Mercoledì, 17 Dicembre 2025
N° 3 - Dicembre 2025
Di cosa parliamo quando parliamo di...

di Lucia Parrucci, Ricercatrice

Il 19 novembre 2025 la Commissione europea ha adottato l’Omnibus Digitale, la proposta per un nuovo acquis normativo che si pone come obiettivo la semplificazione e l’ottimizzazione degli obblighi di conformità legislativa nel rispetto dei diritti fondamentali del cittadino comunitario.

Lo slancio verso un’armonizzazione indispensabile

L’iniziativa è espressione ordinamentale di un approccio proattivo volto a salvaguardare e stimolare la competitività europea, in particolare quella tecnologica, identificata dalla Commissione come una delle priorità politiche e strategiche per il mandato 2024-2027, e collocandosi all’interno del più ampio programma per l’innovazione “Decennio Digitale Europeo” 2020-2030.

L’orientamento trae origine dalle raccomandazioni formulate nel Rapporto Draghi del 2024 sul futuro della competitività europea, nel quale si enfatizza la necessità improcrastinabile di accelerare la digitalizzazione, sostenere lo sviluppo di tecnologie avanzate e rafforzare la capacità dell’Unione di competere efficacemente a livello globale, in uno scenario economico e geopolitico in rapida evoluzione.

Tali sollecitazioni sono la conseguenza diretta di molteplici fattori che, fino ad oggi, hanno reso sostanzialmente impraticabile una corretta e funzionale applicazione delle disposizioni legislative europee in materia. In particolare, la complessità, la frammentazione e la sovrapposizione delle normative comunitarie applicabili, nonché i vincoli ed oneri amministrativi, hanno generato incertezza giuridica e pregiudicato la coerenza complessiva della disciplina legislativa.

Di riflesso, la Commissione afferma la necessità di intervenire sul piano dell’armonizzazione, quale elemento imprescindibile per assicurare un’applicazione più incisiva delle nuove disposizioni, integrando gli orientamenti consolidati della Corte di giustizia dell’Unione europea. Pertanto, l’impianto regolatorio proposto mira a ridurre le divergenze applicative e interpretative, rafforzando la certezza del diritto e il corretto funzionamento del mercato interno.

Infine, le proposte intendono assicurare condizioni di concorrenza eque, rafforzare la tutela dei consumatori e favorire una più diffusa adozione delle tecnologie digitali nell’Unione, contribuendo così allo sviluppo di un impianto organico, all’avanguardia, resiliente e orientato a una crescita sostenibile nel lungo periodo.

Struttura

L’Omnibus Digitale si declina in due distinte proposte di regolamento, ciascuna con proprie finalità ed ambiti di applicazione.

La prima concerne la riforma del settore dei dati, della sicurezza informatica e della protezione della privacy, andando ad integrare e riordinare le legislazioni pertinenti e riunendole in un unico, rinnovato ed onnicomprensivo atto normativo, denominata Omnibus Digitale per la Sicurezza Informatica” COM (2025) 837 finale, 2025/0360 (COD).

Fa seguito quella avente ad oggetto la revisione dell’AI Act, altresì conosciuta come “Omnibus Digitale sull’AI Act” COM (2025) 836 finale, 2025/0359 (COD).

All’iniziativa si affiancano due proposte inedite, di cui una di tipo normativo:

“Il Portafoglio Digitale Europeo per le Imprese” COM (2025) 838 finale, 2025/0358 (COD), finalizzato a dotare le imprese di un’identità digitale unica, riducendo gli oneri burocratici e favorendo lo svolgimento delle attività commerciali in tutti gli Stati membri.

“La Strategia dell’Unione europea dei Dati” COM (2025) 835 finale, volta ad agevolare l’accesso a dati di alta qualità per l’IA e a facilitare le pratiche burocratiche digitali.

L’omnibus digitale per la sicurezza informatica COM (2025) 837 finale, 2025/0360 (COD)

Modifica i seguenti provvedimenti:

Regolamenti

  • (UE) 2016/679, “Regolamento generale sulla protezione dei dati” (GDPR).
  • (UE) 2018/1724, “Regolamento che istituisce il Single Digital Gateway” (Sportello Digitale Unico).
  • (UE) 2018/1725, “Regolamento sulla protezione dei dati personali trattati dalle istituzioni, organi e organismi dell’UE”.
  • (UE) 2023/2854, “Regolamento relativo all’accesso, all’utilizzo e alla condivisione dei dati” (Data Act).

Direttive

  • (UE) 2002/58, “Direttiva relativa alla vita privata e alle comunicazioni elettroniche”.
  • (UE) 2022/2555, “Direttiva relativa alla sicurezza delle reti e dei sistemi informativi (NIS 2)”.
  • (UE) 2022/2557, “Direttiva relativa alla resilienza dei soggetti critici”.

Abroga i seguenti provvedimenti:

Regolamenti

  • (UE) 2018/1807, “Regolamento sulla libera circolazione dei dati non personali”.
  • (UE) 2019/1150, “Regolamento P2B”.
  • (UE) 2022/868, “Regolamento sulla governance dei dati”.

