HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
de|en|it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi Digital Omnibus Package: le proposte di semplificazione normativa della Commissione UE

Digital Omnibus Package: le proposte di semplificazione normativa della Commissione UE

Print Mail Rate-it

​​​​​​​​​​​​​​​​​​​​​​Ultimo aggiornamento del 8.01.2026 | Tempo di lettura ca. 8 minuti

Il 19 novembre 2025 la Commissione Europea ha pubblicato il cosiddetto Digital Omnibus Package, un’iniziativa composta da due proposte gemelle di regolamento, nn. 836 e 837/2025, che entrano ora ufficialmente nella procedura legislativa ordinaria di codecisione. Il pacchetto si colloca nella cornice della strategia digitale 2024-2029 della Presidente Von der Leyen e dà attuazione alle raccomandazioni del Rapporto Draghi sulla competitività dell’Unione. 

L’obiettivo dichiarato è chiaro: la Commissione Europea intende snellire un ecosistema normativo percepito come eccessivamente frammentato, oneroso e ridondante (vds. le proposte abrogative contenute nella proposta n. 837/2025). 

La proposta n. 836/2025: modifiche mirate all’AI Act​​

La c.d. proposta Digital Omnibus on AI introduce una revisione selettiva, ma significativa dell’AI Act, intervenendo soprattutto sui profili di compliance e sulle condizioni operative per i sistemi di IA ad alto rischio.

Estensione delle agevolazioni a favore delle Small Mid-Cap Enterprises (“SMCs”)​​

Le semplificazioni già previste per le PMI vengono ora estese anche alle SMCs, come definite dalla Raccomandazione della Commissione n. 1099/2025. L’intento è quello di creare un ambiente più favorevole alle imprese innovative che, pur oltrepassando i confini dimensionali delle SMEs, non dispongono delle risorse delle grandi imprese. Questa estensione comporta, tra l’altro, la possibilità di predisporre una documentazione tecnica semplificata (ai sensi dell’art. 10 e Annex IV) per i sistemi ad alto rischio, che la Commissione dovrà formalizzare attraverso un modello standardizzato.

Revisione dell’articolo 4 e introduzione dell’articolo 4a​​

L’articolo 4 viene trasformato in una promozione “positivizzata” dell’AI literacy da parte della Commissione e degli Stati membri, con l’obiettivo di garantire un livello minimo di competenze per fornitori e deployer di sistemi di IA, mantenendo però invariato l’impianto dell’art. 26 relativo ai deployer di sistemi ad alto rischio.

L’articolo 4a, invece, introduce una eccezione specifica per il trattamento di categorie particolari di dati personali quando necessario per individuare e mitigare bias, subordinatamente a condizioni cumulative, tra le quali: impossibilità di utilizzare dati alternativi (es. dati sintetici), misure di sicurezza rafforzate e cancellazione tempestiva dei dati particolari.

​​Modifiche all’articolo 6 AI Act sui sistemi considerati “non” ad alto rischio

Le imprese non dovranno più registrare nel database centrale le IA che, pur ricadendo in ambiti ad alto rischio, sono valutate internamente come non ad alto rischio. La formulazione attuale dell’art. 6 prevede infatti l’iscrizione obbligatoria in un database europeo anche per queste soluzioni. Con l’emendamento proposto all’Articolo 6(3) e (4), invece, sarebbe sufficiente documentare internamente la valutazione del rischio e conservarla per eventuali controlli delle autorità competenti, senza trasmettere automaticamente la scheda di registrazione al database centrale.

Codici di buone pratiche e spazi di sperimentazione normativa​​

La proposta rafforza il ricorso a codici di condotta per l’attuazione degli obblighi di trasparenza dell’art. 50, relativi all’indicazione del contenuto generato artificialmente (una prima bozza è stata pubblicata il 17 Dicembre 2025), prevedendo un percorso di approvazione analogo a quello dell’art. 56. In parallelo, viene ampliato l’accesso agli spazi di sperimentazione normativa, che potranno accogliere con maggiore sistematicità start-up, SMEs e SMCs.

