Digital Omnibus: cosa potrà cambiare per la governance digitale europea

Notizie

DIGITAL OMNIBUS: COSA POTRA’ CAMBIARE PER LA GOVERNANCE DIGITALE EUROPEA

Un nuovo quadro di riferimento per DPO, titolari del trattamento e imprese europee:
per quanto riguarda l’Italia, l’approvazione del documento, è prevista per il 2027, e porterà a una revisione del sistema delle autorità competenti (AGCOM, Garante Privacy, ACN) per evitare possibili sovrapposizioni tra Enti e settori.

Il Digital Omnibus Package, atteso tra la fine del 2025 e il 2026, rappresenta il più vasto intervento di revisione del diritto digitale europeo dall’introduzione del GDPR. Non si tratta di una riforma marginale, ma di un progetto destinato a ridisegnare l’intero ecosistema normativo che regola dati personali, cybersecurity, tecnologie emergenti, identità digitale e servizi digitali.
Le modifiche, pur non riscrivendo integralmente il GDPR, toccano norme chiave e introducono un modello più integrato tra GDPR, AI Act, Data Act, Data Governance Act, NIS2, ePrivacy ed EIDAS 2, con l’obiettivo dichiarato di semplificare — ma con un rischio concreto di riduzione delle garanzie in materia di diritti fondamentali.

Per chi opera come DPO, titolare del trattamento o responsabile, si apre una fase in cui la compliance non potrà più essere affrontata per silos (privacy, sicurezza, IA), ma richiederà un approccio unico, convergente e coordinato.

Un contesto istituzionale che cambia: governance e ruolo delle Autorità

Il Digital Omnibus parte da una constatazione: il quadro regolatorio europeo si è frammentato. GDPR, AI Act, NIS2 e Data Act spesso richiedono obblighi sovrapposti o duplicati. Da qui nasce l’idea di una piattaforma normativa semplificata, un corpo unico digitale che riduca gli oneri per le imprese e renda più fluido il coordinamento tra Stati membri.

Per questo:

si rafforza la necessità di un Garante Privacy pienamente operativo e tecnicamente competente, capace di dialogare con ACN, ENISA, EDPB e le istituzioni europee;
si discute di un modello di governance unificato Privacy + IA, tema di crescente interesse in Italia e in vari Stati UE;
si introduce un single-entry point per notifiche e incidenti, che potrebbe essere gestito dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Per le aziende ciò significa un cambiamento profondo: i rapporti con le Autorità potrebbero cambiare radicalmente, con tempi più certi ma processi più centralizzati.

Le modifiche al GDPR: meno formalismi, più rischio di riduzione delle tutele

Il Digital Omnibus non sostituisce il GDPR, ma interviene chirurgicamente sui suoi articoli più sensibili. Alcune novità comportano semplificazioni per i titolari, altre rischiano di indebolire la protezione dei dati.

2.1. Articolo 4 – Definizioni

L’identificabilità diventa soggettiva: un dato è personale solo se l’organizzazione può ragionevolmente identificare una persona.
– Effetto pratico: si riduce l’ambito di applicazione del GDPR.

– Rischio: trattamenti oggi considerati personali potrebbero uscire dal perimetro del Regolamento.

2.2. Articolo 9 – Dati particolari

La tutela vale solo per i dati che rivelano direttamente informazioni sensibili.
Sono esclusi i dati che permettono deduzioni (es. inferenze algoritmiche).
Inoltre si introduce una deroga per l’uso di dati particolari nel training AI se la loro rimozione è “sproporzionata”.

– Effetto: apertura significativa all’impiego di dati sensibili per l’AI, con impatto enorme per chi sviluppa e utilizza modelli generativi.

2.3. Articolo 12 – Esercizio dei diritti

Il diritto di accesso può essere limitato quando “abusivo”.

– Rischio: spazio interpretativo molto ampio per i titolari.

2.4. Articolo 13 – Informativa

L’informativa completa non è più obbligatoria per rapporti “chiari e circoscritti”.
– Conseguenza: possibile riduzione della trasparenza verso gli interessati.

2.5. Articolo 22 – Decisioni automatizzate

È la modifica più radicale.
Le decisioni automatizzate saranno consentite anche quando un umano avrebbe potuto fare la stessa scelta, purché:

la decisione sia “equivalente”;
l’interessato sia adeguatamente informato;
il processo sia conforme all’AI Act.

L’intervento umano diventa opzionale se il sistema è un’AI conforme e sottoposta ad audit.

– Effetto: si apre la porta all’uso massivo di algoritmi in settori sensibili (assicurazioni, finanza, risorse umane, sanità).

2.6. Articolo 33 – Data Breach

Notifica solo in caso di alto rischio (non più solo rischio).
96 ore → al posto delle attuali 72.
Possibile centralizzazione via ACN.

– Effetto: meno notifiche, ma più rischi per trasparenza e diritti.

2.7. Articolo 35 – DPIA

Le liste di trattamenti a rischio non saranno più nazionali ma europee.
– Conseguenza: meno margine di autonomia per il Garante, maggiore uniformità UE.