Direttive

  • (UE) 2019/1024 “Direttiva relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico”

Sebbene l’iniziativa (UE) 2025/0360 (COD) incida su un ampio insieme di normative del quadro digitale europeo, questa si concentra principalmente sulla riforma del Regolamento generale sulla protezione dei dati (GDPR) (UE) 2016/679, in quanto riferimento orizzontale per l’intero ecosistema digitale dell’Unione.

Di seguito vengono riportate le proposte di interesse.

Definizione di dati personali

L’Articolo 3, Paragrafo 1 della proposta di Regolamento (UE) 2025/0360 chiarisce la definizione di dati personali di cui all’Articolo 4 del regolamento (UE) 2016/679, precisando che un’informazione è “dato personale” solo in relazione al soggetto che è in grado di identificare la persona fisica. Pertanto, se non si dispone di mezzi che siano ragionevolmente utilizzabili per identificare la persona fisica cui l’informazione si riferisce, tali informazioni non sono considerate dati personali per quel soggetto specifico.

Pseudonimizzazione dei dati

L’Articolo 3, Paragrafo 8 dell’(UE) 2025/0360stabilirebbe che “la Commissione può supportare, insieme al Comitato europeo per la protezione dei dati, i responsabili del trattamento nel valutare se i dati risultanti dalla pseudonimizzazione non costituiscano dati personali, specificando i mezzi e i criteri pertinenti per tale valutazione, compreso lo stato dell’arte delle tecniche disponibili e i criteri per valutare il rischio di reidentificazione” (cfr. pag. 20, Explanatory Memorandum del (UE) 2025/0360).

Viene inoltre introdotto il concetto di “proporzionalità” nel contesto della pseudonimizzazione, in linea con la sentenza della Corte di Giustizia dell’Unione Europea, la quale afferma che il concetto di dati pseudonimizzati non è da intendersi come elemento essenziale dei dati, ma che devono essere tenute in considerazione le circostanze del caso, in particolare quando siano messe in atto adeguate misure di minimizzazione del rischio.

Uso legittimo di sistemi decisionali automatizzati in presenza di alternative equivalenti

L’Articolo 3, Paragrafo 5 (UE) 2025/0360 tenta di apportare dei chiarimenti inerenti ai processi decisionali esclusivamente automatizzati, sebbene potrebbe essere adottata da un essere umano, ai sensi dell’Articolo 22, Paragrafo 2(a) del Regolamento (UE) 2016/679. Il contesto dell’iniziativa riguarda la “stipula o dell’esecuzione di un contratto tra l’interessato e un titolare del trattamento, in particolare che il requisito della ‘necessità’ è indipendente dal fatto che la decisione possa essere presa altrimenti che con mezzi esclusivamente automatizzati” (cfr. pag. 20, Explanatory Memorandum del (UE) 2025/0360).

Disciplina che verrebbe confermata anche dal Considerando 38 dell’iniziativa (UE) 2025/0360“Ciò significa che il fatto che la decisione possa essere presa anche da un essere umano non impedisce al responsabile del trattamento di prendere la decisione attraverso un trattamento esclusivamente automatizzato.” (Cons. 38, (UE) 2025/0360).

Tuttavia, tale disposizione è applicabile unicamente a determinate condizioni esplicitate all’Articolo 2, paragrafo b del Regolamento (UE) 2016/679.

In questo contesto, l’adeguata verifica non è una decisione “necessaria” al contratto notarile, piuttosto un obbligo legale.

Pertanto, in considerazione di tale distinzione, la proposta di cui sopra non pregiudicherebbe quanto stabilito dall’Articolo 76, Paragrafo 5 del Regolamento (UE) 2024/1624 relativo alla prevenzione dell’uso del sistema finanziario a fini di riciclaggio, il quale sancisce che la responsabilità ultima dell’adeguata verifica della clientela rimane in capo al soggetto obbligato anche laddove si faccia uso di sistemi automatizzati, in linea con il principio di “supervisione umana” regolamentato di cui all’Articolo 14 dall’AI Act (UE) 2024/1689.

Misure atte a proteggere il titolare del trattamento dei dati dall’abuso dei diritti di protezione dei dati

Per quanto concerne la protezione del titolare del trattamento dei dati, l’Articolo 3, Paragrafo 3 e il Considerando 35 della proposta di Regolamento (UE) 2025/0360, intervengono sull’applicazione dell’Articolo 12 del Regolamento (UE) 2016/679 nei casi in cui il diritto di accesso venga esercitato per finalità estranee alla protezione dei dati personali. In tali situazioni, il responsabile del trattamento può rifiutare la richiesta o subordinare il suo soddisfacimento al pagamento di un costo ragionevole, chiarendo al contempo quando una richiesta possa considerarsi eccessiva.

