Il Digital Omnibus europeo apre una nuova fase per la regolazione digitale dell’Unione europea. Tra GDPR, AI Act, Data Act e governance dei dati, il pacchetto promette semplificazione per le imprese ma solleva anche interrogativi sul futuro delle tutele.

Il contesto del Digital Omnibus

Il 19 novembre 2025, la Commissione europea ha presentato il Digital Omnibus, la più ampia revisione del diritto digitale europeo mai fatta fino ad ora. Non si tratta di un singolo provvedimento, ma di un pacchetto di tre proposte legislative – COM (2025) 835, 836 e 837 – che interviene simultaneamente su GDPR, AI Act, Data Act e Data Union Strategy. L’obiettivo dichiarato della Commissione è razionalizzare un quadro normativo ormai troppo frammentato e costoso da rispettare.

In sintesi, le nuove proposte intendono riscrivere le regole del digitale europeo per rispondere agli stimoli della competitività globale. La visione che si presenta non verte soltanto sulla semplificazione burocratica, ma rappresenta un vero e proprio riposizionamento strategico dell’Unione europea rispetto alla regolazione dell’intelligenza artificiale, dei dati e dell’innovazione in un contesto geopolitico radicalmente mutato.

Obiettivi dichiarati e promesse

Secondo la Commissione, il Digital Omnibus mira a ridurre il carico amministrativo di almeno il 25% per tutte le imprese e del 35% per le PMI, in risposta alle preoccupazioni sollevate dal Rapporto Draghi sulla competitività. È una promessa significativa, soprattutto in una fase in cui molte industrie europee denunciano costi di compliance crescenti e tempi di implementazione incompatibili con l’innovazione tecnologica.

Le motivazioni della semplificazione

La spinta alla semplificazione ha radici concrete. Il Rapporto sulle sfide di competitività ha evidenziato con chiarezza che l’Europa è sommersa da almeno 100 leggi focalizzate sul settore tecnologico e da oltre 270 autorità regolatorie dislocate nei vari paesi membri. Per un’azienda che intende sviluppare un sistema di intelligenza artificiale, oggi si trova a dover rispettare normative frammentate con scadenze, autorità e logiche spesso inconciliabili.

Grazie a questa razionalizzazione, la Commissione stima che le imprese europee potrebbero risparmiare fino a 150-155 miliardi di euro entro il 2029. Una somma considerevole che oggi viene consumata da adempimenti ridondanti che, altrimenti, potrebbero essere reinvestita nell'innovazione.

Le tre fasi: semplificazione, rinvio e riforma

Sebbene semplificazione abbia rappresentato un focus chiaro, il Digital Omnibus mescola in un unico pacchetto diverse operazioni molto distinte – semplificazione, rinvio e riforma strutturale. La razionalizzazione del reporting degli incidenti di cybersecurity, ad esempio, può essere considerata una semplificazione. Il rinvio degli obblighi per i sistemi AI ad alto rischio, motivato da mancanza di standard tecnici, invece rappresenta un rinvio legittimo.

La ridefinizione del concetto di dato personale nel GDPR entra invece nel campo della riforma strutturale, con implicazioni profonde per le tutele dei cittadini europei. Il problema nasce quando le tre operazioni vengono presentate come una unica strategia globale, creando ambiguità sull’effettivo impatto del pacchetto.

Gli interventi sul GDPR

Fra le modifiche più discusse nell'Omnibus, quelle che coinvolgono il GDPR sono state le più delicate. L'Omnibus interviene su due punti in particolare: la definizione di dato personale e la base giuridica per l’addestramento dei sistemi di intelligenza artificiale.

La prima modifica introduce un criterio soggettivo: se un'azienda non ha i mezzi per identificare una persona, i dati smettono di essere considerati "personali" per quell’azienda. Il rischio qui è di creare regimi regolatori a geometria variabile, dove le stesse informazioni godranno di tutele diverse a seconda del contesto in cui vengono gestite.

Sul piano del secondo punto, il documento propone che lo sviluppo e il funzionamento dei sistemi AI possano fondarsi sul cosiddetto "legittimo interesse del titolare del trattamento". Questo approccio, che permette di saltare l'autorizzazione del soggetto interessato, è inteso a rimuovere l’incertezza normativa che paralizza molti progetti di innovazione. Tuttavia, la conseguenza di questa scelta potrebbe essere il trattamento non differenziato di grandi quantità di dati.

Rinvio e posticipazione nell’AI Act

Sui temi dell’AI Act il dibattito si incentra sul rinvio, soprattutto considerando che gli standard tecnici non sono ancora pienamente pronti. Alcune disposizioni dell’AI Act vengono posticipate, anche per permettere alle autorità di costruire una struttura efficace per il controllo e l’applicazione delle nuove normative.

Sebbene questo possa sembrare una necessità tecnica, il rischio è che il rinvio diventi una porta scorrevole per modificare profondamente l’impianto regolatorio. Una riforma strutturale richiede una scelta politica consapevole e fondata, non una proroga mascherata. Questo nodo politico richiede il massimo della chiarezza da parte dei governi europei, soprattutto per evitare di essere accusati di cedere alle pressioni delle grandi tecnologie Usa.

La logica di integrazione tra normative

Un aspetto positivo emerso dal dibattito è il riconoscimento del ruolo della legislazione settoriale. Molte delle normative esistenti, come quelle nel settore medico o industriale, sono ormai consolidate e molto efficienti. Il Digital Omnibus promuove un modello di approccio integrato per non sovrapporre nuove regole ad autorità già esistenti.

L’idea è di usare l’AI Act come complemento ai regolamenti esistenti, non come sostituzione. Questo permette di evitare sovrapposizioni e conflitti interpretativi. Ad esempio, per il Regolamento Macchine (UE) 2023/1230, sono ancora mancanti le norme armonizzate necessarie per una completa applicazione del testo.

Le esenzioni per le PMI

Un tema centrale nel dibattito riguarda le eccezioni per le piccole e medie imprese. Il pacchetto discute dove collocare le soglie dimensionali rilevanti per l’accesso e l’adempimento delle nuove norme. L’intento non è escludere le PMI, ma creare un framework adatto a scale di risorse e complessità diverse.

Il dibattito sulle conseguenze politiche

I deputati e rappresentanti europei si trovano a confronto non solo con le leggi, ma con le implicazioni politiche di fondo del pacchetto. Il trilogo dovr