Digital Omnibus europeo: infrastruttura cyber di flussi di dati, governance della privacy e semplificazione del GDPR in un ecosistema tecnologico centralizzato.

Digital Omnibus: la rivoluzione silenziosa del consenso digitale in Europa

A cura di:Redazione Ore

Come il nuovo pacchetto normativo europeo ridisegna l’architettura della privacy online, tra semplificazioni GDPR e ripensamento del paradigma cookie.

L’alba di una nuova governance dei dati personali

Il panorama normativo europeo sulla protezione dei dati sta attraversando una metamorfosi strutturale. Il 19 novembre 2025, la Commissione Europea ha presentato il Digital Package on Simplification, un’iniziativa legislativa che promette di ricalibrare l’equilibrio tra tutela dei diritti fondamentali e competitività economica dell’Unione. Tra i pilastri di questa riforma emerge con particolare rilevanza la proposta di modifica al Regolamento (UE) 2016/679, meglio noto come GDPR, e una rivisitazione sostanziale delle regole sul consenso ai cookie.

L’iniziativa si articola in due strumenti legislativi distinti: un Digital Omnibus che interviene su GDPR, direttiva ePrivacy, Data Act e normativa sulla cybersicurezza, e un Digital Omnibus on AI dedicato alle modifiche dell’AI Act. Il pacchetto si accompagna inoltre alla Data Union Strategy e alla proposta di European Business Wallets, configurando un intervento sistemico sull’intero acquis digitale europeo.

Come sottolineato dalla Vice-Presidente esecutiva Henna Virkkunen nelle dichiarazioni successive alla pubblicazione, la semplificazione non significa ammorbidire gli standard, ma eliminare il “disordine regolamentare” che ostacola l’innovazione. Il Commissario alla Giustizia Michael McGrath ha precisato che non si tratta di una riapertura del GDPR, il cui nucleo essenziale rimane intatto, ma di misure mirate a favorire l’armonizzazione applicativa e a semplificare determinati obblighi.

Anatomia delle semplificazioni: cosa cambia nel GDPR

Il nuovo regime per le PMI: dalla compliance universale alla proporzionalità effettiva

La proposta introduce un principio di proporzionalità strutturale che modula gli obblighi di conformità in funzione delle dimensioni organizzative e della natura dei trattamenti effettuati. Un primo intervento era già stato operato con l’Omnibus IV, pubblicato il 21 maggio 2025, su cui l’EDPB e l’EDPS hanno espresso parere congiunto il 9 luglio 2025.

L’elemento più significativo riguarda l’esenzione dall’obbligo di tenuta del registro delle attività di trattamento ex articolo 30 del GDPR. La proposta estende la deroga alle imprese e organizzazioni con meno di 750 dipendenti, a condizione che il trattamento non presenti rischi elevati per i diritti degli interessati. Si tratta di un incremento considerevole rispetto alla soglia attuale di 250 dipendenti, giustificato dalla necessità di includere le cosiddette Small Mid-Cap Companies (SMC) nei benefici previsti per le PMI.

Anu Talus, Presidente dell’EDPB, ha accolto favorevolmente l’obiettivo di ridurre gli oneri amministrativi, osservando che la deroga attuale non sempre raggiungeva il suo scopo. Tuttavia, il Comitato ha chiesto chiarimenti sulla scelta della nuova soglia e ha raccomandato di precisare che le pubbliche amministrazioni rimangono escluse dalla deroga.

La Valutazione d’Impatto: verso un approccio risk-based maturo

L’articolo 35 del GDPR, relativo alla Data Protection Impact Assessment (DPIA), subisce una ricalibrazione significativa. La proposta mira a superare la frammentazione delle prassi nazionali attraverso l’elaborazione di liste unificate a livello europeo delle attività di trattamento che richiedono o meno una valutazione d’impatto. L’EDPB sarebbe incaricato di compilare tali liste e di sviluppare un template standardizzato per la DPIA, da sottoporre all’approvazione della Commissione.

Una volta adottate, queste liste unionali sostituirebbero le liste nazionali attualmente pubblicate dalle singole autorità di controllo, garantendo certezza giuridica alle organizzazioni che operano in più Stati membri. Le Linee Guida dell’EDPB sulla DPIA avevano già tentato di fornire orientamenti uniformi, ma la persistente eterogeneità applicativa richiedeva un intervento legislativo più incisivo.

