Digital Omnibus: gli impatti sull’ecosistema dei dati, la joint opinion di EDPB ed EDPS e la posizione del Parlamento UE

L’impatto potenziale del Digital Omnibus appare di notevole rilievo e non solo di semplificazione. Il Regolamento, infatti, mira a incidere in maniera significativa e profonda sullo sviluppo degli spazi europei dei dati settoriali, concepiti dalla European Data Strategy come infrastrutture di condivisione sicura e interoperabile.

Prima di muovere oltre e spostarsi sull’analisi delle opinioni di EDPB ed EDPS e della posizione del Parlamento, per meglio comprendere la portata delle citate modifiche, pare opportuno un approfondimento – seppur sempre in chiave di sintesi – degli impatti sulle singole normazioni.

Impatti sull’ecosistema dei dati, sugli spazi europei dei dati e sulla sicurezza

Il Digital Omnibus si inserisce nel quadro della protezione dei dati personali con interventi mirati, di natura prevalentemente interpretativa (almeno a una prima lettura), che incidono su specifici profili applicativi, e così ad esempio:

• In primo luogo, viene precisato il criterio di identificabilità all’interno della nozione di dato personale. L’intervento valorizza il parametro dei “mezzi ragionevolmente utilizzabili” da parte del titolare o del responsabile del trattamento, rafforzando un’interpretazione contestuale della definizione normativa.

In questa prospettiva, una informazione può qualificarsi come dato personale solo nella misura in cui il singolo operatore sia concretamente in grado di identificare una persona fisica, tenendo conto degli strumenti effettivamente disponibili. Ne deriva che, laddove tale identificazione non sia ragionevolmente praticabile con i mezzi a disposizione, l’informazione non assume natura personale rispetto a quello specifico soggetto;

• Un secondo ambito di intervento concerne l’esercizio dei diritti degli interessati.

In particolare, viene chiarito che il carattere abusivo può emergere quando l’esercizio dei diritti non sia funzionale alla tutela dei dati personali dell’interessato, ma persegua finalità ulteriori, ad esempio di natura strategica o contenziosa;

• Un ulteriore profilo riguarda il coordinamento tra gli obblighi di notifica delle violazioni dei dati personali e quelli derivanti dalla normativa in materia di sicurezza informatica, con l’obiettivo di ridurre duplicazioni procedurali e sovrapposizioni tra autorità competenti. In tale contesto, si propone di subordinare l’obbligo di notifica all’autorità di controllo ai soli casi in cui la violazione comporti un “alto rischio” per i diritti e le libertà degli interessati, elevando così la soglia rispetto al regime vigente. Parallelamente, si prevede l’estensione del termine per la notifica da 72 a 96 ore, in funzione di una maggiore aderenza alle effettive capacità operative di rilevazione degli incidenti.

Le modifiche al Data Act e il rafforzamento del principio di coerenza regolatoria

Con riferimento al Data Act, l’Omnibus interviene nel senso di:

• incorporare una serie di strumenti precedenti (Data Governance Act o DGA, il Regolamento 2018/1807, la Direttiva Open Data) all’interno del Data Act, che diventerebbe così l’unico riferimento normativo per accesso, condivisione e riutilizzo dei dati (personali e non personali);
• chiarire che il diritto di accesso ai dati generati da prodotti connessi e servizi correlati, non può comportare un’elusione delle garanzie previste dalla normativa sulla protezione dei dati personali e dall’AI Act. In particolare, viene esplicitato che l’accesso legittimo ai dati non esonera dall’obbligo di rispettare le condizioni di liceità del trattamento e di effettuare valutazioni di impatto nei casi previsti;
• evitare – per quanto concerne il ruolo degli intermediari di dati e dei meccanismi di condivisione altruistica – che l’introduzione di obblighi settoriali frammenti l’architettura degli spazi dei dati, compromettendone l’interoperabilità;
• modificare le regole di accesso ai dati da parte delle autorità pubbliche in situazioni di eccezionale necessità, prevedendo condizioni più chiare per l’eventuale trattamento di dati personali, nel rispetto dei principi di proporzionalità e minimizzazione. Tale modifica riflette l’esigenza di bilanciare interesse pubblico e tutela dei diritti individuali, evitando che l’eccezionalità della richiesta si traduca in un ampliamento indiscriminato dei poteri amministrativi.

