03/12/2025

idee

Digital Omnibus: la Commissione Europea semplifica le norme digitali UE

Di Stefano (LEXELLENT): punta a ridurre la burocrazia del 25% per le imprese entro il 2029, per favorire l'interoperabilità e il risparmio

Il 19 novembre la Commissione Europea ha presentato ufficialmente il pacchetto legislativo Digital Omnibus. Si tratta di un intervento senza precedenti, che mira a semplificare e rendere più efficace il sistema normativo europeo in materia di: digitale, dati, privacy, intelligenza artificiale, identità digitale e cybersicurezza.
Con oltre 150 pagine di testo normativo, allegati tecnici e una corposa relazione accompagnatoria di più di 200 pagine, si tratta di uno degli interventi di semplificazione legislativa più ambiziosi mai adottati in ambito UE.
L'obiettivo dichiarato è quello di ridurre la burocrazia e gli oneri amministrativi per le imprese di almeno il 25% entro il 2029, con una soglia più elevata (35%) per le PMI. La Commissione stima potenziali risparmi annuali superiori a 150 miliardi di euro, grazie alla digitalizzazione dei processi, alla semplificazione documentale e alla maggiore interoperabilità tra le normative esistenti. L'idea è creare un ecosistema normativo più coerente, prevedibile e adatto all'innovazione.

Dove interviene il Digital Omnibus

Il pacchetto tocca numerosi regolamenti esistenti:
- GDPR (privacy e protezione dei dati);
- AI Act (intelligenza artificiale);
- Cybersecurity Act e NIS2;
- Digital Services Act e Digital Markets Act
- Data Act e Data Governance Act;
- Regolamento eIDAS2 e European Digital Identity Wallet;
- DORA (resilienza operativa nel settore finanziario);
e interviene su molti aspetti, tra i quali, ad esempio:
- Portafoglio digitale d'impresa europeo (European Business Wallets);
- Consentirà a imprese, professionisti e PA di scambiarsi certificati, attestazioni di conformità, firme e dati aziendali verificati in formato digitale e interoperabile. Un unico "documento digitale aziendale" valido in tutta l'UE.

Single-entry point per gli incidenti digitali

Invece di segnalare separatamente violazioni di dati personali (GDPR), incidenti informatici (NIS2), impatti su sistemi finanziari (DORA), sarà attivato un unico sportello digitale per la notifica degli incidenti, riducendo duplicazioni e tempi.

Semplificazione degli obblighi privacy per le PMI

In merito alle modifiche al GDPR e alla disciplina ePrivacy, vengono alleggeriti gli obblighi informativi, armonizzate le valutazioni d'impatto (DPIA) a livello UE, esteso il termine per la notifica dei data breach da 72 a 96 ore e trasferita nel GDPR la disciplina su cookie e tecnologie di tracciamento, con l'introduzione di segnali di consenso automatici e machine-readable.

Sempre in ambito privacy, particolarmente delicato è l'intervento sull'articolo 4 del GDPR in merito alla definizione di dato personale. Viene specificato che un dato è personale solo se la persona è identificata o ragionevolmente identificabile, tenendo conto di: mezzi tecnici disponibili; costi, tempo e sforzi necessari; finalità del trattamento e, soprattutto, probabilità concreta (e non teorica) di identificazione. In altre parole, l'identificabilità deve essere "ragionevolmente probabile", non solo tecnicamente possibile. Questo elemento potrebbe restringere l'ambito del GDPR in alcuni casi (peraltro recentemente posti all'attenzione del Garante Europeo e della Corte di Giustizia Europea) come, ad esempio per dati pseudonimizzati, statistiche aggregate o dataset usati per l'addestramento di modelli IA. Per le imprese ciò dovrebbe significare avere criteri più concreti per valutare quali dati siano davvero personali e quali no, riducendo obblighi documentali quando l'identificabilità è in pratica molto improbabile.

Intelligenza artificiale: AI Act più flessibile

Il Digital Omnibus interviene anche sugli obblighi previsti dall'AI Act, soprattutto per i sistemi ad alto rischio. Vengono introdotte modifiche operative all'AI Act, con alleggerimenti per PMI e small-mid caps, revisione degli obblighi di AI literacy; periodi transitori più lunghi (entrata piena in vigore posticipata al 2027-2028) e una "regulatory sandbox europea" armonizzata, accessibile a startup e PMI in tutti gli Stati Membri, con supporto tecnico e giuridico. L'intento è di favorire l'innovazione e sperimentazione, anche in ambito europeo (considerata la supremazia, nel settore, di US e CINA) laddove il rischio non sia alto.

