Nella prima parte (Parte 1) abbiamo visto come il Digital Omnibus nasca dall’intreccio fra pressioni economiche, geopolitica e fragilità interne dell’Unione Europea. In questa seconda puntata entriamo nel cuore delle modifiche: cosa cambia per la definizione di dato personale, per l’uso dei dati sensibili nell’AI, per i cookie, per i sistemi ad alto rischio e per l’identità digitale europea. Si tratta della dimensione più “tecnica”, ma decisiva per capire che cosa stiamo davvero mettendo in gioco. Nella terza parte (Parte 3) ci concentreremo invece sulle implicazioni politiche e sui rischi per i diritti fondamentali e la democrazia digitale.
Cosa prevede il Digital Omnibus, quali saranno i cambiamenti effettivi
Il Digital Omnibus coinvolge contemporaneamente diversi regolamenti e direttive europee: GDPR, AI Act, ePrivacy, NIS2, Data Act, Data Governance Act e l’identità digitale europea. Gli interventi principali riguardano la semplificazione dei report di cybersecurity, l’armonizzazione delle definizioni tra settori diversi, la modernizzazione delle regole sui cookie e la facilitazione dell’applicazione pratica dell’AI Act.
Ridefinizione di dato personale e dato sensibile
Una delle novità più controverse introdotte dal Digital Omnibus riguarda il GDPR, perché viene proposta una ridefinizione di che cosa si intende per “dato personale”. Fino a prima del Digital Omnibus, se un’informazione poteva essere ricollegata anche indirettamente a una persona, rientrava nel GDPR. Ora la regola è stata resa più “elastica”: se un’azienda non è in grado, o non ha interesse, a capire chi c’è dietro quei dati, allora quei dati potrebbero non essere più coperti dalle norme più rigide.
La definizione di dato personale, formalmente, non è cambiata, ma viene introdotto un modo diverso di interpretarla che può ridurre la protezione effettiva. Con questa modifica, un dato è considerato personale non solo in base alla sua identificabilità reale, ma anche in base a ciò che l’organizzazione dichiara di poter identificare.
Si tratta di uno spostamento dal criterio tecnico a quello dichiarativo. Concretamente significa che i dati raccolti per tracciamento online o per profilazione tramite identificatori persistenti, ad esempio, potrebbero non essere considerati personali, perché dall’operatore non risultano “riconducibili direttamente” a una persona. Il cambiamento si situa quindi nel campo di applicazione, per cui ciò che tecnicamente è un dato personale potrebbe, nella pratica, non essere trattato come tale.
Oltre al “dato personale”, anche il “dato sensibile” ha subito qualche variazione. Secondo il GDPR, i dati sensibili come informazioni sulla salute, convinzioni religiose o orientamento sessuale, dovevano essere protetti perché riguardano la dignità e l’integrità della persona. Questi dati venivano tutelati in quanto il rischio era direttamente legato alla persona stessa.
Il Digital Omnibus ha cambiato anche questa logica. La protezione dei dati sensibili, ora, dipende dalla capacità dell’infrastruttura di gestirli correttamente. La delicatezza dei dati quindi non è più intrinseca, ma è legata alla qualità dei processi che li trattano. La tutela è slittata da una protezione preventiva della persona a una protezione garantita solo se il sistema funziona correttamente, cioè una tutela ex post (verificando a posteriori se tutto è stato gestito correttamente e intervenendo solo se qualcosa è andato storto) legata al controllo del processo, e non più al diritto della persona.
Questa modifica al GDPR non consiste in una riscrittura del regolamento europeo sulla protezione dei dati, ma un cambio di prospettiva. La tutela dei dati non viene negata, ma passa da essere un diritto fondamentale a diventare una funzione del sistema stesso, cioè qualcosa che dipende dal funzionamento delle piattaforme e non più un vincolo da rispettare prima di tutto.
I rischi legati a queste modifiche riguardano il fatto che i dati personali vengono impiegati per addestrare i modelli AI. Limitare accessibilità e trasparenza significa ridurre il controllo delle persone sulle tecnologie che le riguardano.
Small-Mid Caps: una nuova categoria di imprese
Un’altra novità introdotta dal Digital Omnibus sono le small-mid caps (SMC), aziende che stanno tra le piccole e medie imprese (PMI) e le grandi imprese. Sono definite come imprese con meno di 750 dipendenti e un fatturato annuo fino a 150 milioni di euro o attivi fino a 129 milioni di euro.
