Digital Omnibus: semplificazione normativa o erosione dei diritti fondamentali?

Il Digital Omnibus costituisce una serie di interventi normativi che la Commissione europea ha presentato nel novembre 2025 con l’obiettivo di rendere più competitivo il mercato digitale europeo. Le modifiche proposte non rappresentano interventi neutri di razionalizzazione tecnica, ma scelte che alterano l’equilibrio tra protezione dei diritti individuali e libertà operativa delle imprese. Il parere congiunto dell’EDPB e dell’EDPS, insieme alle critiche della dottrina, segnalano infatti che alcune misure rischiano di erodere le garanzie sostanziali a disposizione degli utenti europei, pur riconoscendo l’utilità di alcune semplificazioni. Sullo sfondo rimane aperto il dibattito relativo al fatto che il ritardo competitivo dell’Europa in campo tecnologico dipenda dall’eccesso di regolazione o da fattori strutturali, che il Digital Omnibus in definitiva non affronta.

Il 19 novembre 2025 la Commissione europea ha pubblicato due proposte di regolamento nell’ambito del pacchetto Digital Omnibus, con l’obiettivo di rendere il quadro digitale più chiaro, coerente ed efficace, riducendo i costi di compliance per le imprese (Per una riflessione a prima lettura sul Digital Omnibus, B. Carotti, “Orizzonti”, gli Editoriali dell’OSD – Numero 18, novembre 2025 – Contro il Digital Omnibus). Il pacchetto Omnibus risponde agli obiettivi del Rapporto Draghi del 2024 di colmare il divario tecnologico con gli Stati Uniti e la Cina attraverso il rafforzamento della competitività europea (B. Lanzarotto, The Data Omnibus: The Good, the Bad, and The Ugly Behind the DGA and Data Act Rewrite).

La proposta di Regolamento COM(2025)837 («Digital Omnibus») prevede che, sul versante dei dati, il Data Governance Act, l’Open Data Directive e il Regolamento sul libero flusso dei dati non personali vengano assorbiti nel Data Act, ora riorganizzato in un unico testo consolidato. Il GDPR viene invece interessato da alcune modifiche di particolare rilievo: si introduce una nuova definizione di «dato personale», viene chiarito espressamente che lo sviluppo e il miglioramento dei sistemi di IA possono sottendere un legittimo interesse, vengono previste nuove eccezioni per dati biometrici e categorie speciali, viene inoltre modificato il regime dei data breach e dispone che le valutazioni di impatto della protezione dei dati vengano predisposte dal Comitato europeo per la protezione dei dati e adottate dalla Commissione come liste uniche e vincolanti per tutta l’Unione. Sul tema dei cookies e del tracciamento, le regole ePrivacy vengono trasferite nel GDPR, introducendo un quadro giuridico per i segnali di consenso automatici e machine-readable. Viene inoltre istituito un Single-Entry Point per la notifica degli incidenti, gestito dall’ENISA e basato sul principio «report once, share many», che elimina le duplicazioni oggi esistenti tra NIS 2, GDPR, DORA, eIDAS e CER. Infine, il Regolamento P2B viene abrogato integralmente, ritenuto ormai superato dall’entrata in vigore del DSA e del DMA.

La Commissione ha introdotto un rilevante chiarimento interpretativo in ordine alla nozione di dato personale, spostando il fulcro della valutazione dall’oggettività dell’informazione alla soggettività del titolare del trattamento: un’informazione non è qualificabile come dato personale per un determinato titolare qualora quest’ultimo non disponga, né possa ragionevolmente acquisire, i mezzi tecnici o organizzativi idonei all’identificazione dell’interessato. Ne discende un paradigma valutativo di tipo contestuale, in forza del quale il medesimo dato può essere qualificato come personale in capo a un operatore dotato di adeguate capacità identificative e come anonimo nei confronti di un soggetto privo di tali mezzi. Ad esempio, un identificativo numerico privo di riferimenti diretti alla persona fisica potrà essere qualificato come dato personale in capo a un titolare – una grande piattaforma – che disponga di un sistema di mappatura idoneo a ricondurlo a un soggetto determinato, mentre rimarrà anonimo per un operatore – una piccola azienda – che riceva il medesimo identificativo in assenza di qualsiasi strumento di decodifica.

La proposta di fondare il trattamento dei dati personali per finalità di addestramento di sistemi di IA sul legittimo interesse ex art. 6, par. 1, lett. f), GDPR solleva le criticità strutturali di un istituto già controverso nella sua configurazione originaria, in quanto la sua applicazione richiede un giudizio di bilanciamento che, per sua natura, si presta a valutazioni discrezionali: estenderlo a trattamenti massivi e su larga scala funzionali all’addestramento di modelli di IA accentua tali complessità, poiché l’opacità e l’irreversibilità delle operazioni algoritmiche rendono il test di bilanciamento uno strumento di tutela scarsamente effettivo (Gruppo di lavoro Articolo 29 per la protezione dei dati, parere 844/14/IT WP 217).

La seconda proposta, COM/2025/836 («Digital Omnibus on AI»), costituisce invece un intervento dedicato all’AI Act, con l’obiettivo di semplificarne l’applicazione senza alterarne la struttura di fondo. Per le PMI e le small mid-cap companies (SMCs) viene prevista una documentazione tecnica semplificata con requisiti proporzionati. In materia di AI literacy, l’obbligo generale per provider e deployer di assicurare programmi di formazione uniformi è sostituito da un obbligo, in capo alla Commissione e agli Stati membri, di promuovere iniziative non vincolanti volte a garantire un adeguato livello di competenze e consapevolezza tecnica. Un nuovo articolo 4a dell’AI Act consente il trattamento di quantità limitate di categorie particolari di dati ai fini della rilevazione, prevenzione e mitigazione dei bias nei sistemi di IA. Viene inoltre eliminato l’obbligo di registrazione nella banca dati europea per i sistemi potenzialmente ad alto rischio, mentre la competenza dell’AI Office viene rafforzata per i sistemi basati su modelli general-purpose. A partire dal 2028, l’AI Office potrà istituire un sandbox AI a livello UE per sperimentazioni transfrontaliere. Gli obblighi per i sistemi ad alto rischio, infine, scatteranno solo previa conferma della disponibilità di standard armonizzati, con longstop dates fissate tra fine 2027 e metà 2028.

L’11 febbraio 2026 il Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) e il Garante europeo della protezione dei dati (European Data Protection Supervisor – EDPS) hanno adottato un parere congiunto sul Digital Omnibus. L’analisi ha evidenziato numerose aree in cui le modifiche proposte alla regolazione digitale europea si intersecano con le garanzie fondamentali in materia di protezione dei dati e richiedono quindi particolare attenzione da parte del legislatore europeo.

Le autorità di vigilanza hanno sottolineato, in primo luogo, la necessità di garanzie rigorose ogni qualvolta si consenta l’uso di dati di categoria speciale – anche quando ciò avvenga per legittime finalità di mitigazione dei bias – e hanno precisato che qualsiasi riduzione degli oneri amministrativi deve in ogni caso preservare i meccanismi di tracciabilità e responsabilità che sono alla base dell’approccio fondato sul rischio dell’AI Act. Se i sandbox regolatori transfrontalieri possono effettivamente favorire l’innovazione, questi devono tuttavia operare entro un quadro di governance chiaro, capace di garantire standard uniformi di protezione dei dati tra gli Stati membri: le autorità chiedono a tal proposito garanzie rafforzate di indipendenza, trasparenza e coordinamento tra l’AI Office e le autorità di protezione dei dati, poiché un’applicazione efficace esige una cooperazione strutturata, tempestiva e reciproca tra gli organismi per i diritti fondamentali e le autorità di vigilanza del mercato. Le autorità accolgono favorevolmente l’accento posto dalla Commissione sulla AI literacy – pur sottolineando che la sensibilizzazione non può in alcun modo attenuare le responsabilità di fornitori e utilizzatori – e aggiungono che qualsiasi accelerazione o semplificazione delle scadenze per l’attuazione delle norme dedicate ai sistemi ad alto rischio deve restare pienamente compatibile con le misure tecniche e organizzative necessarie a garantirne un’implementazione sicura. Nel complesso, tali osservazioni convergono nell’affermare che la semplificazione normativa in campo digitale è possibile, ma solo se preserva le garanzie sostanziali al cuore della tutela dei diritti fondamentali dell’UE (su AI Act e tutela dei diritti fondamentali degli utenti, B. Scialla, Alla ricerca di un equilibrio tra standard tecnici e diritti fondamentali nel quadro dell’A.I. Act). Il Parere congiunto si posiziona quindi non contro il Digital Omnibus, bensì come salvaguardia volta a garantire che il perseguimento dell’efficienza non eroda gli impegni normativi incorporati nell’AI Act (per comprendere la posizione delle autorità rispetto alla regolazione digitale espressa anche in ulteriori pareri, G. Fantoni, Intelligenza Artificiale e Protezione dei Dati: l’EDPB Fa Chiarezza sui Rischi per la Privacy).

Mentre l’EDPB e l’EDPS accolgono favorevolmente le parti della proposta che possono favorire una maggiore armonizzazione – come quelle relative alla ricerca scientifica, la nuova eccezione per il trattamento di dati biometrici a fini di autenticazione, e le modifiche relative alle notifiche di violazione dei dati e alle valutazioni d’impatto sulla protezione dei dati – vi sono altre sezioni della proposta che destano preoccupazione in termini di incidenza negativa sul livello di protezione degli individui, di creazione di incertezza giuridica e di difficoltà applicative. Le modifiche proposte alla definizione di dato personale potrebbero infatti restringere il concetto di dato personale e incidere negativamente sul diritto fondamentale alla protezione dei dati. L’EDPB e l’EDPS ritengono inoltre che la definizione di ciò che non costituisce più dato personale dopo la pseudonimizzazione incida direttamente sull’ambito di applicazione del diritto europeo della protezione dei dati e non debba essere affrontata tramite un atto di esecuzione. Vi sono altri temi su cui i due organismi condividono gli obiettivi della proposta, ma ritengono necessari miglioramenti, tra cui l’uso del legittimo interesse, un’eccezione per il trattamento incidentale e residuale di categorie speciali di dati, le limitazioni al diritto di accesso, una nuova deroga agli obblighi di trasparenza, le decisioni individuali automatizzate.

Le perplessità espresse dall’EDPB e dall’EDPS sono condivise anche da parte della letteratura giuridica, secondo cui le proposte della Commissione rischiano di distogliere l’Unione dal suo modello distintivo di regolazione digitale fondato sui diritti in favore di un approccio più permissivo e orientato agli interessi dell’industria, avvicinandola al modello statunitense (G. Malgieri, The Digital Omnibus is a risk for our digital rights). A rafforzare tale complessiva lettura critica vi è la circostanza, segnalata dalla società civile europea, che il pacchetto di riforma non sia stato accompagnato da una valutazione d’impatto sui diritti fondamentali né da dati che dimostrino come la normativa vigente ostacoli le attività delle società attive nel settore digitale, principalmente statunitensi (I. Domínguez de Olazábal, The EU’s Digital Omnibus Must Be Rejected by Lawmakers. Here is).

Sul fronte GDPR, le criticità si articolano su più livelli tra loro connessi. I meccanismi legati alla nuova definizione di «dato personale» aprirebbero pericolose falle interpretative, consentendo che uno stesso dataset sia qualificato come dato personale per un soggetto e come dato non personale per un altro, con evidenti rischi di frammentazione della tutela giuridica prestata agli utenti. A ciò si aggiunge l’espansione delle decisioni automatizzate in ambiti contrattuali, che comporterebbe una riduzione della supervisione umana in settori cruciali come quello bancario, assicurativo, lavorativo e dell’istruzione, proprio negli ambiti in cui le ricadute individuali di beni e servizi digitali sono più rilevanti. La centralizzazione a livello UE degli elenchi per le valutazioni d’impatto sulla protezione dei dati rischia a sua volta di trasformare tali valutazioni in meri adempimenti formali, incapaci di adattarsi con la necessaria agilità alle pratiche emergenti. L’introduzione di un «legittimo interesse» specifico per lo sviluppo dell’intelligenza artificiale aggrava ulteriormente il quadro, poiché aggira il bilanciamento caso per caso previsto dall’articolo 6 del GDPR e apre la porta a un uso massiccio di dati personali – compresi quelli sensibili – per l’addestramento dei modelli algoritmici.

