L’evoluzione della regolamentazione europea in materia di dati e tecnologie digitali ha conosciuto, negli ultimi anni, un’accelerazione senza precedenti.
La cosiddetta European Data Strategy, lanciata nel 2020 dalla Commissione europea, ha rappresentato il quadro strategico entro cui si sono progressivamente collocati strumenti normativi quali – ad esempio – il Data Governance Act, il Data Act, il Digital Services Act, il Digital Markets Act e, più recentemente, l’AI Act.
In siffatto contesto, il recentissimo Digital Omnibus si presenta come intervento normativo di razionalizzazione e coordinamento, volto a incidere trasversalmente su una pluralità di atti già adottati o in via di attuazione.
Indice degli argomenti:
Il Digital Omnibus come strumento di ingegneria normativa
Il Digital Omnibus si fonda su una pluralità di basi giuridiche rinvenibili nei Trattati, in particolare nelle disposizioni relative al mercato interno e alla protezione dei dati personali e si basa su una tecnica non nuova nel diritto dell’Unione europea. Questa consente la modifica puntuale di regolamenti esistenti, mediante inserimento, sostituzione o coordinamento di articoli e definizioni, al fine di evitare duplicazioni, conflitti interpretativi o sovrapposizioni di obblighi.
L’Omnibus, dunque, si distingue per l’introduzione di clausole di coordinamento orizzontale, che richiamano espressamente gli altri atti del pacchetto digitale, e se, da un lato, ciò aumenta la coerenza sistemica, dall’altro rischia di accrescere la complessità interpretativa, richiedendo agli operatori una lettura integrata di testi normativi già articolati.
Si aggiunga, altresì, che visto lo specifico settore di operatività – quello digitale -, tale tecnica assume una valenza peculiare, in quanto si innesta su un ecosistema normativo estremamente recente, ancora in fase di implementazione e caratterizzato da una forte interdipendenza tra discipline in materia di dati, condivisione/interoperabilità, piattaforme, cybersicurezza e intelligenza artificiale.
Le discussioni emerse in sede di trilogo tra Parlamento europeo, Consiglio dell’Unione europea e Commissione hanno evidenziato tensioni significative tra esigenze di semplificazione regolatoria, tutela dei diritti fondamentali e competitività industriale.
Ecco, quindi, che l’analisi oggetto del presente contributo consente di cogliere come il Digital Omnibus si collochi – in primis – all’intersezione tra diritto dei dati, diritto della concorrenza, diritto dei consumatori e disciplina dell’AI, con ricadute sistemiche che impongono una riflessione tecnico-giuridica approfondita.
Sintesi delle novità introdotte dalle proposte
È bene, anzitutto, ricordare – anche per un migliore inquadramento del presente contributo – che il Regolamento Digital Omnibus – presentato dalla Commissione Europea nel novembre 2025 – si compone di due distinte proposte:
- COM(2025) 836 (Digital Omnibus on AI)[1]: un regolamento specifico che modifica il Regolamento (UE) 2024/1689 (AI Act) e il Regolamento (UE) 2018/1139 al fine di semplificare l’attuazione delle norme armonizzate sull’intelligenza artificiale, in particolare riducendo oneri amministrativi e chiarendo aspetti applicativi (implementazione, coordinamento competenze, registro di sistemi AI ecc.);
- COM(2025) 837 (Digital Omnibus)[2]: un regolamento più ampio di semplificazione digitale che propone modifiche a un ampio corpus di atti dell’acquis digitale europeo, tra cui il GDPR (Regolamento (UE) 2016/679), il Regolamento (UE) 2023/2854 (Data Act), direttive come l’ePrivacy, NIS 2, Cybersecurity Directive, oltre alla revisione di norme come Open Data Directive e altri strumenti per la governance dei dati.
Entrambe le proposte sono presentate come misure di “semplificazione”, “chiarimento” e “riduzione degli oneri” per cittadini e imprese, con l’obiettivo dichiarato di rafforzare la competitività dell’UE nel digitale e rendere più efficace l’applicazione dell’attuale quadro normativo.