​Revisione della timeline applicativa

La proposta Digital Omnibus on AI e le iniziative parallele che sono oggetto di sviluppo, hanno incontrovertibilmente condotto alla revisione della timeline originariamente prevista all’art. 113 dell’AI Act.
Sostanzialmente, la piena applicazione del Capo III (obblighi per i “Sistemi di IA ad alto rischio”) dipenderà da una decisione di adeguatezza della Commissione UE sulla disponibilità di misure a supporto dell’implementazione dell’AI Act. In particolare, si intende fare riferimento all’esistenza (o, rebus sic stantibus, inesistenza) di standard tecnici europei, attualmente sotto analisi ed elaborazione da parte del CEN-CENELEC JTC 21. 

Qualora la Commissione UE dovesse adottare una decisione di tal fatta, i termini saranno, rispettivamente: di 6 mesi dall’adozione della decisione, per i sistemi ad alto rischio di cui all’art. 6.2 Allegato III; di 12 mesi dall’adozione della decisione, per i sistemi ad alto rischio di cui all’art. 6.1 Allegato I.

In assenza di tale decisione, i termini diventeranno automaticamente:
  • 2 dicembre 2027 per i sistemi ad alto rischio di cui all’art. 6.2 Allegato III;
  • 2 agosto 2028 per i sistemi ad alto rischio di cui all’art. 6.1 all’Allegato I.

La proposta n. 837/2025: interventi su GDPR e quadro digitale​

Se la proposta 836 si concentra sull’AI Act, la proposta 837/2025 affronta una revisione più ampia e trasversale delle principali normative digitali europee. Le modifiche al GDPR rappresentano certamente il fulcro dell’intervento, ma il testo contiene anche importanti innovazioni sul Data Act, sul Data Governance Act (di cui si propone l’abrogazione), sulla direttiva ePrivacy e sulla disciplina delle notifiche di incidenti di sicurezza.

In sintesi, la proposta interviene su:
  • ​Modifiche alla definizione di “dato personale”.

Riprendendo l’orientamento della Corte di giustizia (caso EDPS v. SRB), la Commissione precisa che un’informazione non è necessariamente un dato personale in astratto, ma lo diventa solo per il soggetto che dispone di mezzi ragionevoli per identificare l’interessato. La precisazione mira a facilitare la circolazione di dati pseudonimizzati, pur richiedendo una valutazione documentata sull’effettiva identificabilità.

Trattamento di dati particolari e verifica biometrica​

La proposta modifica l’art. 9 GDPR introducendo: 
  • una nuova esenzione per l’uso di dati biometrici a fini di “verifica biometrica”, purché i dati o i mezzi di verifica restino sotto il controllo diretto dell’interessato;
  • un chiarimento, rilevante per i sistemi di IA, secondo cui i dataset devono essere progettati per evitare l’inclusione di dati particolari. Qualora ciò non sia tecnicamente possibile, tali dati possono permanere nel dataset ma non essere utilizzati per la generazione degli output.

Legittimo interesse per l’addestramento dei sistemi di IA​

Con l’introduzione del nuovo art. 88c GDPR, il legittimo interesse viene espressamente riconosciuto come base giuridica per lo sviluppo, l’allenamento e il funzionamento dei sistemi di IA, subordinatamente a garanzie rafforzate (trasparenza, minimizzazione, diritto incondizionato di opposizione). La norma fornisce un perimetro più chiaro per attività oggi centrali nel mercato digitale.

Semplificazione degli obblighi informativi​

La Commissione propone l’esenzione dall’obbligo di informativa nei casi in cui l’interessato si trovi in un rapporto chiaro, circoscritto e vi siano motivi ragionevoli per ritenere che conosca già le informazioni essenziali. La proposta stabilisce infatti che il titolare può essere esonerato dal fornire integralmente le informazioni previste dagli articoli 13 e 14 GDPR, quando sussistono condizioni che rendono ragionevole presumere che l’interessato sia già a conoscenza degli elementi essenziali del trattamento.

Tuttavia, la deroga agli obblighi informativi non si applica qualora il titolare intenda trasmettere i dati a ulteriori destinatari, effettuare trasferimenti verso Paesi terzi, attivare processi decisionali automatizzati, oppure quando il trattamento è probabile fonte di rischio elevato ai sensi dell’art. 35 GDPR. In tali circostanze, il bisogno di tutela dell’interessato rimane preminente e richiede il rispetto integrale degli obblighi di trasparenza.

