Bruxells non si ferma, dopo sostenibilità e due diligence, arriva il secondo pacchetto di semplificazioni rivolto al digitale.
Il 19 novembre 2025 la Commissione UE ha presentato ufficialmente il Digital Omnibus, un pacchetto che mette mano ad una molteplicità di testi normativi che vanno dalla Regolamento UE 2024/1689 ( AI Act sull’ intelligenza artificiale ) , al Regolamento UE 679/2016 ( GDPR - privacy ) , alla Direttiva 2022/2555 (NIS2 – sicurezza delle reti ) fino al Data Act, cookie law e framework sull’identità digitale.
L’ iniziativa rappresenta un tentativo di calibrare il peso della regolamentazione ai fini della tutela pubblica , mantenendo al contempo alta la competitività delle imprese. Il rischio individuato dalla Commissione è che un’applicazione troppo rigida delle norme possa andare a beneficio di Paesi extra –UE con regimi normativi più permissivi. Il pacchetto, suddiviso in tre proposte, è così integrato :
1) un omnibus digitale in materia di IA, cybersicurezza, privacy e dati ( Proposta n. 2025/836 per la revisione dell’ IA ACT e proposta n. 2025/837 per la revisione del Data Act e la fusione con Reg. 2018/1807, Reg. 2022/868, Dir. 2019/102);
2) un documento di una strategia per l'Unione dei dati, con l’obiettivo di sbloccare dati di alta qualità per l'addestramento dell’ intelligenza artificiale ( Proposta n. 2025/835 );
3) Istituzione del portafoglio aziendale europeo con lo scopo di attribuire a ciascuna imprese un'identità digitale unica da usare nelle pratiche burocratiche e nello svolgimento di attività commerciali transfrontaliere ( Proposta n. 2025/238 ).
Le tre iniziative formano un blocco interconnesso in cui sono ridefiniti concetti cardine, come la distinzione tra il dato personale e non personale, gli obblighi degli operatori economici e la funzione degli organismi di vigilanza.
Modifiche all’ IA ACT per sistemi ad alto rischio – Un primo ambito su cui interviene il pacchetto Digital Omnibus è quello che riguarda l’impiego di sistemi di intelligenza artificiale in settori ad alto rischio come il rapporto di lavoro.
Il quadro originario dell’AI Act prevedeva tempi di adeguamento ristretti ( 2 agosto 2026 ) oltre ad un insieme articolato di requisiti che includevano trasparenza algoritmica, gestione dei dati, supervisione umana, sicurezza informatica e audit indipendenti.
A fronte delle difficoltà significative riscontrate dagli operatori nel predisporre tutte le misure richieste, la Commissione propone ora una tempistica più estesa. In dettaglio, per i sistemi di IA ad alto rischio, il calendario è adeguato ad un massimo di 16 mesi , in modo che le norme trovino applicazione una volta che la Commissione avrà confermato la disponibilità di linee guida ad hoc e predisposto strumenti di sostegno alle imprese nel percorso di adeguamento.
Modifiche al GDPR – Le modifiche più significative sono quelle che riguardano la disciplina per la protezione dei dati personali.
La nozione di dato personale viene ridimensionata – Se un dato o un informazione non permette di identificare direttamente una persona, il dato non è personale e il trattamento può avvenire al di fuori del campo di applicazione del GDPR.
Questa è una prima grande novità che segnerebbe un cambio epocale nell’ approccio alla tutela dei dati. A vedersi sollevate dagli obblighi GDPR sarebbero tutte quelle aziende che trattano dati pseudonimizzati, senza possibilità di re-identificazione, come avviene nelle attività di tracking e advertising on line, con apertura verso il trattamento dei dati sensibili inferiti (ad es. l’orientamento politico desunto dalla navigazione web ).
Cookie law - La Commissione intende inoltre rivedere le regole sui cookie e tecnologie di tracciamento similari, ampliando le situazioni in cui cookie e tecnologie comparabili possono essere utilizzati senza consenso.
Limitazioni al diritto di accesso ai propri dati - La proposta vuole restringere il diritto di accesso ai dati personali ( art. 15 GDPR ) ai soli scopi di tutela della privacy, escludendo gli usi in contenziosi come le cause di lavoro.
Legittimo interesse all’addestramento dell’ IA - Sviluppo e addestramento dei sistemi di intelligenza artificiale diventano un legittimo interesse al trattamento di dati. Le grandi piattaforme potrebbero usare in modo generalizzato i contenuti pubblicati dagli utenti per addestrare sistemi di intelligenza artificiale, passando da un modello di consenso esplicito (opt-in) a uno di esclusione su richiesta (opt-out)
Monitoraggio e Decisioni automatizzate – Il GDPR prevede attualmente un diritto qualificato degli individui a non essere soggetti a decisioni esclusivamente automatizzate aventi effetti legali, se non in casi eccezionali quando la decisione è necessaria per stipulare o eseguire un contratto, e autorizzata dalla legge, o basata su consenso esplicito dell’ interessato.
La proposta del Digital Omnibus amplierebbe l’utilizzo di tali strumenti chiarendo che una decisione automatizzata può essere presa anche quando lo stesso risultato potrebbe essere raggiunto anche con mezzi umani.
In termini pratici, la decisione automatica acquista una forza propria grazie a un sistema di basi normative che amplia la dimensione operativa dell’algoritmo. Questa modifica faciliterebbe significativamente l’adozione di sistemi di screening automatizzato nelle dipartimenti HR ; attività di rating automatizzato e monitoraggio della produttività, assegnazione turni ecc. ecc.
Portale unico Ue per le segnalazioni di incidenti cyber - Il Digital Omnibus introduce un unico portale europeo: l’azienda invia una sola segnalazione che viene poi smistata alle autorità competenti, con l’obiettivo di semplificare e uniformare gli obblighi.
Portafoglio europeo per le imprese – La proposta della Commissione prevede l’istituzione uno strumento digitale unificato, che consentirà alle imprese e agli enti pubblici europei di digitalizzare operazioni e interazioni che in molti casi devono ancora essere effettuate di persona.
Le imprese saranno scambiare documenti firmati digitalmente con altre imprese o amministrazioni pubbliche di altri Stati membri in totale sicurezza, riducendo drasticamente i costi e i tempi delle pratiche transfrontaliere.
Semplificazioni per PMI e Small-Mid Caps - l Digital Omnibus introduce una nuova categoria di impresa, le “small-mid caps” (SMCs), che si collocano tra le piccole e medie imprese (PMI) e le grandi imprese con organici al di sotto di 750 dipendenti e un fatturato annuo fino a €150 milioni o attivi totali fino a €129 milioni. Per queste aziende sono previste alcune semplificazioni e regimi “light” per ridurre gli oneri formali, specie sui sistemi AI a rischio limitato e sui meccanismi di reporting previsti all’ art. 30 del Regolamento UE.
Le proposte legislative saranno ora presentate al Parlamento UE e al Consiglio secondo la procedura ordinaria. Visto il loro contenuto, sono probabili accesi dibattiti politici ed emendamenti, per cui nei prossimi mesi sarà fondamentale seguire gli sviluppi dell’ iter legislativo.
WST Law & Tax