento dei dati personali in questo contesto può pertanto essere effettuato, se del caso, per il perseguimento di un interesse legittimo ai sensi dell’articolo 6 del regolamento (UE) 2016/679”. Dunque, non basta fare riferimento allo sviluppo, addestramento o convalida del sistema di intelligenza artificiale per identificare l’interesse legittimo, ma occorrerà identificare l’interesse sotteso a tali attività.
Tuttavia, questa apertura è tutt’altro che incondizionata. La disposizione non si applica quando altre norme dell’Unione o nazionali richiedono esplicitamente il consenso dell’interessato, né quando i diritti, gli interessi o le libertà fondamentali dell’interessato prevalgono sugli interessi del titolare del trattamento, con particolare attenzione se l’interessato è un minore. E qui sarà interessante osservare l’interazione tra questo principio e l’articolo 4, comma 4 della Legge 132/2025 sull’intelligenza artificiale, che introduce un divieto di “utilizzo” di sistemi di intelligenza artificiale per i minori, se non con il consenso dei genitori o di chi esercita la potestà genitoriale.
Il titolare del trattamento è tenuto ad attuare misure e garanzie appropriate, in particolare:
- minimizzazione dei dati;
- trasparenza verso gli interessati circa il trattamento dei loro dati personali;
- riconoscimento di un diritto incondizionato di opposizione che deve essere rispettato senza indebito ritardo e comunque entro un mese;
- misure per prevenire la divulgazione di dati personali da parte di sistemi o modelli di AI, compresi i dati personali utilizzati per il loro sviluppo.
Nei considerando si richiamano ulteriori fattori di bilanciamento, quali le ragionevoli aspettative degli interessati, le garanzie predisposte, le tecniche di tutela della privacy e i rischi di rigurgito o fuga di dati dai modelli.
Questa disposizione rappresenta un punto di equilibrio delicato: da un lato, fornisce agli sviluppatori di AI una base giuridica più chiara e prevedibile per il training e il deployment di modelli, riducendo l’incertezza che ha caratterizzato gli ultimi anni. Dall’altro, il riconoscimento di un diritto incondizionato di opposizione impone sfide tecniche rilevanti, richiedendo capacità di “machine unlearning” e tracciabilità dei dati utilizzati nel training.
La proposta tenta di non ostacolare sproporzionatamente l’innovazione, ma aumenta la pressione su accountability, misure tecniche effettive e controlli, soprattutto rispetto a dataset di addestramento opachi e ai rischi di memorizzazione nel modello.
Utilità dell’intervento e necessità di mantenere alta la protezione dei diritti
Nel disegno complessivo, l’intervento appare mirato a ridurre complessità e costi di conformità tramite modifiche dichiaratamente “tecniche” e chiarimenti, preservando obiettivi e livello di tutela dei diritti fondamentali.
La proposta segue la procedura legislativa ordinaria, il che significa che sarà esaminata dal Parlamento europeo e dal Consiglio dell’UE, con possibili emendamenti e negoziati in triloghi.
Particolarmente importante sarà il ruolo dell’European Data Protection Board, chiamato a esprimersi su molte delle disposizioni chiave e a elaborare le linee guida e i modelli comuni previsti dalla proposta.
La Commissione stima risparmi per almeno 1 miliardo di euro all’anno, più 1 miliardo di costi una tantum, per un totale di almeno 5 miliardi di euro entro il 2029, evidenziando anche benefici non quantificabili derivanti dalla semplificazione.
Tuttavia, a chi scrive, almeno sui due aspetti su cui ci siamo fin qui concentrati, sembra che gli interventi costituiscano un importante chiarimento e modifica della normativa nella direzione di una maggiore utilizzabilità (e riutilizzabilità) dei dati personali, più che di veri e propri interventi di semplificazione.
Poiché, almeno su questi due aspetti, la normativa non arretra sotto il profilo dell’accountability, le aziende che vorranno beneficiare di queste “aperture” più che gestire semplificazioni avranno la possibilità di agire basandosi su regole più chiare e aperte ma non necessariamente meno “costose” da gestire in termini di governance e compliance.