Le modifiche all’AI Act e la rimodulazione temporale degli obblighi

Per quanto riguarda l’AI Act, invece – anche alla luce delle linee guida della Commissione europea dell’11 maggio 2026 – l’intervento del Digital Omnibus si orienta verso:

• una calibrazione più progressiva e tecnicamente sostenibile dell’attuazione delle disposizioni, incidendo in particolare sui sistemi qualificati ad alto rischio. In tale ambito, l’effettiva applicazione degli obblighi più stringenti viene subordinata alla previa adozione di standard tecnici armonizzati, strumenti di conformità e linee guida operative. Non si tratterebbe di un mero rinvio temporale, bensì di un modello di applicazione “a maturazione tecnica”, fondato sul coordinamento tra Commissione, Stati membri e organismi di normazione;
• misure di semplificazione, in particolare sul piano documentale, estese anche alle PMI e alle imprese di dimensioni intermedie, senza incidere sugli obblighi sostanziali in materia di gestione del rischio, trasparenza e supervisione umana;
• rafforzamento del ruolo dell’AI Office, quale snodo di coordinamento e supporto interpretativo, anche con riferimento ai modelli di uso generale e ai sistemi integrati in ecosistemi più ampi, in raccordo con le autorità nazionali e quelle competenti in materia di protezione dei dati.
• previsioni che consentono ai fornitori di trattare categorie particolari di dati personali per finalità di individuazione e mitigazione dei bias, purché nel rispetto di adeguate garanzie.

Sicurezza informatica e razionalizzazione degli obblighi di notifica

Il Digital Omnibus affronta anche il problema della frammentazione degli obblighi di notifica in caso di incidenti e, in effetti, la razionalizzazione procedurale costituisce uno degli aspetti più rilevanti, in quanto incide direttamente sui costi di compliance e sulla gestione del rischio da parte delle imprese.

In questo senso, la previsione di un “Single-Entry-Point”, ossia di un portale digitale centralizzato gestito da ENISA (Agenzia dell’UE per la cybersicurezza), che funga da interfaccia unica per tutte le segnalazioni di incidenti, avrebbe il merito effettivo di snellire gli aspetti procedurali, rispondendo al principio del “Report once, share many“. In virtù di ciò i soggetti potrebbero inviare un’unica notifica attraverso il SEP che poi smisterà automaticamente le informazioni alle autorità nazionali o europee competenti (es. Garante Privacy, CSIRT nazionali, BCE).

Tale sistema dovrà essere progettato per essere interoperabile con altri strumenti, come ad esempio l’EU Business Wallet per l’identificazione dell’entità che effettua la segnalazione.

Nel complesso, quindi, gli interventi esaminati sembrerebbero non essere semplicemente volti a orientare l’applicazione pratica delle normative pilastro della EU Data Strategy, bensì a incidere sui principi fondanti, attenuando (e di molto in alcuni casi) le garanzie e le protezioni per gli interessati.

Alla luce di ciò, risulta più evidente la ratio alla base delle preoccupazioni espresse da istituzioni europee, autorità di protezione dei dati e organismi di controllo (oltre che dalle imprese, dagli operatori del settore e dalla società civile), che si analizzeranno a seguire.

La Joint Opinion EDPB/EDPS n. 1/2026^[1] (Digital Omnibus on AI)

Il parere congiunto dell’European Data Protection Board (EDPB) e dell’European Data Protection Supervisor (EDPS) offre un punto di vista articolato che evidenzia in maniera chiara quelli che sono gli elementi positivi e le criticità e/o riserve formali, che si riportano a seguire come da executive summary del citato documento.

Trattamento di categorie particolari di dati personali ai fini dell’individuazione e della correzione dei pregiudizi

L’EDPB e l’EDPS sostengono in linea di principio l’estensione proposta della base giuridica che consenta il trattamento eccezionale di categorie particolari di dati personali ai fini dell’individuazione e della correzione dei pregiudizi. Allo stesso tempo, per evitare potenziali abusi, i casi in cui i fornitori e gli utilizzatori potrebbero avvalersi di tale base giuridica nel contesto di sistemi e modelli di AI a basso rischio dovrebbero essere chiaramente circoscritti e limitati ai casi in cui il rischio di effetti negativi causati da tali pregiudizi sia sufficientemente grave.

Allo stesso modo, l’EDPB e il GEPD raccomandano di mantenere lo standard di stretta necessità attualmente applicabile al trattamento di categorie particolari di dati personali per l’individuazione e la correzione di pregiudizi in relazione ai sistemi di IA ad alto rischio.

