Digital Omnibus: la UE riscrive tutte le regole su privacy, intelligenza artificiale e sicurezza digitale

Presentato il 19 novembre 2025, il pacchetto riforma in modo coordinato intelligenza artificiale, privacy, cybersicurezza, dati e identità digitale, con l’obiettivo di semplificare gli obblighi e rafforzare la competitività europea
25/11/2025

Il 19 novembre 2025 la Commissione europea ha presentato ufficialmente il Digital Omnibus, un pacchetto legislativo che interviene contemporaneamente su numerosi pilastri della regolazione digitale: dal Regolamento 2024/1689 sull’intelligenza artificiale (AI Act) al GDPR, dalla Direttiva NIS2 al Data Act, fino alla disciplina sui cookie e al nuovo quadro per l’identità digitale.

L’obiettivo dichiarato è riequilibrare gli oneri normativi senza indebolire la tutela dei diritti, evitando che un’interpretazione eccessivamente rigida delle regole UE favorisca la concorrenza di Paesi extraeuropei con regolazioni meno stringenti.

Il pacchetto si articola in tre proposte coordinate:

  1. Omnibus digitale su IA, cybersicurezza, privacy e dati
    Proposta 2025/836 (revisione dell’AI Act)
    Proposta 2025/837 (revisione del Data Act e fusione con Reg. 2018/1807, Reg. 2022/868, Dir. 2019/102)

  2. Strategia per l’Unione dei dati
    Proposta 2025/835, finalizzata a liberare dati di alta qualità per l’addestramento dei sistemi di intelligenza artificiale.

  3. Portafoglio aziendale europeo
    Proposta 2025/238, che introduce un’identità digitale unica per ogni impresa, utilizzabile nei rapporti amministrativi e nelle transazioni transfrontaliere.

Le tre iniziative riscrivono definizioni fondamentali (come la distinzione tra dato personale e non personale), ridefiniscono obblighi per gli operatori economici e riorganizzano il ruolo degli organismi di vigilanza.

Modifiche all’AI Act per i sistemi ad alto rischio

Uno dei primi interventi riguarda l’impiego dell’IA nei contesti ad alto rischio, compreso il rapporto di lavoro.
Il quadro originario dell’AI Act fissava al 2 agosto 2026 la scadenza per l’adeguamento, con requisiti stringenti su trasparenza, gestione dei dati, supervisione umana, sicurezza e audit indipendenti.

Considerate le difficoltà delle imprese, la Commissione propone ora:

  • un’estensione dei tempi fino a 16 mesi;

  • l’entrata in vigore subordinata alla pubblicazione delle linee guida attuative;

  • strumenti di supporto specifici per facilitare l’adeguamento.

Modifiche al GDPR

La revisione del GDPR è uno dei punti più dirompenti del pacchetto.

1. La nozione di dato personale si restringe
Un dato che non consente l’identificazione diretta della persona esce dall’ambito del GDPR.
Questo comporterebbe l’esclusione dal perimetro di applicazione di molti trattamenti di dati pseudonimizzati, come quelli usati per tracking e advertising, anche quando consentono inferenze molto sensibili (orientamento politico, religioso, ecc.).

2. Cookie law
Viene ampliato il ventaglio di casi in cui cookie e tecnologie simili possono essere usati senza consenso.

3. Diritto di accesso limitato
L’art. 15 GDPR viene ristretto alla sola tutela della privacy, escludendo l’utilizzo nei contenziosi, inclusi quelli di lavoro.

4. Addestramento IA come “legittimo interesse”
L’addestramento dei sistemi di IA diventa un legittimo interesse del titolare:
– si passa dal consenso esplicito (opt-in) a un modello basato sull’opposizione dell’utente (opt-out) per l’uso dei contenuti pubblicati online.

5. Decisioni automatizzate
Il pacchetto amplia l’uso delle decisioni esclusivamente automatizzate, chiarendo che sono ammissibili anche quando esiste un’alternativa umana possibile.
Gli effetti pratici riguardano soprattutto:

  • screening automatizzati nei processi HR,

  • rating algoritmico,

  • monitoraggio della produttività,

  • assegnazione dei turni.

Cybersicurezza: portale unico UE per le segnalazioni

Il Digital Omnibus introduce un unico portale europeo per le notifiche di incidenti cyber.
Le imprese inviano una sola segnalazione che viene smistata automaticamente alle autorità competenti, con l’obiettivo di armonizzare e semplificare gli obblighi previsti da NIS2.

Portafoglio aziendale europeo

La Commissione propone la creazione di un strumento digitale unificato che consenta a imprese e PA di:

  • digitalizzare scambi documentali e procedure,

  • usare firme digitali riconosciute a livello UE,

  • ridurre tempi e costi delle operazioni transfrontaliere.

Semplificazioni per PMI e “small-mid caps”

Il pacchetto introduce una nuova categoria d’impresa: le small-mid caps (SMCs), con:

  • meno di 750 dipendenti;

  • fatturato fino a €150 milioni o attivi fino a €129 milioni.

Per queste imprese sono previsti regimi alleggeriti, in particolare su:

  • obblighi per sistemi di IA a rischio limitato,

  • requisiti di documentazione e reporting (art. 30 GDPR e corrispondenti norme del Data Act).

Prossimi passi

Le tre proposte passano ora al Parlamento e al Consiglio per l’esame secondo la procedura legislativa ordinaria.
Considerata l’ampiezza delle modifiche e il loro impatto su IA, privacy e competitività industriale, è prevedibile un dibattito politico molto intenso e un alto numero di emendamenti. Nei prossimi mesi sarà dunque cruciale seguire gli sviluppi dell’iter legislativo.
 
 




 
Questo sito non rappresenta una testata giornalistica in quanto viene aggiornato senza alcuna periodicità. Non può pertanto considerarsi un prodotto editoriale ai sensi della legge n.62 del 2001. Il sito non ha fini di lucro e le immagini pubblicate sono prevalentemente tratte da internet e, pertanto, considerate di pubblico dominio; qualora la loro pubblicazione violasse eventuali diritti d'autore, vogliate comunicarlo a amministrazione@tosieassociati.it. Saranno immediatamente rimosse.