Il nodo del consenso ai cookie: fine della cookie fatigue?

Dalla direttiva ePrivacy al GDPR: uno spostamento di baricentro

La componente più innovativa del pacchetto Digital Omnibus riguarda il trattamento del consenso per i cookie e le tecnologie di tracciamento analoghe. L’attuale framework, basato sulla Direttiva 2002/58/CE come modificata dalla Direttiva 2009/136/CE, ha prodotto il fenomeno universalmente noto come cookie banner fatigue: un’inflazione di richieste di consenso che, paradossalmente, ha eroso la consapevolezza degli utenti anziché potenziarla.

La proposta della Commissione opera uno spostamento strategico: le disposizioni sull’accesso ai dispositivi terminali, attualmente contenute nella direttiva ePrivacy, verrebbero trasferite nel GDPR. Questa migrazione comporta conseguenze rilevanti sul piano sanzionatorio, poiché le violazioni sarebbero soggette alle sanzioni previste dal GDPR, fino al 4% del fatturato annuo globale, garantendo maggiore effettività alla tutela dei consumatori.

Il consenso rimarrà necessario per la maggior parte delle attività di tracciamento, ma verranno introdotte eccezioni più ampie. In particolare, l’utilizzo di cookie per finalità di misurazione aggregata dell’audience e per scopi di sicurezza non richiederebbe più il consenso preventivo dell’utente. Quando le tecnologie di tracciamento comportano il trattamento di dati personali, il titolare potrà fare riferimento a qualsiasi base giuridica prevista dal GDPR, non esclusivamente al consenso.

I browser come gatekeeper del consenso: la centralizzazione delle preferenze

Un elemento particolarmente significativo della riforma è la promozione di meccanismi centralizzati per la gestione delle preferenze privacy. La Commissione prevede che, nel lungo termine, gli utenti possano esprimere le proprie scelte tramite segnali universali integrati nei browser, nei sistemi operativi o negli app store.

Questo approccio riecheggia lo standard tecnico Global Privacy Control (GPC), una specifica sviluppata dal W3C Privacy Working Group che consente agli utenti di comunicare automaticamente ai siti web la propria preferenza di non vedere venduti o condivisi i propri dati personali. Il GPC è già riconosciuto legalmente in California ai sensi del California Consumer Privacy Act, nonché in Colorado, Connecticut e New Jersey.

La proposta europea prevede che gli organismi di standardizzazione sviluppino specifiche tecniche per segnali machine-readable, e che la Commissione possa obbligare i produttori di browser e sistemi operativi a implementare tali funzionalità qualora il mercato non vi provveda spontaneamente. Decorsi sei mesi dall’entrata in vigore di tali standard, tutti gli editori sarebbero tenuti a rispettare i segnali di preferenza degli utenti.

Significativa l’eccezione prevista per i media service providers, esonerati dall’obbligo di rispettare tali segnali in considerazione del ruolo essenziale della pubblicità nel finanziamento del giornalismo indipendente.

Le reazioni dell’ecosistema: un coro dissonante

Le perplessità delle autorità di controllo e della società civile

L’European Data Protection Board ha accolto la proposta con cautela istituzionale. Se da un lato riconosce la legittimità dell’obiettivo di semplificazione, dall’altro manifesta preoccupazione per il potenziale indebolimento delle garanzie individuali.

Le critiche più severe provengono dalle organizzazioni per i diritti digitali. NOYB, l’organizzazione fondata da Max Schrems che ha promosso alcune delle più significative pronunce giurisprudenziali in materia di protezione dati, ha definito la proposta “il più grande attacco ai diritti digitali degli europei degli ultimi anni”. Secondo Schrems, le modifiche proposte aprirebbero numerose falle nella normativa, rendendola complessivamente inutilizzabile per la maggior parte dei casi. L’organizzazione ha pubblicato un’analisi dettagliata delle criticità della proposta.

Particolarmente controversa è la nuova disposizione che riconosce lo sviluppo e l’operatività di sistemi di intelligenza artificiale come legittimo interesse del titolare del trattamento. Questa previsione fornirebbe alle aziende una base giuridica più chiara per utilizzare dati personali nell’addestramento e nel funzionamento dei sistemi di IA, superando il dibattito sulla legittimità di tale pratica. I critici temono tuttavia che ciò equivalga a un “assegno in bianco” per le grandi aziende tecnologiche.