Registrazione e documentazione

L’EDPB e l’EDPS sostengono l’obiettivo generale della Proposta di alleggerire gli oneri amministrativi a carico degli operatori, raccomandando, tuttavia, di mantenere l’obbligo per i fornitori di registrare i sistemi di AI nella banca dati dell’UE per i sistemi ad alto rischio anche nei casi in cui il fornitore abbia concluso che il sistema non sia ad alto rischio, nonostante sia menzionato nell’allegato III della legge sull’AI. La proposta di sopprimere tale obbligo di registrazione ridurrebbe significativamente la responsabilità dei fornitori di sistemi di AI e costituirebbe un incentivo indesiderato per i fornitori a invocare indebitamente tale esenzione.

Sandbox normativi per l’AI a livello dell’UE

L’EDPB e l’EDPS sostengono la creazione di sandbox normativi per l’AI a livello dell’UE per promuovere l’innovazione e aiutare le piccole e medie imprese («PMI») in tutto il SEE, tuttavia, suggeriscono alcuni miglioramenti per garantire una maggiore certezza giuridica, quali:

• • le autorità competenti per la protezione dei dati (DPA) dovrebbero essere coinvolte nel funzionamento e nella supervisione del corrispondente trattamento dei dati effettuato in questi sandbox, in linea con il regolamento (UE) 2016/679;
  • la competenza delle DPA in questi sandbox e l’interazione con il meccanismo di cooperazione del GDPR dovrebbero essere meglio chiarite;
  • l’EDPB dovrebbe avere sia un ruolo consultivo per garantire la coerenza sugli aspetti relativi alla protezione dei dati, in particolare nei casi in cui diverse DPA sarebbero interessate dal sandbox UE dedicato all’AI, che lo status di osservatore presso il Comitato europeo per l’intelligenza artificiale.

Alfabetizzazione in materia di AI

L’EDPB e l’EDPS ritengono che i fornitori e gli utilizzatori di sistemi di AI non debbano essere esonerati dall’obbligo di garantire che il loro personale possieda un livello sufficiente di alfabetizzazione in materia di AI, poiché ciò contribuisce ad aumentare la consapevolezza etica e sociale sui benefici e sui rischi dell’AI. Se i co-legislatori decidessero di mantenere il nuovo obbligo per la Commissione e gli Stati membri di promuovere l’alfabetizzazione in materia di AI, esso dovrebbe applicarsi in aggiunta all’attuale obbligo a carico dei fornitori e degli utilizzatori di sistemi di AI, anziché sostituirlo.

Tempistica di attuazione delle norme sui sistemi ad alto rischio

Per quanto riguarda la tempistica di attuazione delle norme sui sistemi ad alto rischio e il proposto rinvio di una serie di disposizioni fondamentali, l’EDPB e l’EDPS riconoscono che alcune delle ragioni alla base del ritardo nell’applicazione potrebbero essere considerate almeno in parte oggettive; tuttavia, esprimono preoccupazione per il potenziale impatto sulla tutela dei diritti fondamentali in un panorama dell’IA in rapida evoluzione. A questo proposito, il parere congiunto invita i co-legislatori a valutare se sia opportuno e fattibile mantenere l’attuale calendario per alcuni obblighi, ad esempio in materia di trasparenza.

Nel caso in cui il rinvio proposto del calendario di entrata in vigore venga comunque adottato dai co-legislatori, l’EDPB e l’EDPS chiedono un’azione concertata da parte di tutti i soggetti interessati, e in particolare della Commissione, al fine di ridurre al minimo il ritardo per quanto possibile.

Le proposte del Parlamento UE

Nel testo approvato in prima lettura dal Parlamento UE in seduta plenaria (3.3.2026) del decreto Omnibus IV emergono in maniera evidente, tra gli altri, i seguenti punti:

• inserimento e/o riscrizione delle definizioni di PMI
• previsione della nuova categoria delle SMC (Small mid-cap enterprises)^[2]
• esenzione dalla tenuta del registro per le imprese con meno di 1000 dipendenti, purché il trattamento non sia a “probabile alto rischio^[3]” o non ci sia obbligo del DPO;
• le PA non beneficeranno comunque di tale esenzione;
• proposta di tool semplificati per PMI/SMC;
• per le PMI/SMC, il trattamento di dati particolari dei dipendenti per il rispetto degli obblighi in materia di lavoro, sicurezza sociale e protezione sociale non comporta automaticamente l’alto rischio.

