Digital omnibus nel 2026: la rivoluzione silenziosa del diritto digitale europeo

Il 19 novembre 2025 la Commissione europea ha pubblicato le due proposte di regolamento note come Digital Omnibus — COM (2025) 837 final (2025/0360 COD) e COM (2025) 836 final (2025/0359 COD) — dando avvio a quello che la stessa Commissione definisce il primo passo di una “manutenzione straordinaria” dell’intero sistema giuridico digitale europeo.
Chi legge queste pagine come mero intervento di semplificazione amministrativa commette un errore di prospettiva. Il Digital Omnibus è, nella sua sostanza, un atto di riformulazione paradigmatica del rapporto tra diritti fondamentali, innovazione tecnologica e competitività del mercato unico. Comprenderne la portata richiede un’analisi tecnico-giuridica che vada oltre i titoli delle modifiche e si confronti con le tensioni strutturali che la proposta introduce nell’ordinamento europeo. In materia consigliamo i volumi NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e “La legge Italiana sull’Intelligenza Artificiale – Commento alla Legge 23 settembre 2025, n. 132″, disponibile su Shop Maggioli e su Amazon, e, per la formazione del professionista, il corso Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati.

1. Il contesto sistematico: dalla stratificazione normativa all’overload regolatorio

Per apprezzare la ratio del Digital Omnibus è necessario ricostruire il contesto da cui muove. Dal 2016 a oggi il legislatore europeo ha prodotto, con ritmo accelerato, una serie di regolamenti e direttive che insistono sullo stesso oggetto — il dato digitale e i sistemi che lo elaborano — senza un disegno coordinato: GDPR (Reg. 2016/679), ePrivacy (Dir. 2002/58/CE), NIS2 (Dir. 2022/2555), Data Governance Act (Reg. 2022/868), Data Act (Reg. 2023/2854), AI Act (Reg. 2024/1689), DSA, DMA.
Ciascun atto ha introdotto definizioni proprie, obblighi procedurali distinti, autorità competenti diverse.
Il risultato è quello che la stessa proposta definisce senza eufemismi: frammentazione, duplicazioni e complessità amministrativa. Le criticità principali sono tre. In primo luogo, disallineamenti terminologici profondi: la nozione di “dato personale” nel GDPR non si sovrappone perfettamente a quella di “dati” nel Data Act; le definizioni di “sistema di AI” nell’AI Act divergono dalle categorie del GDPR. In secondo luogo, duplicazioni procedurali: un’impresa soggetta contemporaneamente a GDPR, NIS2 e DORA deve oggi notificare lo stesso data breach a più autorità, con termini e formati diversi. In terzo luogo, regole temporalmente stratificate: alcune disposizioni del Data Governance Act risultano già superate dall’entrata in vigore del Data Act.
Su questo sfondo si innesta la spinta politica proveniente dai rapporti Letta e Draghi del 2024, che hanno identificato nell’overload regolatorio uno dei fattori strutturali del deficit di competitività europeo rispetto agli ecosistemi digitali nordamericano e cinese. In materia consigliamo i volumi NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon, e “La legge Italiana sull’Intelligenza Artificiale – Commento alla Legge 23 settembre 2025, n. 132″, disponibile su Shop Maggioli e su Amazon.

2. La struttura del pacchetto: due proposte, un disegno unitario

Il Digital Omnibus si articola in due distinte proposte di regolamento, accomunate da finalità e filosofia.
La prima proposta — COM (2025) 837 — è il cuore del pacchetto. Interviene su un insieme ampio di fonti primarie: modifica il GDPR (Reg. 2016/679), il Regolamento 2018/1725 (normativa privacy per le istituzioni UE), il Data Act (Reg. 2023/2854, profondamente riassettato attraverso la fusione con le disposizioni del Data Governance Act e della Direttiva Open Data), la Direttiva ePrivacy e la NIS2. Contestualmente, abroga il Regolamento 2019/1150 (P2B Regulation, reso ridondante dal DSA), il Regolamento 2018/1807 sulla libera circolazione dei dati non personali e il Regolamento 2022/868 (Data Governance Act), le cui disposizioni confluiscono nel Data Act ristrutturato.
La seconda proposta — COM (2025) 836, il cosiddetto Digital Omnibus on AI — apporta modifiche mirate all’AI Act (Reg. 2024/1689), a poco più di un anno dalla sua formale entrata in vigore. Entrambe seguono la procedura legislativa ordinaria di codecisione e potranno essere modificate — anche sostanzialmente — durante i negoziati interistituzionali.

3. Le modifiche al GDPR: analisi delle disposizioni più critiche

È sull’impianto del GDPR che il Digital Omnibus produce le innovazioni tecnicamente più rilevanti e, per certi versi, più controverse.

3.1. Art. 9 GDPR — La ridefinizione delle categorie particolari di dati
La proposta circoscrive l’ambito applicativo dell’art. 9 ai soli dati che rivelano direttamente caratteristiche sensibili dell’interessato. Ne resterebbero esclusi i dati da cui tali caratteristiche possano essere dedotte o inferi­te attraverso correlazioni statistiche o modelli predittivi.
La ratio dichiarata è ridurre l’incertezza applicativa. La criticità reale è ben diversa: in un ecosistema fondato su algoritmi di profilazione e machine learning, la soglia tra dato “diretto” e dato “inferenziale” è strutturalmente labile. Dati di navigazione, cronologie di consumo, pattern di geolocalizzazione possono ricostruire con elevata precisione orientamento politico, condizione di salute, appartenenza religiosa. La modifica rischia di sottrarre al regime rafforzato di tutela proprio le categorie di dati che, nell’era dell’IA, costituiscono le più potenti leve di profilazione.
Sul piano della compliance, questa modifica impone una rivisitazione profonda dei registri di trattamento e delle DPIA: le valutazioni di rischio dovranno confrontarsi con il perimetro effettivo del nuovo art. 9, chiarendosi se le elaborazioni inferenziali ricadano nell’ambito degli artt. 5 e 6 o conservino una tutela residuale.

3.2. Art. 12 GDPR — La gestione dei diritti degli interessati
La proposta modifica l’art. 12 consentendo ai titolari di rifiutare o subordinare a corrispettivo l’evasione delle istanze degli interessati quando queste siano manifestamente infondate, ripetitive o perseguano finalità estranee alla protezione dei dati. La misura intende contrastare l’uso strumentale degli strumenti di accesso — fenomeno reale, particolarmente diffuso nel contenzioso strategico — ma introduce una discrezionalità valutativa in capo al titolare che dovrà essere presidiata da criteri interpretativi stringenti da parte dell’EDPB. In assenza di linee guida precise, il rischio è che la norma diventi un meccanismo di deflazione dei diritti anziché di contrasto all’abuso.

3.3. Art. 13 GDPR — L’esenzione dall’informativa
La revisione dell’art. 13 prevede l’esenzione dall’obbligo di fornire un’informativa autonoma quando vi siano elementi oggettivi per ritenere che l’interessato conosca già le finalità e la base giuridica del trattamento. Se correttamente interpretata, la disposizione razionalizza i flussi documentali e favorisce modelli informativi più mirati. Il punto critico è l’indeterminatezza del criterio: la conoscenza pregressa dell’interessato è una condizione soggettiva difficilmente oggettivabile, e la sua valutazione unilaterale da parte del titolare richiede un quadro di garanzie processuali solido per non tradursi in un aggiramento sistematico dell’obbligo di trasparenza.

3.4. Art. 22 GDPR — Le decisioni automatizzate
Questa è, sotto il profilo sistematico, la modifica più significativa. Il nuovo testo dell’art. 22 consente l’adozione di decisioni interamente automatizzate non solo quando l’automazione sia tecnicamente necessaria, ma anche quando lo stesso output potrebbe teoricamente essere ottenuto con mezzi umani. Si tratta di un’inversione rispetto all’impianto originario, che fondava la tutela dell’interessato sul carattere necessitato dell’automazione.
La disposizione si coordina con l’art. 14 dell’AI Act (requisiti di human oversight per i sistemi ad alto rischio), creando una tensione che andrà risolta in sede interpretativa: la norma GDPR alleggerisce il presupposto della necessità, mentre l’AI Act mantiene requisiti di supervisione umana per le applicazioni ad alto rischio. Il coordinamento non è automatico e richiede un’analisi caso per caso da parte dei DPO.

3.5. Art. 33 GDPR — Il data breach e il single-entry point
La proposta modifica l’art. 33 introducendo il sistema del punto unico di notifica gestito da ENISA. Un’impresa soggetta contemporaneamente a GDPR, NIS2 e DORA potrà adempiere ai plurimi obblighi di notifica attraverso un’unica piattaforma. Si tratta di una delle innovazioni più concrete e universalmente apprezzate del pacchetto, che risponde a un’esigenza operativa reale segnalata dalle autorità di controllo e dai professionisti della data protection.

4. Il nodo dell’AI: legittimo interesse e training dei modelli

Tra le modifiche proposte al GDPR, una merita attenzione autonoma per la sua portata strategica. Il Digital Omnibus introduce esplicitamente il legittimo interesse come base giuridica per il trattamento dei dati personali finalizzato allo sviluppo e all’operatività dei sistemi di intelligenza artificiale — inclusa la fase di addestramento degli algoritmi.
La Commissione risolve per via legislativa un dibattito che ha attraversato l’intera comunità dei data protection officer negli ultimi anni: può il training dei modelli di AI fondarsi sul legittimo interesse? La risposta proposta è affermativa, con un’estensione che va oltre il semplice addestramento per coprire l’intera operatività dei sistemi.
Questa scelta introduce quella che alcuni commentatori hanno definito una forma di neutralità tecnologica inversa: invece di applicare le stesse regole a tutte le tecnologie, si crea un regime di favore strutturale per l’AI. Il bilanciamento con i diritti fondamentali degli interessati — richiesto dall’art. 6, par. 1, lett. f) del GDPR — dovrà essere calibrato con estrema attenzione, anche alla luce dell’art. 8 della Carta dei diritti fondamentali dell’UE.

5. Le modifiche all’AI Act: il meccanismo “stop-the-clock”

La seconda proposta del Digital Omnibus interviene sull’AI Act con una modifica di natura procedurale ma dall’impatto pratico rilevante. Le disposizioni del Titolo III dell’AI Act relative ai sistemi ad alto rischio non diverranno automaticamente operative secondo il calendario originario (agosto 2026), ma solo quando la Commissione avrà formalmente certificato la disponibilità delle norme armonizzate europee, delle procedure di valutazione della conformità e delle piattaforme di testing necessarie per un’applicazione proporzionata. Il termine massimo è fissato in 16 mesi da tale certificazione.
Per le imprese nel perimetro dei sistemi ad alto rischio — e per i DPO che le assistono — questo meccanismo implica una pianificazione della compliance necessariamente condizionale: gli adeguamenti previsti dovranno essere strutturati in modo da poter essere attivati in risposta a un trigger regolatorio ancora incerto nei tempi.

6. Profili critici: la tensione tra semplificazione e tutela dei diritti fondamentali

Una lettura tecnica del Digital Omnibus non può prescindere dall’identificare le tensioni strutturali che la proposta introduce nell’ordinamento.
La prima tensione è quella tra competitività e tutela. La filosofia dell’Omnibus è dichiarata: non creare nuovi obblighi, semplificare, ridurre i costi di conformità. Ma alcune delle modifiche proposte — in particolare la ridefinizione dei dati sensibili e l’ampliamento delle decisioni automatizzate — non sono mere semplificazioni procedurali: incidono sul livello di protezione sostanziale riconosciuto agli interessati.
La seconda tensione riguarda la distribuzione della responsabilità valutativa. Più di una delle modifiche proposte trasferisce al titolare del trattamento la responsabilità di valutazioni che oggi spettano alle autorità di controllo o richiedono garanzie procedurali stringenti (conoscenza pregressa dell’interessato, sproporzione della richiesta, necessità dell’automazione). Questa redistribuzione richiede un rafforzamento degli strumenti di accountability — DPIA, registro dei trattamenti, politiche interne di governance — non il loro indebolimento.
La terza tensione è di ordine istituzionale: il Digital Omnibus incide su relazioni di competenza tra autorità nazionali (Garante Privacy, ACN, AGCOM, AGCM in Italia) che dovranno essere ridefinite in modo coordinato, a rischio di sovrapposizioni operative e incertezze applicative.

7. Iter legislativo e prospettive: uno scenario aperto

Allo stato attuale, il Digital Omnibus è formalmente entrato nella procedura di codecisione. Parlamento europeo e Consiglio potranno modificare le proposte — anche in modo sostanziale — durante i negoziati. La Commissione ha già anticipato che lo “stress test” dell’acquis digitale proseguirà attraverso un Digital Fitness Check destinato a esaminare l’interazione tra i diversi strumenti normativi e il loro impatto cumulativo sulle imprese.
Per i professionisti del diritto digitale e per i DPO, il messaggio operativo è duplice. Da un lato, le regole vigenti restano invariate fino all’eventuale entrata in vigore del regolamento: non vi sono margini per anticipare deroghe o alleggerimenti che non hanno ancora forza di legge. Dall’altro, l’evoluzione del dossier — in particolare le linee sull’incident reporting unico, la razionalizzazione dell’ePrivacy, i chiarimenti sul legittimo interesse per l’AI — richiede un monitoraggio costante e un’attività di analisi preventiva che consenta di pianificare tempestivamente gli adeguamenti

8. Conclusioni

Il Digital Omnibus non è la fine di un percorso normativo, ma l’inizio di una fase nuova per il diritto digitale europeo. La posta in gioco è alta: si tratta di ridefinire l’equilibrio tra protezione dei dati personali, sviluppo dell’intelligenza artificiale e competitività del mercato unico in un contesto geopolitico in cui le pressioni esterne — e interne — sul modello europeo di governance digitale sono senza precedenti.
Per avvocati, DPO e consulenti in diritto digitale, questo è il momento della competenza tecnica più che della semplificazione. Leggere il Digital Omnibus richiede la capacità di muoversi simultaneamente tra il GDPR, l’AI Act, il Data Act e la Carta dei diritti fondamentali, identificando le tensioni interpretative prima che diventino contenziosi. Quella che la Commissione chiama “manutenzione straordinaria” del sistema richiede, dal lato dei professionisti, una manutenzione altrettanto straordinaria delle proprie competenze.

Formazione in materia per professionisti

Dal GDPR alla Legge AI – Policy, reporting e strumenti pratici per la governance dei dati
Un ciclo di quattro incontri per tradurre le norme su AI e protezione dei dati in procedure operative concrete. Dalla definizione delle policy alla costruzione del reporting e delle linee guida interne, il webinar offre ai professionisti della compliance strumenti immediatamenti applicabili:
• Basi giuridiche e accountability documentale: principi applicabili ai trattamenti tipici dell’ufficio legale, distinzione fra esigenze legali, difensive e operative, mappatura end-to-end del flusso “revisione clausole contrattuali” ed errori frequenti con relative contromisure.
• Criteri e controllo dei risultati: accettazione dei risultati di analisi e AI, registrazione dei casi d’uso e delle verifiche, esempi pratici di analytics.
• KPI, reporting e governance del dato: definizione e monitoraggio degli indicatori, progettazione di dashboard efficaci e policy interne per garantire tracciabilità e qualità dei dati.
• Integrazione AI e workflow aziendale: collegamento dell’AI con l’ecosistema aziendale, flusso “review automatizzata delle clausole” e linee guida “Uso dati e AI nell’ufficio legale”.
>>>Per info ed iscrizione<<<

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!