Se non ne avete ancora sentito parlare, il Digital Omnibus è un pacchetto di proposte legislative adottato dalla Commissione Europea il 19 novembre 2025 per mettere ordine alla disciplina digitale affastellata in troppi provvedimenti. L’obiettivo dichiarato è semplificare le norme digitali per ridurre i costi burocratici alle imprese, stimolare l’innovazione (soprattutto nell’AI) e aumentare la competitività dell’UE nel contesto globale. Include modifiche al GDPR (protezione dati), all’AI Act, alla direttiva ePrivacy, al NIS2 e ad altre regole su cybersecurity e dati, compreso il Data Act.
Tuttavia, un’analisi congiunta pubblicata il 14 gennaio 2026 dalle ONG LobbyControl e Corporate Europe Observatory (CEO) conclude che queste proposte riflettono in gran parte le richieste delle grandi aziende tech americane (Big Tech), come Google, Meta, Microsoft, e le loro associazioni (CCIA, DigitalEurope). Le due organizzazioni hanno confrontato articolo per articolo le proposte della Commissione con documenti di lobbying, trovando almeno sette casi in cui le posizioni delle Big Tech sono state incorporate quasi letteralmente.Ecco i punti chiave dell’analisi:
Definizione di “dati personali” indebolita nel GDPR – Permette alle aziende di escludere più facilmente dati anonimizzati o di decidere autonomamente cosa sia protetto, riducendo l’ambito di applicazione della legge (richiesta da Microsoft e altri).
Limitati diritti di accesso e informazione per i cittadini – Meno trasparenza su quali dati le piattaforme conservano su di noi.
Uso di dati personali per addestrare AI – Introduce una nuova base legale (art. 88c GDPR) che considera lo sviluppo/operatività di AI come “interesse legittimo”, permettendo l’uso ampio di dati personali (anche sensibili) senza consenso stretto (posizione spinta da Google, Meta e CCIA).
Facilitazioni al tracking – Collegamento tra ePrivacy e GDPR per rendere più facili cookie e tracciamento senza consenso pieno.
Eliminazione del database pubblico per AI ad alto rischio – Le aziende valutano da sole i rischi, senza registrazione obbligatoria e controllo esterno.
Ritardi nell’applicazione dell’AI Act – Posticipi fino a 16 mesi (o più) per sistemi ad alto rischio (es. riconoscimento biometrico, decisioni automatizzate, rilevamento emozioni), tenendo sul mercato tecnologie pericolose più a lungo (richiesto da CCIA e DigitalEurope con almeno 12 mesi di ritardo).
Autodeterminazione su dati sensibili in AI – Le aziende decidono se il trattamento è “necessario” per i loro sistemi.
Queste modifiche, secondo le ONG, favoriscono soprattutto le piattaforme USA dominanti (che controllano già enormi quantità di dati), rafforzando la loro concentrazione di potere e rendendo più difficile la concorrenza europea. Invece di aiutare PMI o sovranità digitale, aumentano i rischi di sorveglianza di massa, profilazione, discriminazione algoritmica e decisioni automatizzate non trasparenti.
Lo smantellamento del GDPR, la riorganizzazione delle norme, la modifica degli obblighi attuali e l’inserimento di nuovi non dovrebbe essere considerato un tagliando regolamentare ma un ulteriore costo di compliance che incide particolarmente sulle PMI. Quando Giustiniano mise ordine alle norme dei romani, si ispirò a mantenere cio’ che era buono e necessario. Ora senza disturbare i Pandettisti, il Digesto e gloriosi esempi del passato, perchè è un passato che non tornerà più, rinveniamo in questo Bruxelles effect un pericoloso tentativo di smantellare gli attuali obblighi e favorire i giganti dell’Intelligenza Artificiale. Non si può dire che il dibattito si è polarizzato, è un’osservazione troppo semplicistica delle cose. Non è vero che gli stakeholders si sono divisi sull’Omnibus Digitale. Per i consulenti è un’occasione di business importante. Molti opinionisti ne sono entusiasti. Io appartengo invece alla categoria di quelli che vede nell’Omnibus una minaccia alle libertà, inclusa la libertà di impresa in Europa. Ma non tocca a me ricordare di cosa è fatto il nostro tessuto produttivo. L’impatto sarà come sempre peggiorativo per le PMI e comunque non proporzionale alla dimensione delle imprese. Per le nostre imprese non vedo vantaggi significativi, non tanti quanti quelli riconosciuti alle grandi tech USA.
Sommario
Il Digital Omnibus europeo
Il termine “Omnibus” si riferisce a una proposta della Commissione Europea per aggiornare diverse leggi contemporaneamente. Inizialmente doveva servire solo a correggere piccoli errori tecnici del GDPR (il regolamento sulla privacy), ma ora punta a modifiche sostanziali.
Il problema principale riguarda la definizione di “dati personali”. La Commissione vorrebbe cambiarla per adattarla alle nuove tecnologie, ma cambiare una definizione così importante in modo frettoloso potrebbe creare confusione legale invece di risolverla.