Le preoccupazioni investono anche la compatibilità con la giurisprudenza consolidata della Corte di Giustizia dell’Unione Europea. Nella sentenza Planet49 (causa C-673/17, 1 ottobre 2019), la Corte ha ribadito che il consenso all’installazione di cookie non essenziali deve essere attivo, libero, specifico e informato, escludendo la validità delle caselle pre-selezionate. La riforma dovrà dimostrare di non contraddire questi principi consolidati.

L’industria digitale: tra entusiasmo e opportunismo strategico

Le associazioni di categoria del settore tecnologico e pubblicitario hanno salutato con favore la proposta. DigitalEurope, la principale federazione industriale del settore, aveva da tempo sollecitato una revisione del regime del consenso, argomentando che l’attuale disciplina penalizza gli operatori europei rispetto ai competitor extracomunitari.

La GSMA e Connect Europe, che rappresentano gli operatori di telecomunicazioni europei, hanno accolto positivamente il pacchetto, così come la CCIA Europe, che tuttavia ritiene necessarie ulteriori e più incisive azioni di semplificazione.

Il contesto italiano: le Linee Guida del Garante sui cookie

In Italia, il quadro di riferimento per il consenso ai cookie è stato ridefinito dalle Linee Guida del Garante per la Protezione dei Dati Personali, adottate il 10 giugno 2021 e pubblicate in Gazzetta Ufficiale il 10 luglio dello stesso anno. Il provvedimento, entrato pienamente in vigore il 10 gennaio 2022, ha recepito le indicazioni dell’EDPB e i principi del GDPR, stabilendo regole dettagliate per l’acquisizione del consenso e la fornitura dell’informativa.

Tra i punti qualificanti delle Linee Guida italiane vi è l’obbligo di prevedere un meccanismo di rifiuto dei cookie equipollente a quello di accettazione: accanto al pulsante “Accetta” deve figurare un comando “Rifiuta” o una “X” con funzione equivalente. Lo scrolling della pagina, da solo, non costituisce più manifestazione valida di consenso, salvo che sia inserito in un processo più articolato che consenta all’utente di esprimere una scelta inequivoca e documentabile.

Il Garante ha inoltre chiarito che il cookie wall, ovvero il condizionamento dell’accesso ai contenuti all’accettazione dei cookie, è tendenzialmente illecito, salvo che il titolare offra all’interessato la possibilità di accedere a contenuti o servizi equivalenti senza prestare il consenso.

La riforma europea potrebbe rendere necessario un aggiornamento di queste disposizioni nazionali, qualora il nuovo framework introduca basi giuridiche alternative al consenso per determinate tipologie di tracciamento.

Implicazioni operative per i titolari del trattamento

La transizione verso il nuovo regime: una roadmap prudenziale

Le organizzazioni che operano nel mercato europeo dovranno affrontare un processo di adeguamento articolato in fasi distinte. Nella fase preparatoria, antecedente all’entrata in vigore delle modifiche, sarà opportuno condurre un’analisi differenziale tra le attuali prassi di compliance e i nuovi requisiti, identificando le aree di potenziale semplificazione e quelle che richiederanno un rafforzamento delle misure esistenti.

Particolare attenzione dovrà essere dedicata alla revisione delle informative privacy ex articoli 13 e 14 del GDPR per riflettere eventuali nuove basi giuridiche dei trattamenti. Qualora si intenda fare ricorso al legittimo interesse per finalità precedentemente basate sul consenso, sarà necessario documentare il balancing test e garantire la trasparenza nei confronti degli interessati.

I meccanismi di opt-out dovranno rispettare i principi di privacy by design e by default sanciti dall’articolo 25 del GDPR, garantendo che l’esercizio dell’opposizione sia altrettanto semplice della prestazione del consenso iniziale. La giurisprudenza della CGUE ha costantemente ribadito questo principio di simmetria.

Il ruolo del Data Protection Officer nell’era post-Omnibus

Il Responsabile della Protezione dei Dati, figura introdotta dall’articolo 37 del GDPR, assumerà una funzione ancora più strategica nella fase di transizione. Le competenze richieste si estenderanno dalla conoscenza normativa alla capacità di interpretare principi generali in contesti di incertezza regolamentare, fungendo da interfaccia tra le esigenze di business e i vincoli di conformità.