Limitare l’obbligo di notificare le violazioni della sicurezza

Il Paragrafo 6 dell’Articolo 3 dell’iniziativa legislativa (UE) 2025/0360, mira ad allineare l’obbligo del responsabile del trattamento di notificare le violazioni dei dati all’autorità di vigilanza competente con quanto previsto all’Articolo 33 del Regolamento (UE) 2016/679 e, al contempo, l’obbligo di notificare agli interessati tali violazioni nei soli casi in cui vi sia un rischio elevato per i diritti e le libertà di questi. Inoltre, il termine per tale notifica viene esteso a 96 ore.

Punto unico di ingresso per la notifica della violazione dei dati

Contestualmente, sempre con riferimento all’Articolo 3, Paragrafo 6, si prevede che, in occasione della notifica di una violazione dei dati all’autorità di vigilanza, i responsabili del trattamento si avvalgano di un unico punto di ingresso. Trattasi di una interfaccia che ridurrebbe la frammentazione derivante dalle attuali disposizioni normative previste come la NIS 2, il Regolamento sulla Resilienza Operativa Digitale (DORA) e il GDPR.

Eccezioni al divieto del trattamento dei dati biometrici

L’Articolo 3, Paragrafo 2, del (UE) 2025/0360 aggiornerebbero quanto previsto dall’Articolo 9, Paragrafo 2 del (UE) 2016/679 proponendo l’inserimento di due ulteriori deroghe al trattamento di categorie particolari di dati. La prima attiene all’utilizzo di dati biometrici, limitatamente ai casi in cui ciò sia necessario per la verifica dell’identità dell’interessato e purché i dati e i mezzi di verifica restino sotto il suo controllo esclusivo. La seconda introdurrebbe un’esenzione per il trattamento residuale di tali dati nello sviluppo e nel funzionamento di sistemi o modelli di IA, subordinata all’adozione di misure organizzative e tecniche adeguate, volte a evitare la raccolta di categorie particolari di dati e a garantirne la cancellazione.

Altruismo dei dati

Tra le proposte di aggiornamento normativo inserite nella (UE) 2025/0360 vi è l’introduzione del concetto di “Altruismo dei Dati” inserendo il paragrafo – 38(b) all’interno del Regolamento (UE) 2023/2854 (Data Act). Tale concetto consiste nella messa a disposizione volontaria di dati, personali o non personali, sulla base del consenso degli interessati o dell’autorizzazione dei titolari, senza corrispettivi ulteriori rispetto al rimborso dei costi, per il perseguimento di finalità di interesse generale previste dalla legge.

Omnibus sull’intelligenza artificiale COM (2025) 836 finale, 2025/0359 (COD)

L’iniziativa propone una serie di modifiche all’AI Act, tra cui:

  • La possibilità di elaborare categorie particolari di dati personali ai fini dell’individuazione e della correzione di distorsioni in tutti i sistemi di intelligenza artificiale.
  • Modifiche relative all’introduzione di sandbox regolamentari per l’intelligenza artificiale (Articolo 57 “AI Act”).
  • L’introduzione di obblighi di alfabetizzazione in materia di intelligenza artificiale.
  • La semplificazione dei requisiti applicabili ad alcuni sistemi di intelligenza artificiale classificati come “ad alto rischio”.
  • Disposizioni specifiche a favore delle piccole e medie imprese.
  • Maggiore chiarezza e semplificazione delle norme in materia di valutazione della conformità.
  • Il rafforzamento del sistema di supervisione e applicazione, con una più netta definizione delle competenze delle autorità coinvolte.
  • Il rinvio dell’applicazione di alcune disposizioni relative ai sistemi di intelligenza artificiale ad alto rischio, al fine di consentire un adeguato periodo di adattamento.
  • L’introduzione di un periodo di sei mesi per l’adempimento degli obblighi di trasparenza e di marcatura previsti dalla normativa.
  • Una supervisione centralizzata dei sistemi di intelligenza artificiale affidata all’AI Office.

Passaggi successivi della procedura legislativa

Al fine di stimolare il dibattito legislativo, la Commissione ha avviato un’iniziativa di consultazione preliminare sull’intero pacchetto di proposte legislative, con l’obiettivo di raccogliere contributi e osservazioni in merito alle possibili modalità di razionalizzazione del quadro normativo digitale dell’Unione.

Tutti i contributi pervenuti saranno oggetto di analisi e sintesi da parte della Commissione e quindi trasmessi, unitamente all’acquis normativo, ai co-legislatori — il Parlamento europeo e il Consiglio — per l’esame della proposta.

Il termine per la presentazione dei contributi è fissato al 10 febbraio 2026.

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14855-Simplification-digital-package-and-omnibus_en
« Torna al sommario

Di cosa parliamo quando parliamo di... più recenti

Sandbox regolativa

N° 2 - Settembre 2025

“Valutazione di impatto” nel Regolamento europeo sull’IA

N° 1 - Marzo 2025

“Literacy” nel Regolamento europeo sull’IA

N° 3 - Settembre 2024

L’Assicurazione Collettiva e il Fondo di Garanzia Notarile

N° 2 - Giugno 2024