Bruxelles ha messo mano al groviglio normativo che da anni pesa sulle imprese digitali europee. Il 19 novembre 2025 la Commissione Europea ha pubblicato il Digital Omnibus, un pacchetto legislativo in due proposte di regolamento che interviene in modo coordinato su GDPR, AI Act, Data Act, Direttiva ePrivacy e NIS2. La spinta arriva da lontano: il Rapporto Draghi del 2024 e il Competitiveness Compass del 2025 avevano già messo nero su bianco quanto il groviglio normativo europeo stesse penalizzando l’innovazione rispetto agli Stati Uniti e alla Cina. La risposta della vicepresidente Henna Virkkunen ha preso la forma di quello che lei stessa ha chiamato un “de-cluttering” normativo: razionalizzare regole che si sovrappongono, si contraddicono e si moltiplicano senza una regia unitaria.
Cosa cambia per la definizione di dato personale
La modifica più attesa riguarda il cuore del GDPR: la proposta introduce una lettura relativa e soggettiva del concetto di dato personale. I dati pseudonimizzati potranno essere considerati anonimi da parte del titolare del trattamento che non dispone di mezzi ragionevolmente utilizzabili per re-identificare l’individuo. La misura non arriva dal nulla: recepisce una sentenza della Corte di Giustizia dell’Unione Europea (causa C-413/23, settembre 2025) e ha implicazioni concrete su come le aziende classificano e trattano grandi volumi di dati, in particolare nei settori della ricerca, del marketing e dell’intelligenza artificiale.
Non si ferma qui.
Sempre sul fronte GDPR, la proposta allarga la possibilità di rifiutare o far pagare le richieste di accesso ai dati (DSAR) giudicate abusive, porta la finestra per la notifica dei data breach da 72 a 96 ore con un template standardizzato e introduce un portale unico per le notifiche di violazione che unificherà gli adempimenti oggi dispersi tra GDPR, NIS2, DORA e altri regolamenti. Per le PMI e le imprese di medie dimensioni (mid-cap), viene estesa l’esenzione dalla tenuta del registro dei trattamenti, con risparmi stimati in almeno sei miliardi di euro per imprese e pubbliche amministrazioni entro il 2029. Il segnale è chiaro: la Commissione vuole ridurre il peso burocratico senza smontare l’architettura dei diritti.
Il cantiere aperto sull’AI Act
L’AI Omnibus, la seconda proposta del pacchetto, arriva in un momento delicato, con alcune scadenze dell’AI Act già alle porte.
Per i sistemi ad alto rischio, l’applicazione degli obblighi viene posticipata e subordinata alla disponibilità di standard tecnici armonizzati, che ad oggi non esistono in forma completa. Viene abolito l’obbligo di AI literacy in capo a provider e deployer, sostituito con un generico invito agli Stati membri a promuoverla attraverso politiche nazionali. Si ammette esplicitamente il trattamento di dati di categorie particolari, compresi quelli sensibili, per il rilevamento e la correzione di bias nei sistemi di intelligenza artificiale. La scadenza per gli obblighi di etichettatura dei contenuti generati da AI viene spostata al febbraio 2027 per i sistemi già sul mercato prima dell’agosto 2026. Il tutto mentre la Commissione introduce il legittimo interesse come base giuridica praticabile per il training dei modelli, una misura che il settore tech attendeva da mesi e che apre scenari nuovi per lo sviluppo di sistemi europei competitivi. Il pacchetto è ora formalmente avviato al trilogo tra Parlamento e Consiglio UE. L’AI Omnibus potrebbe essere adottato in anticipo rispetto al resto, proprio perché alcune scadenze non possono attendere i tempi ordinari del processo legislativo europeo.
