Con il Digital Omnibus l’UE prova a semplificare GDPR, AI Act, NIS2 e Data Act per ridurre oneri e complessità. Ma il confronto resta aperto tra competitività e tutela dei diritti
Dal 2016 a oggi, l’Unione europea ha costruito uno dei quadri normativi digitali più ambiziosi al mondo. Al GDPR si sono aggiunti l’AI Act, la NIS2, il Data Act, il Data Governance Act, il Digital Services Act e il Digital Markets Act. Il risultato è un corpus frammentato: definizioni non allineate, obblighi duplicati, autorità che si sovrappongono e faticano a coordinarsi, imprese (soprattutto PMI) che annaspano tra adempimenti sovrapposti.
È in questo contesto che il 19 novembre 2025 la Commissione europea ha presentato il Digital Omnibus, in linea con la “Implementation and Simplification Agenda 2025” e con il rapporto Draghi sulla competitività. Il pacchetto si articola in due proposte.
La prima – COM (2025) 837 – interviene su dati, privacy e cybersecurity: modifica GDPR, Direttiva ePrivacy, NIS2 e Data Act, fondendo in un unico testo Data Governance Act, Open Data Directive e il Regolamento Free Flow of Non-Personal Data. La seconda – COM (2025) 836 – emenda l’AI Act per renderne più praticabile l’applicazione, soprattutto per le imprese più piccole. Fra le modifiche, una delle più dibattute riguarda la ridefinizione di “dato personale” dell’art. 4 del GDPR. La proposta introduce un approccio soggettivo e relativo: le informazioni riferibili a una persona fisica non sono dati personali per un’entità priva dei mezzi idonei a identificarla. Se un’organizzazione non può identificare il soggetto, quei dati escono dal perimetro del GDPR. Un cambio già delineato dalla Corte di Giustizia UE (causa C-413/23 P), che i sostenitori leggono come razionalizzazione e i critici come apertura all’elusione della normativa.
Sul fronte dei data breach, proposti tre cambiamenti all’articolo 33 GDPR. Il primo: la soglia di notifica alle autorità sale ai soli casi di alto rischio per i diritti degli interessati, allineandola alla soglia già prevista per la comunicazione agli interessati. Secondo: il termine si estende da 72 a 96 ore. Terzo: nasce un punto unico europeo per le segnalazioni, gestito da ENISA secondo il principio “report once, share many”. Con un’unica notifica, le imprese assolveranno agli obblighi di GDPR, NIS2, DORA ed eIDAS 2.0. In materia di cookie, la Direttiva ePrivacy viene modificata riducendo i casi in cui i siti web devono richiedere il consenso: statistiche aggregate di traffico e verifiche tecniche di sicurezza ne sarebbero esentate. L’obiettivo è ridurre la proliferazione di banner che hanno trasformato il consenso in rituale burocratico. Il rischio è che la deroga per “finalità di sicurezza” si presti a interpretazioni estensive, aprendo la porta a profilazioni non presidiate.
Per la NIS2 l’intervento è esclusivamente procedurale: soggetti, obblighi e soglie restano invariati. Le entità essenziali e importanti notificheranno gli incidenti come oggi, ma tramite il portale unico ENISA, che inoltrerà le segnalazioni alle autorità nazionali competenti. Un meccanismo di routing puro, che ne rende probabile l’approvazione in sede parlamentare.
Sull’AI Act, il pacchetto collega l’applicazione delle regole sui sistemi ad alto rischio alla disponibilità degli standard tecnici. Viene introdotta la categoria “small mid-cap” con semplificazioni analoghe a quelle per le PMI. La disposizione più criticata consente l’auto-classificazione da alto a basso rischio senza notifica ad alcuna autorità, eliminando la registrazione nel database europeo: per i critici, un indebolimento della trasparenza come contrappeso all’auto-valutazione.
Il Digital Omnibus è ancora una proposta. Le due bozze seguiranno la procedura ordinaria, con emendamenti attesi al Parlamento europeo e al Consiglio. La direzione è comunque delineata: l’Europa vuole regole digitali che siano anche strumenti di competitività. La sfida è farlo senza sacrificare i diritti fondamentali che ne hanno fatto un modello globale.
Filippo Bianchini avvocato e componente del Comitato Scientifico CLUSIT
