Digital Omnibus: le principali novità e cosa cambia davvero per aziende, PA e professionisti della privacy

La Commissione Europea ha presentato tre nuove proposte legislative (COM(2025) 835, 836 e 837), riunite sotto il nome di Digital Omnibus, con l’obiettivo di semplificare e armonizzare l’intero quadro delle normative digitali europee: dal GDPR al regolamento ePrivacy, fino a DMA, DSA, NIS2 e AI Act. Un intervento che punta a ridurre sovrapposizioni, chiarire competenze tra autorità e tagliare i costi di compliance (stimati fino a 5 miliardi di euro entro il 2029).

Di seguito una sintesi divulgativa delle modifiche normative principali e delle implicazioni pratiche.

1) Una nuova definizione di “dato personale”: cambia il perimetro del GDPR

Un’informazione sarà considerata dato personale solo se il titolare dispone di mezzi ragionevoli per identificare l’interessato.

Cosa implica:

• alcuni dati tecnici o pseudonimizzati, se non riconducibili alla persona dal titolare, potrebbero uscire dal GDPR;

• la valutazione diventa contestuale, non astratta;

• EDPB e Commissione definiranno criteri per distinguere meglio cosa è “identificabile”.

La modifica semplifica molti trattamenti, ma rischia di restringere la tutela effettiva degli utenti.

2) Informative e diritti dell’interessato: meno adempimenti, limiti più chiari agli abusi

Il Digital Omnibus prevede che l’informativa non sia necessaria quando l’interessato «ragionevolmente conosce» le informazioni principali. Restano obbligatorie in caso di:

• comunicazione dei dati a terzi,

• trasferimenti extra-UE,

• decisioni automatizzate,

• rischi elevati.

Il diritto di accesso viene riformato: diventano rifiutabili le richieste manifestamente abusive o irragionevoli. Possibile applicare costi in casi eccezionali.

3) Cookie e tecnologie di tracciamento: l’ePrivacy confluisce nel GDPR

La disciplina dei cookie viene integrata direttamente nel GDPR. Molte norme ePrivacy vengono eliminate per evitare duplicazioni.

Principali novità:

• meno banner per attività tecniche o statistiche a basso rischio;

• gli utenti potranno impostare preferenze generali tramite browser o dispositivo, che i siti dovranno rispettare;

• introdotta una white-list di trattamenti esenti da consenso (es. analytics interni, sicurezza, funzionalità essenziali).

L’obiettivo è ridurre il “banner fatigue” degli utenti e semplificare la gestione per le aziende.

4) Violazioni dei dati e sicurezza: arriva il Portale Unico Europeo

Oggi le aziende devono notificare gli incidenti su più piattaforme, con regole diverse.Il Digital Omnibus crea un Single-Entry Point europeo, gestito da ENISA, per comunicare:

• violazioni dei dati personali (GDPR),

• incidenti NIS2,

• incidenti DORA,

• notifiche eIDAS e altre segnalazioni di sicurezza.

Cosa cambia:

• aumento del termine di notifica da 72 a 96 ore;

• notifica agli interessati solo in caso di rischio elevato;

• modelli standard e flusso unico “report once”.

Per imprese, DPO e PA questo significa meno duplicazioni, ma anche la necessità di aggiornare processi interni, registri e sistemi di incident reporting.

5) DPIA, modelli standard e maggiore armonizzazione

Il Digital Omnibus affida all’EDPB nuovi compiti per ridurre la frammentazione tra Stati membri.

Le novità:

• un elenco unico europeo dei trattamenti che richiedono DPIA (sostituirà le liste nazionali);

• un modello standard di DPIA;

• criteri uniformi per la pseudonimizzazione.

Questa armonizzazione aumenterà la certezza giuridica e semplificherà la vita dei DPO, ma costringerà molte organizzazioni a rivedere documentazione e processi.

6) Ricerca scientifica e AI: basi giuridiche più flessibili

Due ambiti ricevono una spinta significativa:

Ricerca scientifica

• dichiarata compatibile con lo scopo originario;

• qualificata come interesse legittimo;

• ampliata la possibilità di limitare l’informativa quando troppo onerosa.

L’obiettivo è facilitare ricerca, sanità, università e data sharing pubblico-privato.

AI e dati personali

Per l’intelligenza artificiale, la proposta permette:

• l’uso del legittimo interesse per trattare dati personali (anche sensibili “residuali”) nel training;

• l’obbligo di rimuovere i dati sensibili non necessari;

• l’adozione di misure tecniche per evitare reidentificazione, in linea con l’AI Act.

Questo riduce la dipendenza dal consenso e accelera lo sviluppo di modelli europei, pur sollevando dubbi sulla tutela effettiva degli utenti.

Vantaggi e criticità: un equilibrio ancora da verificare

Vantaggi attesi:

• riduzione degli oneri amministrativi (stimata in miliardi di euro);

• maggiore uniformità normativa tra Stati membri;

• meno duplicazioni e tempi di compliance più rapidi;

• esperienza utente più fluida (meno banner).

Criticità:

• rischio di un indebolimento della protezione dati;

• nozione più “limitata” di dato personale che potrebbe restringere i diritti degli utenti;

• uso esteso del legittimo interesse in contesti oggi sensibili (tracciamento e AI);

• complessità iniziale nella migrazione verso portale unico e nuovi modelli DPIA.

Il Digital Omnibus rappresenta un tentativo ambizioso della Commissione di “normalizzare” la protezione dei dati dentro un quadro digitale più ampio, flessibile e meno frammentato. La direzione è chiara: semplificazione, armonizzazione e sostegno all’innovazione.

Resta da capire se questa evoluzione riuscirà a mantenere un livello adeguato di tutela dei diritti fondamentali, in un contesto tecnologico in cui reidentificazione, profilazione e AI evolvono più rapidamente delle norme.

Hai dubbi o vuoi capire come queste novità impatteranno sulla tua realtà?

Il nostro Studio supporta aziende, professionisti e organizzazioni nella gestione della compliance privacy e nella valutazione degli adeguamenti necessari alla luce del Digital Omnibus.Per informazioni o consulenze, siamo a disposizione.