Il Digital Omnibus è il nome dato a un pacchetto di proposte legislative presentate il 19 novembre 2025 dalla Commissione Europea, con l’obiettivo di ristrutturare e semplificare l’intero quadro normativo digitale dell’Unione Europea.
La riforma coinvolge vari pilastri normativi: dal GDPR all’ AI Act, dal Data Act al regime e-privacy, fino agli strumenti di governance dei dati e della sicurezza.
In sintesi, il Digital Omnibus ha due obiettivi principali:
- Semplificare e razionalizzare: ridurre sovrapposizioni, snellire procedure, abbassare gli oneri amministrativi soprattutto per le imprese (con particolare attenzione alle PMI).
- Ridefinire alcune regole-chiave in materia di privacy, dati, intelligenza artificiale e sicurezza digitale.
Questo “restyling” normativo potrebbe segnare uno spartiacque: non solo un’operazione tecnica, ma un tentativo di rifondare il rapporto tra tecnologia, imprese e tutela dei diritti fondamentali nel contesto digitale.
Le novità che interessano professionisti, imprese e cittadini
Ecco le principali modifiche previste — e quelle più controverse — del Digital Omnibus:
Nuova definizione di “dato personale”
La definizione di “dato personale” passa da una logica oggettiva ad una di carattere soggettivo.
La proposta riscrive la nozione classica di dato personale contenuta nel GDPR. Ora, un’informazione sarà considerata “dato personale” solo se il titolare del trattamento dispone di “mezzi ragionevolmente idonei” per identificare l’interessato ed interpretare i dati. In pratica: se un dato pseudonimizzato o anonimizzato non consente — ragionevolmente — la reidentificazione, non sarà soggetto agli obblighi di tutela del GDPR. Questo apre margini interpretativi significativi e potenzialmente ampi per imprese e operatori.
Revisione dello status delle comunicazioni elettroniche, cookie e consenso
Il pacchetto assorbe la disciplina della e-privacy nel GDPR e ridefinisce le modalità di consenso. Alcuni trattamenti (es. statistiche aggregate, misure di sicurezza, verifiche tecniche) potrebbero essere eseguiti senza il tradizionale “banner cookie” o consenso esplicito. L’obiettivo dichiarato è quello di alleviare l’onere per i gestori di siti e piattaforme, in particolare per le PMI.
Cambiamenti per l’accesso ai dati e l’uso per IA e ricerca
Il Digital Omnibus modifica le regole relative al diritto di accesso (art. 15 GDPR): l’accesso ai dati personali da parte dell’interessato potrebbe essere limitato, per esempio, quando la richiesta serve per finalità di contenzioso — con possibili implicazioni in ambito lavorativo, contrattuale o risarcitorio.
Inoltre, per quanto riguarda l’intelligenza artificiale la normativa prevede che i contenuti generati dagli utenti possano essere utilizzati per addestrare modelli di IA con un sistema di opt-out (anziché opt-in), spostando sull’utente l’onere di manifestare opposizione. Per sistemi ad alto rischio, è previsto un rinvio per l’entrata in vigore degli obblighi fino a 16 mesi.
Unificazione normativa e governance europea dei dati
Il cuore del pacchetto mira a unificare e coordinare norme oggi frammentate. Data Governance Act, regolamento sul libero flusso dei dati non personali, Open Data Directive, e regole sul riuso dei dati pubblici vengono ricondotti in un unico impianto normativo. Si delinea quindi un “governo europeo dei dati”: flussi pubblici e privati, non solo protezione dei dati personali, ma anche circolazione, accesso, riuso e sicurezza.
Proceduralizzazione e semplificazione per le imprese
Il pacchetto promette una riduzione degli oneri amministrativi: meno documentazione, procedure semplificate, minori adempimenti per le PMI.
L’idea è offrire un contesto normativo più prevedibile, favorendo competitività e innovazione digitale, in particolare per le realtà imprenditoriali più piccole.
