Il 19 novembre 2025 la Commissione europea ha pubblicato la proposta di regolamento sulla semplificazione dell’acquis digitale europeo (c.d. “Digital Omnibus”) che costituisce uno strumento che racchiude modifiche tecniche alla legislazione digitale dell’Unione europea.

La legislazione digitale, infatti, secondo quanto detto nella proposta stessa, appare frammentata, con duplicazioni e complessità amministrativa. L’obiettivo dichiarato, pertanto, è quello di ridurre la complessità, armonizzare le disposizioni non allineate e alleggerire i costi di conformità per imprese, amministrazioni pubbliche e cittadini. La proposta nasce anche da quanto evidenziato nel rapporto di Draghi sulla competitività dell’UE.

Un nuovo quadro per l’acquis digitale europeo

La Commissione europea anticipa anche che lo “stress test” dell’acquis digitale proseguirà anche attraverso dialoghi sull’attuazione e valutazioni di tutti i principali strumenti giuridici. In questo modo si delinea un percorso di revisione continua dell’ecosistema normativo digitale.

Le aree di intervento individuate nelle proposte sono:

• 1) acquis dei dati (comprese le norme relative alla condivisione dei dati e alla protezione dei dati personali) che, secondo quanto indicato dalla Commissione, avrebbero portato negli ultimi anni all’emanazione di una serie di regolamenti creando complessità giuridica, tra cui alcune sovrapposizioni, definizioni non perfettamente allineate e dubbi sull’interazione degli strumenti normativi;
• 2) la semplificazione delle segnalazioni di incidenti attraverso un punto di contatto unico e
• 3) l’attuazione più chiara e lineare delle norme sull’intelligenza artificiale, attraverso una proposta di regolamento ad hoc volta a semplificare alcune disposizioni dell’AI Act.

Di seguito analizzeremo alcune delle proposte di modifica riferite al primo dei tre domini sopra elencati, l’acquis dei dati, con specifico riferimento al GDPR, senza pretesa di esaustività.

Digital Omnibus e razionalizzazione dell’acquis dei dati

Rispetto al GDPR, la Commissione evidenzia che sebbene gli stakeholders abbiano in generale ritenuto il GDPR equilibrato e ancora adeguato, alcuni soggetti, in particolare le piccole imprese e le associazioni, che svolgono un numero limitato di trattamenti di dati personali spesso a basso rischio, hanno espresso preoccupazioni in merito all’applicazione di alcuni obblighi.
Alla luce di ciò, la Commissione afferma che alcune di queste preoccupazioni possono essere affrontate attraverso un’interpretazione e un’applicazione più coerenti e armonizzate in tutti gli Stati membri, mentre altre richiedono modifiche mirate della norma.

Impatti del Digital Omnibus sulla definizione di dato personale

In primo luogo, viene modificata la definizione di dato personale, che acquista un’accezione soggettiva. In particolare, occorre tenere in considerazione la capacità del soggetto di identificare la persona fisica tenendo in considerazione tutti i mezzi ragionevolmente utilizzabili.
Sul punto la Commissione evidenzia che le informazioni non devono essere considerate dati personali per un determinato soggetto se quest’ultimo non dispone di mezzi ragionevolmente utilizzabili per identificare la persona fisica (e nel farlo richiama anche la recente giurisprudenza della Corte di Giustizia). In questo modo si introduce una concezione di dato personale che è “variabile” a seconda del soggetto che è in possesso delle informazioni.

Digital Omnibus, ricerca scientifica e trattamento dei dati

La proposta della Commissione contiene una definizione di ricerca scientifica, ossia “qualsiasi ricerca che possa sostenere l’innovazione, come lo sviluppo tecnologico e la validazione del risultato scientifico. Tali azioni devono contribuire alle conoscenze scientifiche esistenti oppure applicare le conoscenze esistenti in modi innovativi; devono essere svolte con l’obiettivo di contribuire alla crescita delle conoscenze generali e al benessere della società e rispettano gli standard etici nel settore di ricerca pertinente.

Ciò non esclude che la ricerca possa anche mirare a promuovere un interesse commerciale.”

La proposta contiene anche una modifica all’art. 5 del GDPR che prevede che l’ulteriore trattamento per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o di statistica è considerato compatibile con le finalità iniziali, indipendentemente dalle condizioni di cui all’articolo 6, paragrafo 4, del GDPR («limitazione delle finalità»).

Inoltre, sempre in tema di ricerca scientifica è riportata una modifica all’art. 13 del GDPR, secondo cui quando il trattamento è effettuato a fini di ricerca scientifica e la fornitura delle informazioni risulta impossibile o comporterebbe uno sforzo sproporzionato, fatte salve le condizioni e le garanzie previste dal GDPR, o nella misura in cui l’obbligo di informativa rischia di rendere impossibile o di compromettere gravemente il conseguimento degli obiettivi di tale trattamento, il titolare del trattamento non è tenuto a fornire le informazioni di cui all’art. 13.
In tali casi il titolare del trattamento deve però adottare misure adeguate per tutelare i diritti e le libertà dell’interessato, compresa la messa a disposizione del pubblico delle informazioni.

Digital Omnibus e IA: basi giuridiche e deroghe al GDPR

Un’ulteriore modifica rilevante riguarda l’introduzione a livello normativo di una base giuridica per l’addestramento di modelli e sistemi di IA; infatti, nella proposta è affermato che il trattamento dei dati personali in questo contesto può quindi essere effettuato per finalità di legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lett. f) del GDPR.
In ogni caso, il titolare deve adottare misure atte a ridurre al minimo gli impatti sui diritti degli interessati come, ad esempio, garantire una maggiore trasparenza e consentire un diritto incondizionato di opporsi alla raccolta dei loro dati personali. Aspetto quest’ultimo non sempre di facile applicazione.

