Digital Omnibus: fare ordine nel diritto digitale europeo ha un prezzo

L'Europa aveva accumulato anni di regolamenti digitali sovrapposti. Il Digital Omnibus è il tentativo di fare ordine. Ma tra le modifiche proposte ce n'è una che vale la pena capire bene, perché non è un dettaglio tecnico.

Negli ultimi dieci anni, l'Europa ha prodotto un corpus di regolamenti digitali che non ha precedenti nella storia del diritto. Il GDPR nel 2016, il Digital Services Act, il Digital Markets Act, l'AI Act, il Data Act, NIS2. Ogni regolamento con le sue definizioni, le sue scadenze, le sue autorità competenti, i suoi regimi sanzionatori. Ciascuno scritto per rispondere a un problema specifico, capace di intersecarsi con gli altri in modi non sempre previsti da chi li aveva scritti.

Il risultato, lo dicono anche i rapporti Letta e Draghi del 2024, è un sistema che funziona ma che è diventato difficile da applicare. Non perché le regole siano sbagliate, ma perché si sovrappongono, si contraddicono nei dettagli, richiedono adempimenti duplicati e obbligano le imprese a rivolgersi a più autorità nazionali per questioni che spesso dipendono dalle stesse norme europee.

Il Digital Omnibus, presentato dalla Commissione europea il 19 novembre 2025, è la risposta a questo problema. Non un nuovo regolamento, ma un intervento di manutenzione straordinaria: due proposte che toccano contemporaneamente GDPR, ePrivacy, NIS2, Data Act e AI Act, con l'obiettivo dichiarato di ridurre il carico amministrativo del 25% per tutte le imprese e del 35% per le PMI. L'espressione "omnibus" è precisa, quasi letterale: un veicolo che trasporta passeggeri diversi nello stesso viaggio.

Cosa cambia, in concreto

Le modifiche concrete sono molte. La notifica dei data breach passa da 72 a 96 ore, con un template standardizzato europeo. Si introduce un portale unico per le notifiche di violazione, invece degli adempimenti oggi dispersi tra autorità diverse di ciascuno Stato membro. Le PMI sotto i 750 dipendenti vengono esentate dall'obbligo del registro dei trattamenti, salvo che non effettuino trattamenti ad alto rischio o trattino categorie particolari di dati. Le scadenze per i sistemi di intelligenza artificiale ad alto rischio, che l'AI Act aveva fissato con date precise nel calendario, vengono collegate all'effettiva disponibilità degli standard tecnici armonizzati: un meccanismo più flessibile, pensato per evitare che le imprese debbano adeguarsi a regole la cui parte tecnica non è ancora stata scritta.

Per chi lavora con il diritto digitale, molte di queste modifiche sono benvenute. La razionalizzazione dei cookie, la riduzione delle informative ridondanti, il portale unico: semplificazioni che rispondono a problemi reali. A mio avviso, la Commissione ha fatto un lavoro onesto su questi punti. E il dibattito pubblico li ha quasi ignorati per concentrarsi su una questione diversa.

La modifica che vale la pena capire

La modifica più discussa riguarda il cuore del GDPR: la definizione di "dato personale".

Oggi, ai sensi dell'articolo 4 del regolamento vigente, un dato è personale se può essere ricondotto a una persona fisica identificata o identificabile, tenendo conto di tutti i mezzi che chiunque potrebbe ragionevolmente usare per identificarla. È un criterio oggettivo: il dato è personale in virtù della sua natura, indipendentemente da chi lo detiene. Se esiste qualcuno, da qualche parte, che in possesso di quel dato potrebbe risalire all'identità di una persona, allora quel dato è personale per tutti.

Il Digital Omnibus propone di sostituire questo criterio con uno soggettivo: un'informazione non è un dato personale per un determinato soggetto se quel soggetto non dispone di mezzi ragionevolmente usabili per identificare la persona fisica. In altre parole, la stessa sequenza di dati potrebbe essere un dato personale per Google, che ha gli strumenti per re-identificare chiunque, e non esserlo per un piccolo operatore che non ha quegli strumenti.