Alcune aziende finora considerate grandi potrebbero rientrare in questa nuova categoria e ottenere vantaggi come:
- Deroghe GDPR, ad esempio esenzioni dall’obbligo di tenere certi registri, a meno che il trattamento dei dati sia ad alto rischio;
- Prospetti semplificati per le offerte pubbliche di titoli;
- Accesso più facile ai mercati di capitale.
AI Act e legittimo interesse
Per quanto riguarda la base giuridica per l’addestramento dell’IA, è stato chiarito che il “legittimo interesse” può essere utilizzato per il trattamento di dati personali ai fini dell’addestramento, dello sviluppo e del testing di modelli di IA, con adeguate garanzie per i diritti degli interessati.
Questo significa che lo sviluppo e l’uso dei sistemi AI possono essere considerati un legittimo interesse del titolare per il trattamento dei dati. Ora i dati personali possono essere utilizzati per addestrare e far funzionare sistemi AI senza richiedere altre basi giuridiche. Questa modifica non riguarda solo l’addestramento, ma tutti gli usi operativi dei sistemi AI.
Dati sensibili: rivelati vs inferiti
Un’altra modifica proposta dal Digital Omnibus riguarda la differenziazione tra dati sensibili “rivelati” e “inferiti”. I primi continuano a godere di una protezione rafforzata, mentre i secondi possono essere trattati con vincoli ridotti, purché siano rispettati principi di correttezza, trasparenza e gestione del rischio. Gli sviluppatori di AI, quindi, potrebbero ora processare categorie sensibili per training e operatività.
Meccanismo “stop-the-clock”
Come accennato sopra, questo meccanismo consente di posticipare l’entrata in vigore delle regole sui sistemi AI ad alto rischio da agosto 2026 ad agosto 2027. Lo slittamento punta a dare tempo ad imprese e autorità nazionali per adeguarsi agli standard tecnici ancora in fase di definizione.
Cookies: è finita l’era del consenso informato?
Il Digital Omnibus ha ridotto il peso del consenso per i cookie, passando da un modello opt-in a uno opt- out. Nel modello opt-in il trattamento era subordinato a un’autorizzazione preventiva, per cui l’utente doveva esprimere un consenso esplicito prima che cookie e tecnologie simili potessero essere attivati. Nel modello opt-out, invece, il trattamento può partire senza un consenso iniziale.
L’idea era quella di eliminare i banner che tutti cliccano senza leggere, facendo così risparmiare soldi, soprattutto alle piccole imprese, che spendono molto per gestire questi sistemi. Tuttavia, questa proposta cambia il modo in cui i social network possono usare i dati degli utenti. Prima del Digital Omnibus era necessario chiedere il consenso agli utenti prima di usare foto, post o messaggi per addestrare l’AI. Con il Digital Omnibus, invece, è sufficiente un sistema di opt-out, per cui le piattaforme possono usare i dati di default, spetta agli utenti saperlo e impedirlo.
Sistemi AI ad alto rischio
Sono stati snelliti alcuni obblighi previsti dal GDPR come, ad esempio, l’applicazione delle regole ai sistemi AI considerati dal regolamento europeo ad “alto rischio”. Quei sistemi che nel semaforo dell’AI Act avevano la luce arancione possono ora essere commercializzati nel mercato europeo, purché si sottopongano a controlli stringenti. Ad essere soggetti a questa semplificazione sono i sistemi di identificazione e categorizzazione biometrica o per il riconoscimento delle emozioni, software educativi o di formazione, per valutare i risultati di studio, per assegnare corsi o per controllare gli studenti durante gli esami.
Sono coinvolti anche gli algoritmi usati sul lavoro per valutare curriculum o distribuire compiti e impieghi, quelli utilizzati dalla pubblica amministrazione o da enti privati per distribuire sussidi, per classificare richieste di emergenza, per smascherare frodi finanziarie o per stabilire il grado di rischio quando si sottoscrive un’assicurazione.
Rientrano sempre in questa categoria anche gli algoritmi usati dalle forze dell’ordine, dalla giustizia e dalle autorità di frontiera per valutare rischi e scoprire flussi di immigrazione illegale.
Secondo i piani previsti dal Digital Omnibus, questi sistemi AI definiti finora ad “alto rischio” non saranno più soggetti a obblighi per almeno un anno in più del previsto. La motivazione è la mancanza di chiarezza nelle regolamentazioni che spaventano le aziende.