Sul punto che forse è il più delicato – perché costituisce ad avviso di chi scrive un presidio per la tutela dei diritti e delle libertà degli interessati che rischia di essere banalizzato se non espunto -, ossia la tenuta del registro, le tre istituzioni sembrano aver preso posizioni distinte, e così:

Posizione circa la proposta 836 (AI Act)

Il documento, elaborato dalle commissioni IMCO e LIBE (per le libertà civili, la giustizia e gli affari interni) del Parlamento^[4], prevede un primo elemento di rottura che si riscontra nella gestione temporale dell’efficacia delle norme per i sistemi ad alto rischio: abbandonando la flessibilità legata all’adozione di futuri atti delegati, il testo opta per scadenze certe e differenziate, fissando l’applicazione al 2 dicembre 2027 per le fattispecie di cui all’Allegato III e al 2 agosto 2028 per quelle ricomprese nell’Allegato I.

Tale rigore cronologico investe anche la disciplina sulla trasparenza, segnatamente per quanto concerne la marcatura digitale^[5] dei sistemi già in commercio, tanto che il termine ultimo è stato fissato al 2 novembre 2026.

Sul piano dell’alfabetizzazione digitale, viene confermato l’obbligo per provider e deployer di adottare misure per assicurare un livello sufficiente di AI literacy per chi utilizza sistemi AI per conto dell’organizzazione, ma tali misure dovranno tenere conto di competenze tecniche, esperienza, formazione e contesto di utilizzo del sistema AI, nonché delle persone.

Un’attenzione particolare, poi, è rivolta al coordinamento sistematico con le normative di settore mediante la proposta di mitigazione degli obblighi dell’AI Act per i prodotti già soggetti a norme armonizzate sulla sicurezza, come nel caso dei dispositivi medici. In tale alveo di bilanciamento tra diritti e innovazione si inserisce anche la conferma della possibilità di trattare dati sensibili, in via eccezionale e sotto strette garanzie, qualora ciò sia finalizzato esclusivamente alla rilevazione e alla correzione dei bias algoritmici.

Parallelamente, il catalogo delle pratiche vietate si arricchisce di una nuova fattispecie volta a contrastare la generazione di deepfake a contenuto sessuale o intimo non consensuale, prevedendo una deroga esclusivamente per quei sistemi che integrino, by design, barriere tecniche insuperabili alla creazione di tali contenuti.

Infine, il supporto al tessuto imprenditoriale viene ampliato attraverso l’estensione delle misure di favore per le PMI anche alle imprese a media capitalizzazione (SMC).

Tale strategia si riflette anche nell’istituzione di sandbox normative europee sotto l’egida dell’AI Office, le quali daranno priorità a startup e SMC, garantendo il necessario coordinamento con le autorità per la protezione dei dati personali.

In conclusione, l’intervento normativo del Digital Omnibus, pur perseguendo dichiarate finalità di semplificazione e de-bureaucratization, solleva complesse questioni di natura sistemica che meritano un’analisi esegetica approfondita, tanto sotto il profilo della tecnica legislativa adottata (col rischio di stratificazione normativa), sia dal punto di vista di ridefinizione degli equilibri istituzionali (a seguito del potenziamento dei meccanismi di cooperazione inter-autorità o consistency mechanism).

La sfida regolatoria, quindi, si dovrà giocare ancora una volta nel riuscire a delineare un quadro di compliance capace di neutralizzare (o contenere, governandoli) i rischi derivanti dalle tecnologie emergenti, senza generare barriere sproporzionate per gli operatori economici.

Si identifica così l’obbligo tecnico imposto dall’AI Act ai fornitori di sistemi di intelligenza artificiale generativa di contrassegnare i contenuti creati o manipolati dall’AI, etichettandoli in formato leggibile e rendendoli riconoscibili come tali. Consiste nell’inserire un identificativo univoco, invisibile o semitrasparente, all’interno di immagini, video, audio o testi.

Note

https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-12026-proposal_en. ↑

Meno di 1.000 dipendenti, oltre a fatturato annuo fino a 200 milioni €, oppure totale di bilancio fino a 172 milioni €. ↑

Si fa riferimento alla DPIA ex art. 35 del GDPR. ↑

Bozza di compromesso del Parlamento europeo (Final Compromise Amendments) – 16.3.2026, https://media.licdn.com/dms/document/media/v2/D4E1FAQFokmsG5s8YAA/feedshare-document-sanitized-pdf/B4EZ0A4ogRJoA8-/0/1773836340488?e=1774454400&v=beta&t=RUAS8SXfJcbycUg9fTCpnxbnZAlD97QdE0UvxYJ6ndI. ↑