2.8. Art. 88a – Nuove regole per dispositivi e cookie

Trasferimento della disciplina ePrivacy dentro il GDPR.
Prevede:

nuove eccezioni al consenso,
possibilità di marketing basato su legittimo interesse,
standard deboli contro i dark pattern,
forte ampliamento dei trattamenti ammessi “on or from devices”.

– Rischio: potenziale riduzione della protezione dei terminali e ampliamento dei tracciamenti.

AI Act: allineamento, eccezioni e nuovi margini per l’uso dei dati

Il Digital Omnibus aggiorna anche la relazione tra GDPR e AI Act, con tre effetti principali:

Semplificazioni per PMI e mid-cap nella gestione dei requisiti AI ad alto rischio.
Maggiore integrazione tra DPIA e valutazioni richieste dall’AI Act.
Possibilità di utilizzare dati sensibili nel training dei modelli quando la loro esclusione è “sproporzionata”.

Per i titolari questo comporta:

obbligo di cooperazione privacy–AI;
necessità di rivedere le policy di addestramento;
alfabetizzazione AI del personale (AI literacy);
nuovi obblighi di audit e monitoraggio.

NIS2, cybersecurity e single-entry point

Il pacchetto prevede:

un unico canale nazionale per notifiche di incidenti,
modelli uniformi UE di segnalazione,
maggiore integrazione tra sicurezza informatica e protezione dati.

– Per i DPO: la gestione dei data breach diventa parte di un quadro più ampio che include incidenti cyber, AI e continuità operativa.

EIDAS 2 e identità digitale europea

Il Digital Omnibus armonizza EIDAS con GDPR e AI Act introducendo:

il Digital Identity Wallet europeo,
identità digitale anche per le imprese (deleghe, sigilli, firme),
un’architettura unica di fiducia.

– Vantaggio: meno costi, meno ridondanze.
– Rischio: maggiore concentrazione dei dati e potenziale impatto sulla sicurezza.

Cosa devono fare da subito DPO e Titolari

Il Digital Omnibus non è ancora legge, ma chi opera nella compliance deve muoversi subito.
Ecco i punti strategici:

✔ Rivedere registri dei trattamenti e basi giuridiche

Il nuovo art. 4 impone una rivalutazione dell’identificabilità.

✔ Preparare DPIA e AI risk assessment integrati

Il confine tra GDPR e AI Act diventerà sempre più poroso.

✔ Adeguare policy su decisioni automatizzate e profilazione

Il nuovo art. 22 cambierà radicalmente i flussi decisionali automatizzati.

✔ Rafforzare le misure di sicurezza

Con il single-entry point e la convergenza con NIS2, la sicurezza diventa ancora più centrale.

✔ Aggiornare informative e cookie policy

L’art. 88a modificherà radicalmente il quadro ePrivacy.

✔ Prepararsi agli audit AI e ai codici di condotta

I sistemi di IA saranno sempre più sotto controllo regolatorio.

IN SINTESI

Il decreto europeo Digital Omnibus è una proposta legislativa presentata dalla Commissione Europea il 19 novembre 2025, con l’obiettivo di semplificare e armonizzare i principali regolamenti digitali dell’UE, tra cui GDPR, AI Act, Digital Services Act (DSA), Digital Markets Act (DMA), Data Act e direttiva ePrivacy. Il pacchetto intende ridurre la burocrazia e il carico amministrativo per le imprese — in particolare le PMI — razionalizzando procedure e adempimenti digitali.

TEMPISTICHE PREVISTE

Attualmente la proposta è allo stadio di bozza preliminare e avviata la consultazione pubblica nel quarto trimestre 2025.
Il percorso legislativo prevede l’adozione formale della proposta nel 2026, seguita dalla negoziazione in Consiglio e Parlamento europeo.

Secondo le fonti, è probabile che il Digital Omnibus venga approvato definitivamente intorno alla metà del 2027, con entrata in vigore e applicazione pratica dal 2028 in parallelo con la piena efficacia dell’AI Act.

CONCLUDENDO

Al momento, il Digital Omnibus non è ancora legge: la sua entrata in vigore è prevista orientativamente tra il 2027 (approvazione) e il 2028 (applicazione pratica), fatto salvo ulteriori rinvii nel processo istituzionale.

Il Digital Omnibus non è una semplice riforma, ma un nuovo capitolo della regolamentazione digitale europea.
Per imprese, enti pubblici, titolari e DPO rappresenta una sfida ma anche un’opportunità: passare da una compliance formale a una governance del rischio digitale realmente integrata.

Prevedere, comprendere e prepararsi ora è il miglior modo per evitare di arrivare impreparati quando il nuovo quadro entrerà pienamente in vigore.

ai act Data Act Data Governance Act digital omnibus eprivacy gdpr nis2

Altri Articoli

FRIA e AI Act: dalla compliance formale alla responsabilità sostanziale

AI in azienda? Meglio documentarne l’utilizzo

PIMS studi professionali: dalla compliance alla governance della privacy

Padova IT – 35129

Via della Navigazione Interna, 51 padova(AT)kairo.srl REA PD-464257

Attestazione Professionale ASSODPO
Data Protection Officer no.DPO100574

Milano IT – 20024

S.Maria Rossa di Garbagnate milano(AT)kairo.srl REA MI-2629185