​Decisioni interamente automatizzate

La nuova formulazione dell’art. 22 GDPR supera l’impostazione fortemente restrittiva previgente, chiarendo che una decisione automatizzata può essere considerata “necessaria” per l’esecuzione di un contratto anche quando esista un’alternativa non automatizzata, fermo restando il diritto all’intervento umano. L’intervento è destinato a facilitare numerosi processi aziendali standardizzati.

​Notifiche di data breach e punto unico di segnalazione

Il termine per la notifica all’autorità di controllo verrebbe esteso da 72 a 96 ore e la soglia di rischio viene allineata a quella prevista per la comunicazione agli interessati. La principale novità è però l’istituzione di un portale unico europeo, gestito da ENISA, che consentirà di adempiere con un’unica segnalazione agli obblighi previsti da GDPR, NIS2, DORA e altre normative settoriali.

​Riforma della governance dei dati

La proposta prevede la confluenza di Data Act, Data Governance Act, Open Data Directive e FFDR in un unico Data Framework Regulation, con l’obiettivo di eliminare sovrapposizioni e incoerenze definitorie, soprattutto nei casi di dataset misti. Vengono inoltre rafforzate le tutele dei segreti commerciali, in particolare nei flussi di dati verso Paesi terzi.

​​​Cookie e strumenti di tracciamento

Infine, l’art. 5(3) della direttiva ePrivacy viene trasposto nel nuovo art. 88a GDPR, favorendo la costruzione di un quadro unitario su consenso e tecnologie di tracciamento. Il nuovo impianto normativo vorrebbe introdurre un regime unico per cookie, SDK, fingerprinting, cross-device tracking e tecnologie analoghe, allineando la raccolta dei dati tramite terminale con i principi generali del GDPR. A tal fine, la proposta 837/2025 prevede che il consenso rimanga necessario per tutte le attività di tracciamento non strettamente necessarie, ma restringe e chiarisce in modo puntuale le ipotesi di esenzione, limitandole ai soli casi a basso rischio o indispensabili per la fornitura del servizio richiesto dall’utente. 

Tra le innovazioni di maggior rilievo vi è inoltre l’introduzione di segnali automatizzati e machine-readable provenienti da browser o sistemi operativi, che diventeranno vincolanti per i titolari una volta adottati gli standard tecnici. Questo meccanismo consentirebbe all’utente di esprimere in modo centralizzato e una tantum le proprie preferenze sul tracciamento, riducendo drasticamente l’esigenza di interagire con banner ripetitivi.

Come prepararsi?​

Il Digital Omnibus Package rappresenta un tentativo, ancorché imperfetto, della Commissione di riportare coerenza e proporzionalità nel quadro normativo digitale europeo. Le modifiche proposte incidono su pilastri centrali come GDPR e AI Act, intervenendo su aspetti operativi che negli ultimi anni hanno creato appesantimenti per alcune imprese e pubbliche amministrazioni.

In questa fase, è quindi prematuro trarre conclusioni definitive sull’impatto complessivo del pacchetto.
Senza anticipare adempimenti futuri né dare per scontato l’esito delle negoziazioni, può risultare utile per gli operatori avviare una mappatura interna preliminare dei sistemi di intelligenza artificiale già adottati o in fase di sviluppo, così da ottenere un quadro aggiornato delle tecnologie impiegate e dei relativi flussi di dati.

Un esercizio di questo tipo – insieme a una verifica dei processi già esistenti in materia di protezione dei dati e governance delle informazioni – permette di valutare la coerenza con il quadro normativo attuale e di identificare eventuali aree che potrebbero richiedere un adeguamento qualora le proposte contenute nel pacchetto Digital Omnibus dovessero essere confermate.​​​​​​

Si suggerisce un approccio prudente e proporzionato, che consente alle organizzazioni di prepararsi con gradualità a un contesto regolatorio in evoluzione, senza assumere obblighi non ancora definiti e senza sottovalutare i livelli di compliance vigenti e di prossima applicazione, sebbene questi potrebbero mutare nel corso dei prossimi mesi o anni.

dalla newsletter
Legal Newsletter​​​​​​​

autore

Contact Person Picture

Silvio Mario Cucciarrè, LL.M.

Avvocato

Associate

+39 02 6328 841

Invia richiesta

Profilo

Contact Person Picture

Nadia Martini

Avvocato

Partner

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi

​​Compliance Cyber Security
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu