La proposta Omnibus digitale dell’UE rappresenta uno degli sviluppi normativi più rilevanti per le imprese che operano con dati, cybersicurezza e intelligenza artificiale. Pubblicato dalla Commissione europea nel novembre 2025, il pacchetto mira a semplificare alcune parti del quadro normativo digitale dell’UE e a ridurre gli oneri amministrativi non necessari per imprese, autorità pubbliche e cittadini.
La proposta non sostituisce il GDPR, la direttiva ePrivacy, la NIS2, il Data Act o l’AI Act. Né dovrebbe essere interpretata come una deregolamentazione generale del settore digitale. È più corretto considerarla una ricalibratura mirata degli obblighi esistenti. L’obiettivo dichiarato della Commissione è rendere la compliance meno frammentata e meno onerosa, preservando al contempo le finalità della regolamentazione digitale dell’UE.
Per le imprese, il messaggio principale è chiaro: l’Omnibus può introdurre maggiore flessibilità e ridurre alcune frizioni procedurali, ma non eliminerà la necessità di una solida governance in materia di privacy, cybersicurezza e intelligenza artificiale.
Che cos’è l’Omnibus digitale?
L’Omnibus digitale consiste in una serie di proposte di modifica di un ampio insieme di normative digitali dell’UE. Una proposta riguarda le norme in materia di protezione dei dati, privacy, regolazione dei dati e cybersicurezza. Una proposta separata riguarda invece l’AI Act ed è finalizzata a renderne l’attuazione più proporzionata e praticabile.
Questa distinzione è importante. L’Omnibus non rappresenta una riapertura complessiva del quadro digitale dell’UE. Interviene piuttosto su aree in cui le norme attuali generano sovrapposizioni, incertezza o costi di compliance sproporzionati. Ne sono esempi la segnalazione degli incidenti nell’ambito di più regimi normativi, la c.d. cookie fatigue, il trattamento giuridico dei dati pseudonimizzati, nonché le tempistiche degli obblighi relativi ai sistemi di IA ad alto rischio.
Il pacchetto è ancora soggetto alla procedura legislativa ordinaria e la sua formulazione definitiva potrà quindi cambiare. Tuttavia, esso fornisce già una chiara indicazione della direzione di marcia: minori duplicazioni e maggiore affidamento su una compliance basata sul rischio.
Privacy: flessibilità a determinate condizioni
Alcune delle modifiche proposte più significative riguardano il GDPR.
Una questione centrale è il concetto di dato personale, in particolare con riferimento ai dati pseudonimizzati. La proposta sembra orientarsi verso una valutazione più contestuale. In termini pratici, un dato può costituire dato personale per un’organizzazione, ma non necessariamente per un’altra, a seconda che tale organizzazione disponga di mezzi ragionevolmente idonei a identificare l’interessato.
Ciò può rilevare, ad esempio, quando una società riceve un dataset dal quale siano stati rimossi gli identificativi diretti e non disponga di mezzi realistici per reidentificare gli interessati. Può inoltre essere rilevante per attività di analisi, ricerca, condivisione dei dati e sviluppo di sistemi di IA.
Tuttavia, ciò non dovrebbe essere trattato come una semplice esenzione dall’applicazione del GDPR. I dati pseudonimizzati non saranno automaticamente esclusi dall’ambito della normativa in materia di protezione dei dati. Le organizzazioni dovranno comunque valutare e documentare il rischio di reidentificazione e il contesto concreto in cui i dati sono utilizzati.
La proposta è rilevante anche per lo sviluppo dell’IA. Attualmente, le imprese che si fondano sul legittimo interesse per utilizzare dati personali ai fini dello sviluppo o dell’addestramento dell’IA devono giustificare tale posizione sulla base del test generale previsto dal GDPR. L’Omnibus renderebbe questo aspetto più esplicito, introducendo una disposizione specifica che riconosce che lo sviluppo e il funzionamento di sistemi di IA o modelli di IA possono, in determinate circostanze, fondarsi sul legittimo interesse. Ciò non attribuirebbe alle imprese un’autorizzazione automatica a utilizzare dati personali per l’IA. Esse dovrebbero comunque dimostrare che l’uso dei dati è necessario, assistito da garanzie adeguate e non prevalso dai diritti, dalle libertà e dalle ragionevoli aspettative degli interessati.
Cookie e consenso: meno richieste inutili, scelte più chiare
L’Omnibus modificherebbe anche le regole relative ai cookie e a tecnologie analoghe. L’obiettivo è ridurre le richieste di consenso non necessarie, in particolare quando l’uso dei cookie è a basso rischio o tecnicamente necessario.
In pratica, il consenso continuerebbe a essere necessario per il tracciamento, la profilazione e la pubblicità online. Tuttavia, la proposta chiarirebbe che il consenso non è richiesto per alcune finalità limitate, quali mantenere sicuro un sito web, ricordare le preferenze dell’utente o effettuare misurazioni di base dell’audience.
Allo stesso tempo, ove il consenso sia richiesto, lo standard per ottenerlo resterebbe rigoroso. Gli utenti dovrebbero poter rifiutare con la stessa facilità con cui possono accettare e i siti web non dovrebbero chiedere ripetutamente il consenso allo stesso utente dopo che questi lo abbia già negato.
Per le imprese, le implicazioni sono duplici. Alcuni utilizzi dei cookie potrebbero diventare più facilmente giustificabili senza consenso, ma i banner cookie manipolativi o ripetitivi diverrebbero più difficili da difendere. Le società dovrebbero pertanto riesaminare non solo quali cookie utilizzano, ma anche il modo in cui le scelte sono presentate agli utenti.
Cybersicurezza: segnalazioni più semplici, non standard inferiori
In materia di cybersicurezza, l’Omnibus riguarda principalmente le duplicazioni nella segnalazione degli incidenti.
Oggi, un singolo incidente può far sorgere obblighi nell’ambito di diversi regimi. Un attacco ransomware può comportare una violazione dei dati personali ai sensi del GDPR, un incidente significativo ai sensi della NIS2, un incidente relativo alle TIC ai sensi del DORA e notifiche settoriali specifiche. Tali norme possono prevedere termini, autorità e soglie differenti.
La proposta mira a ridurre tale complessità attraverso un modello di segnalazione più coordinato. In termini generali, le organizzazioni potrebbero segnalare determinati incidenti attraverso un unico punto di ingresso, con successiva condivisione delle informazioni con le autorità competenti interessate. Ciò rappresenterebbe un miglioramento significativo per i team di risposta agli incidenti.
Tuttavia, una segnalazione più semplice non implica un’analisi giuridica più semplice. Le società dovranno comunque classificare correttamente l’incidente. Ad esempio, il medesimo evento potrebbe dover essere valutato sia come incidente di sicurezza sia come violazione dei dati personali.
La proposta potrebbe incidere anche sulla notifica delle violazioni ai sensi del GDPR, innalzando la soglia per la notifica alle autorità di controllo da “rischio” a “rischio elevato” ed estendendo il termine da 72 a 96 ore.
AI Act: più tempo, ma non una sospensione
Per quanto riguarda l’IA, l’Omnibus riguarda principalmente l’attuazione. La struttura dell’AI Act basata sul rischio rimane invariata. Le pratiche di IA vietate, gli obblighi di trasparenza, le regole per i modelli di IA per finalità generali e gli obblighi relativi ai sistemi di IA ad alto rischio non vengono abbandonati.
La modifica proposta più importante riguarda le tempistiche. La Commissione ha proposto di collegare l’applicazione di determinati obblighi relativi ai sistemi di IA ad alto rischio alla disponibilità di strumenti di supporto, tra cui norme armonizzate, specifiche comuni e orientamenti della Commissione.
Ciò rileva sia per i fornitori sia per gli utilizzatori di sistemi di IA ad alto rischio. Potrebbe concedere alle imprese più tempo per predisporre inventari dei sistemi di IA, classificare i sistemi, aggiornare i contratti, preparare la documentazione tecnica, valutare la supervisione umana e implementare il monitoraggio post-commercializzazione.
La proposta mira inoltre a rendere l’AI Act più proporzionato per le PMI e le piccole mid-cap, anche mediante la riduzione degli oneri amministrativi e misure di supporto quali gli spazi di sperimentazione normativa.
Cosa dovrebbero fare ora le imprese
Sebbene l’Omnibus sia ancora allo stadio di proposta, le società dovrebbero già valutarne il possibile impatto sulle proprie attività di compliance.
In primo luogo, le organizzazioni dovrebbero individuare i punti in cui gli obblighi in materia di privacy, cybersicurezza e IA si sovrappongono. Queste aree sono sempre più interconnesse e dovrebbero essere coordinate tra i team legali, di sicurezza e di prodotto.
In secondo luogo, le società dovrebbero riesaminare il modo in cui utilizzano dati pseudonimizzati, dati di addestramento per l’IA e dati appartenenti a categorie particolari. L’eventuale maggiore flessibilità sarà concretamente utile solo se accompagnata da garanzie adeguate, controlli sugli accessi e una motivazione interna debitamente documentata.
In terzo luogo, le procedure di risposta agli incidenti dovrebbero essere riviste. Anche qualora venga introdotto un canale unico di segnalazione, le società dovranno comunque stabilire quali regimi giuridici siano applicabili e per quali ragioni.
In quarto luogo, le imprese dovrebbero seguire gli sviluppi in materia di cookie e consenso. La proposta potrebbe introdurre regole più praticabili, ma potrebbe anche richiedere modifiche agli strumenti di gestione del consenso e alle interfacce dei siti web.
Infine, le attività di governance dell’IA dovrebbero proseguire senza interruzioni. L’eventuale tempo aggiuntivo previsto dall’Omnibus dovrebbe essere utilizzato per prepararsi adeguatamente, non per rinviare la compliance.
Conclusione
La proposta Omnibus digitale segna una nuova fase nella regolamentazione digitale dell’UE. Dopo diversi anni di espansione legislativa, l’attenzione si sta spostando verso semplificazione, coordinamento e attuazione.
Per le imprese, si tratta di un’evoluzione positiva, ma il probabile esito non sarà una minore regolamentazione, bensì una regolamentazione più coordinata. Per i team privacy, cybersicurezza e IA, l’Omnibus dovrebbe essere considerato un’opportunità per modernizzare i framework di compliance e collegare le funzioni interne di governance.
