La Commissione europea ha pubblicato il testo ufficiale del Digital Omnibus, il pacchetto che riscrive gran parte delle regole del digitale nell’Unione e che conferma in pieno le anticipazioni diffuse da Byte.Legali due settimane fa. Non si tratta di un unico regolamento, ma di due proposte coordinate che intervengono sul GDPR, sull’AI Act, sulle norme relative ai cookie e sul più ampio ecosistema dei dati. È un ridisegno sostanziale dei meccanismi di funzionamento del mercato digitale europeo, con impatti immediati per imprese, piattaforme e sviluppatori.
Secondo il documento, il Digital Omnibus è composto da due testi distinti: una proposta tecnica di modifica dell’AI Act e una proposta orizzontale che riorganizza l’intero quadro europeo sui dati, sui sistemi di tracciamento, sui servizi cloud, sulla cybersicurezza e su alcune regole di mercato . Entrambe le proposte seguiranno la procedura legislativa ordinaria, ma delineano già un nuovo scenario regolatorio molto più coerente rispetto al passato.
Una revisione profonda del GDPR
La parte più rilevante riguarda la privacy. Il Digital Omnibus introduce una nuova definizione operativa di dato personale, basata sull’effettiva possibilità di identificare una persona fisica. Il documento chiarisce quando un’informazione può essere considerata non personale, indicando i requisiti tecnici necessari: anonimizzazione efficace, forte aggregazione, separazione funzionale e assenza di possibilità ragionevoli di reidentificazione . Questo approccio offre certezza giuridica per dataset usati in AI, IoT, veicoli connessi e processi industriali.
L’articolo 6 viene modificato per riconoscere lo sviluppo e il miglioramento dei sistemi di intelligenza artificiale come legittimo interesse, purché vengano rispettate garanzie specifiche, tra cui una minimizzazione più rigorosa, maggiore trasparenza e un diritto di opposizione sempre garantito. Restano immutate, invece, le protezioni per le categorie particolari di dati.
Il testo ufficiale chiarisce anche cosa debba intendersi per decisione “interamente automatizzata”: la classificazione vale solo se l’intervento umano non può cambiare l’esito in modo reale. La nozione di “coinvolgimento umano significativo” viene standardizzata per evitare interpretazioni divergenti tra autorità di controllo.
Sul fronte della gestione delle violazioni di dati, la notifica alle autorità sarà richiesta solo quando la violazione comporta un rischio elevato. Il termine viene esteso da 72 a 96 ore e viene introdotto un punto unico di notifica europeo gestito da ENISA, che sostituirà gli attuali canali frammentati .
Cookie e tecnologie di tracciamento: un quadro unico
La riforma introduce un cambiamento storico: tutte le regole sui cookie, sugli SDK, sul device fingerprinting e sui sistemi di tracciamento cross-device verranno consolidate nel GDPR, eliminando il doppio regime con la direttiva ePrivacy, che manterrà solo la funzione di tutela della confidenzialità delle comunicazioni elettroniche .
Conseguenze dirette:
- meno banner e più chiarezza per gli utenti;
- i segnali di consenso inviati da browser e sistemi operativi diventeranno vincolanti;
- periodo di “cooling-off” dopo un rifiuto, durante il quale il sito non potrà richiedere lo stesso consenso;
- esenzioni limitate a casi strettamente necessari, come servizi richiesti dall’utente o misurazioni aggregate del pubblico.
Questo crea un quadro unico per il tracciamento online, destinato a cambiare radicalmente l’esperienza di navigazione.
L’impatto sull’intelligenza artificiale
La modifica dell’AI Act non interviene sulla struttura della norma, ma ne raffina l’attuazione: calendario basato sulla disponibilità di standard armonizzati, chiarimenti sui test nel mondo reale, transizioni per i sistemi generativi già sul mercato e requisiti proporzionati per PMI e mid-cap . Viene inoltre attribuito un ruolo più centrale all’AI Office, soprattutto per i sistemi basati su modelli di AI generativa e per quelli integrati nelle grandi piattaforme.
Un nuovo quadro per i dati e la cybersicurezza
Il Digital Omnibus trasforma il Data Act in una vera e propria “Data Framework Regulation”, che assorbe il Data Governance Act, il regolamento sul libero flusso dei dati non personali e l’Open Data Directive. Il risultato è un’unica architettura per l’accesso, la condivisione e il riutilizzo dei dati, con norme più pratiche per il cloud-switching e nuove protezioni contro accessi non autorizzati da Paesi terzi .
Sul fronte della cybersicurezza, nasce un unico punto europeo di notifica per incidenti e violazioni, integrando gli obblighi previsti da NIS2, DORA, CER, GDPR e eIDAS. Il modello è “report once, distribute to all”, pensato per alleggerire processi che oggi sono tra i più pesanti per le imprese .
Mercati digitali e semiconduttori
Tra le misure collaterali rientra l’eliminazione del regolamento P2B, ormai superato da DSA e DMA, e una revisione del Chips Act destinata a rafforzare la competitività europea nel settore dei semiconduttori.
Un quadro che conferma le anticipazioni
La pubblicazione ufficiale conferma integralmente quanto anticipato da Byte.Legali: ridefinizione del dato personale, armonizzazione GDPR-ePrivacy, browser come snodo centrale della privacy, notifiche unificate, sostegno alle PMI, ruolo rafforzato dell’AI Office e nascita di un quadro unico per i dati e la cybersicurezza. Il Digital Omnibus inaugura una fase nuova, in cui semplicità e protezione non sono più elementi in conflitto ma parti dello stesso progetto.