I benefici per le aziende e in particolare per le PMI

Per le imprese che operano adottando o volendo adottare strategie di digital transformation, il pacchetto Digital Omnibus potrà rappresentare un'occasione importante per:

- ridurre il carico regolamentare: la semplificazione e la razionalizzazione degli adempimenti possono tradursi in minori costi di compliance e tempi più rapidi per progetti digitali;
- migliorare l'integrazione tecnologica: per esempio strumenti come il wallet digitale e la segnalazione unificata degli incidenti consentono di costruire infrastrutture digitali interoperabili.

- confidare nella certezza normativa: l'allineamento delle regole su AI, dati e cybersecurity consente di pianificare con orizzonti più chiari l'adozione di tecnologie abilitanti senza temere imprevisti regolamentari.
Soprattutto PMI e Startup per beneficiare di facilitazioni: grazie alle misure specifiche che riducono per loro gli obblighi formali e introducono strumenti ad hoc, le imprese di dimensione contenuta potranno investire di più e più facilmente in innovazione.

Semplificazione o deregolamentazione?

A fronte della vastità degli interventi, della molteplicità dei provvedimenti toccati, dell'ampiezza e della ambizione degli obiettivi perseguiti, occorre però chiedersi se il Digital Omnibus rappresenterà un'autentica semplificazione o rischia di sfociare in una deregolamentazione che potrebbe indebolire la tutela dei diritti fondamentali.

Alcuni termini posticipati in ambito di regolamentazione dell'AI, le disposizioni relative ai sistemi non ad alto rischio (ma comunque comportanti un rischio), l'interpretazione della nozione di dato personale, sono solo alcuni degli ambiti che toccano direttamente i principi fondanti delle rispettive (recenti) normative regolamentari ispirati ai valori della Carta dei Diritti Fondamentali dell'Unione Europea.
Il Digital Omnibus, soprattutto con le semplificazioni su privacy e AI soprattutto, sembra voler riequilibrare il bilanciamento tra diritti della persona e libera iniziativa economica.
Potrà esserci vera semplificazione solo se la stessa, attuata dalle imprese in maniera consapevole e attenta, non creerà nuovi contenziosi che porterebbero a costose cause, incertezze e nuovi interventi normativi di ripensamento.

Prossime tappe e implicazioni operative

Il Digital Omnibus è una proposta legislativa: dovrà essere ora esaminata e approvata dal Parlamento Europeo e dal Consiglio. Potranno essere presentati emendamenti, modifiche o chiarimenti interpretativi da parte degli Stati membri e del legislatore europeo.
Per le imprese, è quindi fondamentale non solo monitorare l'avanzamento del processo, ma anche attivare una adeguata governance interna dei dati, dell'IA e della cybersecurity che sia "compliance-ready": definire ruoli e responsabilità, aggiornare policy aziendali, analizzare i processi di trattamento dati e predisporre scenari tecnologici e operativi compatibili con le normative coinvolte.

Mappatura aggiornata dei trattamenti dati - Analizzare i processi attivi in azienda, in particolare quelli che coinvolgono dati personali o sistemi di IA, verificando l'identificabilità delle persone, la base giuridica utilizzata e la coerenza con l'approccio di "identificabilità ragionevole".
Revisione della governance IA e data strategy - Integrare nella strategia aziendale i nuovi strumenti e valutare i sistemi ad alto rischio, includendo la previsione di scenari di entrata in vigore differita.
Adeguamento della policy degli incidenti digitali - Prepararsi all'uso del single-entry point per le notifiche, rafforzando i processi interni di rilevazione, classificazione e segnalazione degli incidenti sotto GDPR, NIS2, DORA.

Formazione e consapevolezza digitale - Avviare o aggiornare il piano di formazione per dipendenti e funzioni impattate dai cambiamenti normativi in arrivo.
Valutazione degli impatti per le PMI e comunicazione agli stakeholder - Analizzare i vantaggi della semplificazione e al contempo informare investitori, clienti e partner sulle misure di governance adottate, per trasformare la compliance in un elemento di fiducia e competitività e per semplificare i flussi operativi con tutta la filiera.

Una trasformazione culturale prima che normativa

Per le imprese italiane attive nella digital transformation, il messaggio è chiaro: la compliance non sarà più solo adempimento, ma parte integrante dell'innovazione, della fiducia digitale e della competitività. La compliance non deve essere vista solo come un costo: se gestita in modo proattivo, può diventare un fattore di vantaggio competitivo.

In conclusione, il pacchetto Digital Omnibus del 19 novembre 2025 costituisce una tappa cruciale nella regolazione digitale europea: rappresenta una concreta occasione per le imprese italiane orientate alla trasformazione digitale oggi oberate da burocrazia e complessità, purché siano pronte a governare i cambiamenti normativi con rigore, strategia e consapevolezza.

Avv. Ugo Ettore Di Stefano - Studio Legale Lexellent - www.lexellent.it