Sul versante dell’AI Act, le preoccupazioni non sono meno significative. Il ritardo nell’applicazione delle tutele per i sistemi ad alto rischio lascerebbe numerosi sistemi già operativi, soprattutto nel settore pubblico, privi delle tutele previste dal Capitolo III per molti anni ancora, vanificando in larga misura le ambizioni del Regolamento stesso. Il declassamento dell’obbligo di AI literacy da dovere giuridico diretto a mera iniziativa promozionale indebolisce di fatto i requisiti di supervisione umana che costituiscono uno dei pilastri dell’impianto regolatorio. L’espansione del trattamento di dati sensibili per finalità di de-biasing, pur potendo in astratto favorire la lotta alla discriminazione, normalizza trattamenti altamente intrusivi su categorie particolarmente delicate – quali dati relativi alla salute, all’etnia, all’orientamento sessuale e alla religione – e deve pertanto essere sottoposta a condizioni rigorose e a un controllo particolarmente stringente. Infine, la riduzione della trasparenza per i sistemi «declassati» dall’alto rischio, che non sarebbero più registrati nella banca dati europea, renderebbe il controllo esterno da parte di giornalisti, ricercatori e società civile considerevolmente più difficile, con un effetto complessivo di opacità scarsamente compatibile con i principi fondamentali su cui si fonda l’ordinamento europeo.

Alcune opinioni riconoscono la ragionevolezza di talune revisioni proposte nell’ambito del Digital Omnibus – come il consolidamento delle normative sui dati, la semplificazione degli obblighi per le piccole e medie imprese, la centralizzazione della supervisione in materia di intelligenza artificiale – pur sottolineando che il loro impatto economico effettivo sarà verosimilmente modesto (B. Liebhaberg, Simplification or sovereignty: Europe risks Losing Sight of its Priorities). Desta inoltre preoccupazione il rischio di un’erosione della fiducia nel quadro regolatorio digitale europeo, che costituisce al contrario uno dei principali asset competitivi del continente sul piano internazionale.

Il conseguimento della sovranità digitale richiederebbe condizioni strutturali ben più profonde dell’attuale proposta di semplificazione normativa, come l’ampio accesso a capitali di rischio, politiche industriali dotate di autentico orientamento strategico, un mercato unico effettivamente privo di barriere che consenta alle imprese europee di raggiungere rapidamente scala competitiva, prezzi energetici sostenibili e interventi regolatori orientati all’innovazione. Il ritardo europeo nelle grandi sfide tecnologiche globali non sarebbe totalmente imputabile alla complessità del quadro regolatorio, ma è il riflesso di investimenti insufficienti e di un deficit di coordinamento tra gli Stati membri.

Sul piano tecnologico, appare discutibile costruire la strategia europea attorno ai modelli linguistici di grandi dimensioni, poiché, secondo alcune prospettive di ricerca, vi è ragione di ritenere che la prossima transizione verso sistemi di intelligenza artificiale di livello umano passerà attraverso architetture cognitive nelle quali la realtà europea occupa già posizioni di avanguardia, ma è un vantaggio che rischia di disperdersi in assenza di investimenti pubblici sufficientemente ambiziosi. La valutazione complessiva offerta dagli interpreti è unanime: il Digital Omnibus attenua alcune frizioni operative derivanti dal quadro giuridico europeo, ma non affronta i nodi strutturali che condizionano in modo determinante il futuro digitale dell’Unione, indebolendone il progetto di sovranità digitale e finendo per favorire, in ultima istanza, le grandi piattaforme tecnologiche statunitensi (J.I. Torreblanca, Thrown under the omnibus: How the EU’s digital deregulation fuels US coercion).

Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0