La protezione precede la conoscenza, non la segue. Il dato merita tutela non perché qualcuno lo abbia già usato per identificarti, ma perché qualcuno potrebbe farlo.

Capisco la logica della proposta. Il criterio soggettivo consente di ridurre l'area di applicazione del GDPR per molti operatori medio-piccoli che trattano dati pseudonimizzati senza avere alcuna reale capacità di identificare le persone a cui si riferiscono. C'è anche un precedente giurisprudenziale recente: la Corte di Giustizia, nella sentenza C-413/23 del settembre 2025, aveva ragionato in questi termini in un contesto specifico. E chi si occupa di tecnologie come la blockchain sa bene quanto questa questione sia concreta: i dati sulla catena sono pseudonimizzati per costruzione, ma la loro qualificazione giuridica come "personali" o meno rimane ancora un nodo irrisolto, molto vicino ai temi che ho affrontato nel contesto del rapporto tra nuove tecnologie e GDPR.

Il punto critico: chi decide se i tuoi dati sono tuoi?

Il criterio oggettivo attuale parte da una premessa con una logica costituzionale precisa: i tuoi dati meritano protezione non perché qualcuno li abbia già usati per identificarti, ma perché qualcuno potrebbe farlo. La tutela è preventiva. La proposta del Digital Omnibus inverte questa logica: la protezione si applica solo se il soggetto che tratta i tuoi dati è già in grado di identificarti. Se non lo è, i dati escono dall'ambito del GDPR.

Il rischio di re-identificazione non è statico. Cresce con l'evoluzione delle tecniche di analisi. Un'azienda che oggi non ha i mezzi per identificarti potrebbe averli domani, oppure potrebbe cedere i dati a un terzo che li ha. In quel passaggio, la protezione non si applica retroattivamente a dati che nel frattempo erano stati trattati come "non personali". E le tecniche di inferenza algoritmica, quelle stesse che alimentano i sistemi di intelligenza artificiale più avanzati, rendono questo scenario tutt'altro che ipotetico.

C'è poi una seconda complessità che ritengo sottovalutata: la frammentazione del sistema. Se lo stesso dataset è personale per un soggetto e non per un altro, le autorità di controllo nazionali si troveranno a dover valutare caso per caso se un determinato trattamento ricada o meno nel contesto del GDPR. Il risultato rischia di essere più incertezza, non meno. Non è un caso che i Garanti europei, riuniti nell'European Data Protection Board e nell'European Data Protection Supervisor, abbiano espresso riserve forti su questo punto specifico. E non è un caso che, secondo quanto emerge dall'iter in sede di Consiglio dell'Unione europea, questa modifica stia trovando resistenze tra molti Stati membri.

Dove si arriverà, probabilmente

Il percorso legislativo è appena cominciato. Il Parlamento europeo e il Consiglio stanno esaminando le proposte, e gli emendamenti sostanziali sono attesi prima di qualsiasi testo definitivo. Lo scenario che molti esperti considerano più probabile è una "semplificazione senza ridefinizione": il pacchetto viene approvato nelle sue componenti meno controverse, mentre la modifica all'articolo 4 del GDPR viene eliminata o sostituita con linee guida interpretative che chiariscano i casi specifici senza toccare la definizione generale.

Se così fosse, sarebbe un esito ragionevole. Non perché la logica soggettiva sia sbagliata in assoluto, ma perché modificare la definizione fondante del diritto europeo alla privacy attraverso un pacchetto di semplificazione introduce rischi sproporzionati rispetto ai benefici attesi. Semplificare le procedure è necessario. Ridefinire i diritti fondamentali è una questione diversa, che merita un dibattito separato.

L'Europa ha costruito un modello di protezione dei dati che viene studiato e parzialmente imitato in altre parti del mondo. Vale la pena mantenerlo stabile nelle sue fondamenta, mentre si lavora a renderlo più agile nelle procedure.