La proposta interviene anche sul regime del data breach, prevedendo che la notifica all’autorità di controllo debba avvenire solo qualora la violazione sia suscettibile di generare un rischio elevato per gli interessati, allineando così la soglia a quella già prevista per la comunicazione agli interessati e che il termine per la notifica passi 72 a 96 ore, con un sensibile guadagno di margine operativo per i processi di incident response.
Il Digital Omnibus introduce una novità di rilievo nella gestione degli incidenti di sicurezza: il nuovo art. 23a della Direttiva NIS 2 istituisce un meccanismo unico europeo di notifica, il Single-Entry Point, gestito dall’ENISA. L’obiettivo è superare l’attuale frammentazione degli obblighi previsti da NIS 2, GDPR, DORA, eIDAS e CER, che oggi impongono segnalazioni multiple dello stesso evento a diverse autorità. Con il principio “report once, share many”, gli operatori potranno assolvere tutti gli adempimenti attraverso un’unica interfaccia, senza modificare soglie o criteri sostanziali delle varie normative.
Le critiche e i rischi: tutela dei diritti vs. innovazione
Il Digital Omnibus però non ha mancato di suscitare forti preoccupazioni da parte di associazioni, esperti e operatori del diritto.
Secondo alcune voci, la ridefinizione di dato personale e l’uso generalizzato di “opt-out” per l’addestramento IA potrebbero minare le garanzie privacy da sempre fondamentali per l’Unione Europea.
L’eventuale limitazione del diritto di accesso ai dati personali — anche in vista di contenziosi — può rendere più difficile per cittadini e lavoratori far valere diritti in sede giurisdizionale o amministrativa.
Per sistemi di IA ad alto rischio, il rinvio dell’entrata in vigore e la dipendenza da standard tecnici (non ancora definiti) rischiano di ritardare l’effettiva tutela contro discriminazioni, automatismi ingiusti o decisioni opache. L’unificazione normativa e la centralizzazione delle regole in un organismo europeo rafforzano la governance comune ma potrebbero ridurre l’autonomia degli Stati membri e la capacità di adeguare le norme a esigenze locali.
Per tali ragioni, secondo alcuni osservatori, il Digital Omnibus rappresenta più una deroga alle tutele consolidate piuttosto che una semplice semplificazione.
Quali implicazioni per avvocati, imprese e operatori del diritto
Per un legale, per un consulente compliance o per un’impresa, il Digital Omnibus comporta sfide e opportunità
Si renderebbe necessario un aggiornamento delle policy aziendali e dei trattamenti dati, specie per chi gestisce dati personali o utilizza IA. Bisognerà verificare attentamente se un dato rientra nella nuova nozione di “dato personale”, e di conseguenza se sussistono obblighi in termini di consensi, DPIA, diritti dell’interessato, ecc.
Per le imprese che operano nel digitale, l’adozione di un quadro normativo semplificato può ridurre oneri burocratici e aumentare agilità il che potrebbe rappresentare un potenziale vantaggio competitivo, soprattutto per PMI e startup.
Dal punto di vista processuale, la riforma potrebbe incidere su pratiche di discovery, accesso ai dati, contenziosi legali: ad esempio, in materia di lavoro, risarcimento, contratti, diritti dei consumatori, privacy e responsabilità da IA.
Per gli operatori del diritto, si aprono nuove sfide interpretative: le modifiche normative richiederanno un’elevata capacità di interpretazione e di monitoraggio giurisprudenziale, nonché un approccio interdisciplinare tra diritto, tecnologia e compliance.
Un equilibrio difficile: tra tutela dei diritti e innovazione
Il Digital Omnibus rappresenta senza dubbio una delle trasformazioni più importanti del diritto digitale europeo degli ultimi anni: un tentativo di offrire un impianto normativo più coerente, flessibile e capace di rispondere alle sfide dell’IA, dei dati e della trasformazione digitale.
Tuttavia, l’operazione non è neutra: ridefinire la nozione di dato personale, semplificare il consenso, centralizzare la governance significa modificare l’equilibrio tra innovazione e tutela dei diritti.