Il Digital Omnibus offre quindi più tempo alle aziende e alle organizzazioni che implementano tecnologie AI “ad alto rischio”. Il problema è che ora i modelli AI possono utilizzare dati precedentemente riservati per prendere decisioni, ad esempio, sull’accesso ai servizi finanziari essenziali. “Secondo queste proposte, a una persona potrebbe essere negato un prestito a causa di un modello AI distorto, oppure potrebbero essere addebitati premi assicurativi più elevati in base allo stato di salute previsto, il tutto senza che la persona ne sia a conoscenza o abbia dato il suo consenso”, ha affermato Peter Norwood, responsabile senior della ricerca e della promozione presso Finance Watch.
Consolidamento legislativo tra abrogazione e fusione
Un altro cambiamento significativo del Digital Omnibus è il tentativo di semplificare le regole sui dati unendo in un unico testo, il Data Act, leggi già esistenti come il Data Governance Act, l’Open Data Directive e il Free Flow of Data Regulation.
L’obiettivo sarebbe ridurre la confusione e la burocrazia per le aziende, con nuove etichette volontarie per chi condivide o mette a disposizione dati in modo altruistico. Questo consolidamento rappresenta un cambio strutturale significativo:
- Il Data Governance Act viene assorbito nel Data Act;
- L’Open Data Directive viene assorbito nel Data Act;
- Il Free Flow of Data Regulation viene assorbito nel Data Act;
- Il Platform-to-Business Regulation (il regolamento p2b) verrà abrogato ma senza che vengano effettivamente cambiate le regole, coperte già dal Digital Services Act (DSA) e dal Digital Markets Act (DMA).
EU Digital Identity Wallet
Il pacchetto del Digital Omnibus prevede anche nuovi strumenti presentati con l’obiettivo di rendere più semplici e uniformi le procedure tra tutti i Paesi dell’UE come, ad esempio, i portafogli digitali, che permetteranno alle aziende di usare un’unica identità digitale per operare in tutta Europa. Si tratta dell’EU Digital Identity Wallet, un sistema digitale che dovrebbe raccogliere dati dei cittadini e delle imprese. Infatti, una novità interessante potrebbe essere rappresentata dai portafogli digitali aziendali, una sorta di carta d’identità digitale che permette alle aziende di operare in tutta Europa senza dover ripetere le stesse pratiche in 27 Paesi. Bruxelles stima che queste misure potrebbero far risparmiare fino a 150 miliardi di euro all’anno.
Si tratta di uno strumento che da un lato potrebbe rivelarsi interessante e utile, ma dall’altro anche molto rischioso. Trattandosi di un sistema digitale che raccoglie dati dei cittadini, oltre che delle imprese, includerà infatti molti dati sensibili, come quelli sulla salute, sulle finanze e sull’identità. L’obiettivo dichiarato è semplificare le leggi sui dati e creare un’identità digitale unica, ma restano aperte questioni particolarmente delicate legate alla sicurezza, alla fiducia e alle tempistiche.
La scadenza per metterlo in funzione sarebbe prevista entro fine 2026, tuttavia sembra molto difficile da rispettare, in quanto mancano ancora i sistemi di certificazione necessari.
Sicurezza informatica tramite un unico portale: ENISA Single-Entry Point
Il Digital Omnibus ha introdotto alcune novità anche per quanto riguarda la sicurezza informatica. È stato introdotto un portale unico, ENISA Single-Entry Point, su cui le aziende possono notificare una violazione dei dati una sola volta, condividendola automaticamente con tutte le autorità competenti secondo GDPR, NIS2, DORA e altre normative.
Prima del Digital Omnibus, se un’azienda veniva colpita da qualche attacco informatico doveva comunicare l’incidente a diverse autorità nazionali ed europee, ciò richiedeva l’uso di formati e tempi diversi. Ad esempio, un ospedale vittima di un ransomware doveva avvisare l’autorità sanitaria, quella per la protezione dei dati e l’agenzia per la cybersecurity, aumentando la burocrazia.
Quest’unico portale dovrebbe semplificare la gestione dei data breach, riducendo burocrazia e tempi di notifica. Tuttavia, il rischio di centralizzare le segnalazioni è che diventi facilmente un obiettivo per gli attacchi informatici (un singolo punto di fallimento). Inoltre, richiede coordinamento tra autorità di Stati con livelli di preparazione diversi.
Immagini generate tramite DALL-E. Tutti i diritti sono riservati. Università di Torino (08/12/2025).