Rispetto all’addestramento dei modelli, la proposta introduce un’importante deroga ai divieti di cui all’art. 9 del GDPR; per giustificare tale deroga la Commissione parte dal presupposto che lo sviluppo di alcuni sistemi e modelli di IA può comportare la raccolta di grandi quantità di dati, compresi i dati personali e categorie particolari di dati personali, e questi ultimi possono essere presenti nei set di dati di addestramento, test o convalida o essere conservati nel sistema o modello di IA, anche nei casi in cui non siano necessari ai fini del trattamento.
Pertanto, considerato quanto sopra, la Commissione ritiene che, al fine di non ostacolare in modo sproporzionato lo sviluppo e il funzionamento delle soluzioni di IA e tenendo conto delle capacità del titolare del trattamento di identificare e rimuovere le categorie particolari di dati personali, dovrebbe essere consentita una deroga al divieto di trattare tali categorie di dati personali ai sensi dell’articolo 9, paragrafo 2, GDPR.

Pertanto, la proposta prevede che per il trattamento nel contesto dello sviluppo e del funzionamento di un sistema di IA o di un modello di IA, siano attuate misure organizzative e tecniche adeguate a evitare la raccolta e il trattamento di categorie particolari di dati personali.
Qualora, nonostante l’attuazione di tali misure, il titolare del trattamento identifichi categorie particolari di dati personali nei set di dati utilizzati per l’addestramento, la verifica o la convalida o nel sistema o modello di IA, il titolare del trattamento provvede a rimuovere tali dati. Se la rimozione di tali dati richiede uno sforzo sproporzionato, il titolare del trattamento provvede in ogni caso a proteggere efficacemente e senza indebito ritardo tali dati dall’essere utilizzati per produrre output, dall’essere divulgati o altrimenti resi disponibili a terzi.

Altre modifiche al GDPR e conclusioni sul Digital Omnibus

Le ulteriori modifiche proposte nell’ambito del Digital Omnibus riguardano l’informativa agli interessati, le decisioni basate sul trattamento automatizzato e la disciplina dei dati pseudonimizzati, con l’obiettivo di chiarire obblighi e margini di valutazione dei titolari.

Una deroga selettiva agli obblighi di informativa

Un’altra modifica rilevante riguarda l’informativa agli interessati; infatti, la proposta prevede che, per ridurre ulteriormente l’onere dei titolari del trattamento (soprattutto nei casi in cui il titolare raccolga una quantità ridotta di dati personali e le operazioni di trattamento non siano complesse), vi è una deroga all’obbligo di informativa nei casi in cui il trattamento non comporti un rischio elevato, ai sensi dell’articolo 35 del GDPR, e vi siano ragionevoli motivi per ritenere che l’interessato disponga già delle informazioni alla luce del contesto in cui i dati personali sono stati raccolti.

Estensione dell’articolo 22 del GDPR sul trattamento automatizzato

La proposta della Commissione introduce una modifica all’articolo 22 del GDPR, al fine di fornire una maggiore certezza giuridica, estendendo l’ambito di applicazione dell’art. 22, paragrafo 2, lettera a) del GDPR, non solo ai casi in cui la decisione unicamente automatizzata sia necessaria per la conclusione o l’esecuzione del contratto ma anche ai casi in cui la decisione possa essere presa anche da un essere umano.
Di fatto viene ampliata la possibilità di ricorrere ai trattamenti automatizzati anche quando questa non sia l’unica soluzione disponibile.

Dati pseudonimizzati e rischio di reidentificazione

La Commissione propone l’introduzione della facoltà per la stessa di adottare atti di esecuzione per specificare i mezzi e i criteri per determinare se i dati risultanti dalla pseudonimizzazione non costituiscono più dati personali per determinati soggetti.

La Commissione si propone di fare ciò valutando lo stato dell’arte delle tecniche disponibili ed elaborando criteri e/o categorie affinché i titolari del trattamento e i destinatari valutino il rischio di reidentificazione in relazione ai destinatari dei dati.

Inoltre, l’utilizzo dei mezzi e dei criteri delineati in un atto della Commissione può essere utilizzato come elemento per dimostrare che i dati non possono portare alla reidentificazione degli interessati.

Considerazioni finali sul Digital Omnibus

La valutazione complessiva del Digital Omnibus richiede una riflessione sulla direzione strategica che l’Europa sta tracciando per il proprio ecosistema normativo digitale. Secondo quanto indicato nella proposta, alcune disposizioni riguardano anche la protezione e la promozione dei diritti fondamentali e sono state calibrate in modo da preservare il più alto standard di protezione e sostenere le persone nell’effettivo esercizio dei loro diritti, ottimizzando al contempo i costi e creando ulteriori opportunità di innovazione.

Ed è proprio in questo senso che la semplificazione non deve rappresentare una rinuncia ai valori europei ma deve porsi come uno strumento per trovare un bilanciamento in modo da favorire il mercato ma senza arretrare sulla tutela dei diritti, anche in ottica cautelativa, considerate le preoccupazioni espresse da esponenti di rilievo non solo del mondo professionale rispetto a una tecnologia di cui non è ancora chiaro quali siano i limiti.