Tabella di comparazione fra le proposte
Senza pretese di esaustività e nel tentativo di riportare una sintesi che sia il maggiormente esplicativa possibile, anche in rapporto alla complessità della materia e allo status di avanzamento dell’iter del Regolamento, si è optato per la scelta di una tabella di comparazione tra le due proposte che metta in rilievo i principali punti oggetto di modifica, nei termini che seguono:
| Proposta 836 AI ACT | Proposta 837 GDPR, e-Privacy, Data Act, NIS2, DORA, CER, eIDAS, DGA e Direttiva Open Data |
| SOSTEGNO A PMI E SMALL-MID-CAPS (SMC) Benefici: Deroghe al GDPR, quali ad esempio la non tenuta dei registri ex articolo 30, salvo vi sia un “rischio elevato”; Prospetti semplificati per offerte pubbliche di titoli; Accesso facilitato ai mercati di capitali. | GDPR Definizione di “dato personale” Le informazioni trattate non sarebbero dati personali qualora il titolare non disponesse non potesse ragionevolmente ottenere i mezzi per identificare l’interessato. Dati particolari Sarebbe possibile utilizzare dati particolari per lo sviluppo l’addestramento il testing e la valutazione di sistemi/modelli di AI qualora siano adottate misure idonee o misure di limitazione adeguate. Interesse legittimo Possibile utilizzo dell’interesse legittimo quale base per il trattamento di dati personali ai fini dell’addestramento del sistema di AI Data breach Si prevede la notifica solo qualora la violazione presenti un “rischio elevato” per gli interessati. La notifica avrebbe come nuovo termine 96 ore invece che 72. Decisioni automatizzate Con riferimento all’articolo 22 del GDPR, le decisioni che producono effetti giuridici potranno basarsi esclusivamente sul trattamento automatizzato qualora necessarie per la conclusione o l’esecuzione di un contratto; se autorizzate dal diritto dell’unione europea oppure dietro consenso esplicito dell’interessato. Dati biometrici Viene prevista una deroga al divieto di uso di tali dati qualora ci sia la necessità di confermare l’identità dell’interessato e dei dati, sempre che siano istituiti mezzi di verifica degli stessi e che questi siano sotto controllo esclusivo dell’interessato. Diritti degli interessati Si propone l’introduzione di limitazioni/restrizioni all’esercizio dei diritti degli interessati a fronte della dimostrazione che lo scopo della richiesta non si limiti alla semplice e mera protezione dei dati, ma si spinga oltre. Informativa L’obbligo di informativa verrebbe eliminato nei casi in cui vi siano motivi ragionevoli per ritenere che l’interessato sia già in possesso delle informazioni circa il trattamento. Eccezioni: trasmissione dei dati ad altri destinatari; Trasferimento extra UE dei dati; decisioni automatizzate o rischio elevato. |
| BIAS DETECTION AND MITIGATION Possibilità di utilizzare dati particolari per individuare e ridurre le discriminazioni dei sistemi di AI ad alto rischio | e-Privacy Si trasferiscono al GDPR le norme sulla conservazione e l’accesso ai dati personali delle apparecchiature terminali di una persona fisica, mediante introduzione di un nuovo articolo (88-bis) nel GDPR. |
| MECCANISMO DELLO “STOP THE CLOCK” Significherebbe posticipare di circa un anno la data di applicazione per allineare il diritto scritto agli strumenti tecnici disponibili quali ad esempio linee guida e standard | Data act Nel Data Act confluiranno le seguenti normative DGA, Direttiva Open Data, Regolamento 2018/1807 Tutela dei segreti commerciali Rafforzata la possibilità di negare la messa a disposizione di trade secrets se c’è rischio elevato che siano acquisiti o divulgate illecitamente tali informazioni in paesi terzi. business to government (B2G) L’accesso ai dati dovrebbe essere possibile solo per emergenze pubbliche (viene ristretto il concetto di “eccezionali necessità”). Cloud and Switching tra servizi di data processing Previsto un regime più leggero per i servizi di trattamento dati personalizzati o forniti da PMI/microimprese notifica obbligatoria (per fornitori di intermediazione dati) e registrazione volontaria (per altruismo dei dati) Divieti di localizzazione per i dati non personali Proposta di abrogare norme obsolete attualmente contenute nel Regolamento sulla libera circolazione dei dati non personali (2018/1807), ad eccezione del divieto di requisiti di localizzazione dei dati nell’UE da far confluire nel Data Act Smart contracts Viene alleggerito l’impianto relativo a tali contratti (già presente nel Data Act), riducendone gli obblighi. |
| AUTO-DECLASSIFICAZIONE E ACCOUNTABILITY DILUITA Possibilità di dichiarare unilateralmente un sistema di intelligenza artificiale ad alto rischio come a basso rischio. Questo comporterebbe il Venir meno dell’obbligo di registrazione nel database europeo | ENISA SINGLE-ENTRY POINT (o SEP) Le notifiche richieste dalla normativa (NIS2, GDPR, DORA, eIDAS) dovrebbero avvenire tramite un’unica piattaforma, creata ospitata e gestita da ENISA al fine di rispondere al meccanismo del “report once, share with all”. |
| AI LITERACY – ALFABETIZZAZIONE Viene proposto un passaggio da obbligo per i provider e i deployer a semplice “incoraggiamento” |
Dovrebbe apparire già evidente da questa prima, sintetica, rappresentazione, come le proposte avanzate impattino non solo a un livello meramente tecnico, ma piuttosto sotto un profilo sostanziale: questo emerge anche dalla discussione sul “Digital Omnibus” da parte del Trilogo, così come dell’EDPB (European Data Protection Board) e dell’EDPS (European Data Protection Supervisor).
Il timore più profondo, infatti, è che le modifiche ipotizzate incidano su concetti fondamentali, rischiando di toccare il cuore della/e normativa/e e facendo passare per “semplificazioni” quelle che in realtà virerebbero più su una riduzione a tutti gli effetti della tutela dei diritti e delle libertà degli interessati.
Fonti
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0837. ↑
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0836. ↑