Intelligenza Artificiale e Privacy
Un altro punto critico dell’Omnibus è l’Intelligenza Artificiale (IA). Attualmente, usare il GDPR con l’IA è difficile. Ci sono domande senza risposta: come si cancellano i dati usati per “addestrare” un computer? Qual è la base legale per farlo? Gli esperti suggeriscono di non correre e di integrare meglio le regole dell’IA con quelle della privacy, proteggendo i diritti dei 450 milioni di cittadini europei senza bloccare l’innovazione.
La Responsabilità dei Produttori per salvare le PMI
Oggi, se un software viola la privacy, la colpa ricade spesso sull’azienda che lo usa (anche una piccola impresa). Una proposta interessante è la “responsabilità del produttore”: chi crea il software (i giganti del tech) dovrebbe progettarlo rispettando la privacy già “alla nascita” (Privacy by Design). Questo alleggerirebbe il peso burocratico e legale sulle piccole e medie imprese. Le autorità per la privacy europee hanno deciso progressivamente di cambiare approccio: meno sanzioni “al buio” e più dialogo. L’obiettivo è creare modelli, FAQ e guide semplici per aiutare aziende e ricercatori a rispettare le regole senza impazzire tra i tecnicismi. L’Europa sta cercando di aggiornare le sue regole per l’era dell’IA. La sfida è riuscire a farlo senza fretta, garantendo che le nuove tecnologie siano sicure per le persone e facili da gestire per le imprese.
L’equilibrio tra Semplificazione Amministrativa e Diritti Fondamentali
Il fulcro del dibattito è la tensione tra l’esigenza della Commissione Europea di rendere l’AI Act più agile (riducendo gli oneri burocratici per le imprese) e la necessità di proteggere i cittadini. EDPB e EDPS chiariscono che la “semplificazione” non deve tradursi in un indebolimento delle tutele. Il rischio percepito è che, per favorire la competitività economica, si creino zone grigie in cui i diritti fondamentali (privacy, non discriminazione, trasparenza) passino in secondo piano.
Trattamento di Dati Particolari per la Correzione dei Bias
Uno dei punti più innovativi riguarda l’uso di dati sensibili (come origine etnica o dati sanitari) per “addestrare” l’IA a non essere discriminatoria.
La sfida: Spesso, per capire se un algoritmo è razzista o sessista, gli sviluppatori hanno bisogno di testarlo proprio su quei dati protetti.
La posizione dei Garanti: Accettano questa possibilità ma chiedono paletti rigorosi. L’uso di tali dati deve essere l’ultima spiaggia (circostanze limitate) e applicato solo quando il rischio di un pregiudizio grave è concreto. Non deve diventare un “assegno in bianco” per raccogliere dati sensibili in modo indiscriminato.
La Responsabilità (Accountability) e il Rischio di “Autocertificazione”
Il Digital Omnibus propone di eliminare l’obbligo di registrazione per alcuni sistemi che i fornitori considerano “non ad alto rischio”, anche se rientrano formalmente nelle categorie critiche.
La critica: EDPB e EDPS vedono in questo un incentivo pericoloso. Se un’azienda può decidere autonomamente di non registrarsi per evitare controlli pubblici, viene meno il principio di trasparenza. I Garanti sostengono che la registrazione sia un pilastro della responsabilità: chi sviluppa tecnologie impattanti deve essere visibile e tracciabile.
Innovazione Controllata: Sandbox e Governance
Le “sandbox normative” sono ambienti protetti dove testare nuove IA sotto la supervisione delle autorità.
Richiesta di Chiarezza: Il parere insiste affinché le autorità per la protezione dei dati (DPA) abbiano un ruolo centrale di vigilanza anche in queste zone di test.
Coordinamento: Si chiede che l’EDPB abbia un ruolo di osservatore presso il futuro Comitato Europeo per l’IA, per evitare che la regolamentazione tecnica dell’IA viaggi su binari separati rispetto a quella sulla privacy.
Cooperazione tra Autorità e Indipendenza
La proposta mira a creare “punti di contatto centrali” per rendere più fluida la comunicazione tra diverse agenzie (vigilanza del mercato e diritti fondamentali).
Il timore: Che le autorità di vigilanza del mercato (più orientate al prodotto) possano in qualche modo limitare l’indipendenza delle Autorità Privacy. Il parere ribadisce che l’indipendenza dei Garanti della protezione dei dati è un requisito costituzionale dell’UE e non può essere subordinata a logiche di mercato.
Alfabetizzazione sull’IA (AI Literacy)
Un tema spesso sottovalutato ma cruciale è la formazione. Il parere sottolinea che la responsabilità di formare il personale non può ricadere solo sullo Stato o sulla Commissione. Le aziende che sviluppano o usano IA hanno l’obbligo etico e legale di garantire che i propri dipendenti capiscano gli strumenti che usano, per evitare usi impropri o dannosi.
Tempistiche e Urgenza (Il Rinvio delle Scadenze)
Infine, c’è la preoccupazione per il rinvio dell’applicazione di alcune norme sull’IA ad alto rischio. Dato che l’IA evolve a una velocità senza precedenti, ritardare gli obblighi di trasparenza e sicurezza significa lasciare i cittadini scoperti per mesi o anni. I Garanti chiedono di mantenere la tabella di marcia originale il più possibile, specialmente per i requisiti minimi di trasparenza.