Prospettive evolutive: verso un’ecologia digitale sostenibile

L’integrazione con il framework dell’AI Act

La riforma del GDPR non può essere analizzata isolatamente dal più ampio contesto regolatorio europeo sul digitale. Il Regolamento (UE) 2024/1689 sull’intelligenza artificiale introduce requisiti specifici per i sistemi di IA che trattano dati personali, creando sovrapposizioni e potenziali tensioni interpretative con la disciplina generale sulla protezione dei dati.

Il Digital Omnibus on AI, parte integrante del pacchetto, propone di posticipare a dicembre 2027 l’entrata in vigore degli obblighi più stringenti per i sistemi ad alto rischio, estendendo al contempo alcune semplificazioni previste per le PMI anche alle Small Mid-Cap Companies. Questa dilazione temporale mira a consentire alle imprese di adeguarsi gradualmente ai nuovi requisiti, ma ha sollevato critiche da parte di chi teme un indebolimento delle tutele.

La dimensione geopolitica della privacy

La riforma si inserisce in un contesto di crescente competizione normativa globale. Mentre l’Europa ripensa il proprio modello, giurisdizioni come la California, il Brasile con la LGPD e l’India stanno elaborando framework privacy che, pur ispirandosi al GDPR, introducono varianti significative.

L’Unione Europea si trova di fronte a un dilemma strategico: mantenere il proprio primato come standard-setter globale in materia di protezione dati, rischiando però di imporre oneri che riducano la competitività delle imprese europee, oppure allinearsi a modelli meno stringenti, con il rischio di una corsa al ribasso nelle tutele. Il pacchetto Digital Omnibus rappresenta il tentativo di navigare tra questi due estremi, preservando i principi fondamentali del GDPR mentre ne modernizza l’architettura applicativa.

I prossimi passi del percorso legislativo

La proposta della Commissione seguirà la procedura legislativa ordinaria, con l’esame da parte del Parlamento Europeo e del Consiglio dell’Unione Europea. È previsto che le negoziazioni sui traguardi interinali (trilogue) inizino nella primavera 2026, con l’obiettivo di raggiungere l’adozione finale entro la metà dell’anno.

Esiste tuttavia la possibilità di un’accelerazione qualora il Parlamento decida di applicare la procedura d’urgenza prevista dall’articolo 170 del suo Regolamento interno, come già avvenuto per precedenti pacchetti omnibus. In tal caso, l’adozione potrebbe avvenire già nel primo trimestre 2026.

Parallelamente, la Commissione ha avviato una consultazione pubblica sul Digital Fitness Check, aperta fino al 16 marzo 2026, per raccogliere osservazioni sull’interazione tra le diverse normative digitali europee e sul loro impatto cumulativo sulle imprese. I risultati confluiranno in un rapporto atteso per il primo trimestre 2027.

Conclusioni: la privacy come infrastruttura democratica

La proposta di riforma contenuta nel Digital Omnibus trascende la dimensione meramente tecnico-giuridica per investire questioni di natura costituzionale. La protezione dei dati personali, come riconosciuto dall’articolo 8 della Carta dei Diritti Fondamentali dell’UE, costituisce un diritto fondamentale autonomo e un prerequisito per l’esercizio effettivo di altre libertà: espressione, associazione, autodeterminazione politica.

Semplificare non significa necessariamente depotenziare. Se correttamente implementata, la riforma potrebbe paradossalmente rafforzare l’effettività delle tutele, eliminando quegli elementi di complessità che oggi generano compliance formale priva di sostanza. Il consenso informato diventa significativo solo quando l’utente dispone degli strumenti cognitivi e tecnici per comprenderlo ed esercitarlo; la proliferazione di banner incomprensibili ha invece prodotto una desensibilizzazione collettiva che frustra gli obiettivi stessi del legislatore.

Il successo dell’iniziativa dipenderà dalla capacità delle istituzioni europee di resistere alle pressioni per trasformare la semplificazione in deregolamentazione, e dalla vigilanza attiva della società civile nel monitorare l’implementazione delle nuove norme. Come ha osservato l’European Digital Rights Initiative (EDRi), il problema non è il rulebook europeo, ma la sua effettiva applicazione: “se la Commissione dedicasse alla enforcement la stessa energia che impiega per ridimensionare le regole, non staremmo discutendo di semplificazione”.

In questo senso, il Digital Omnibus non è un punto di arrivo ma l’apertura di un nuovo capitolo nel dibattito europeo sulla governance dei dati, che richiederà il contributo di tutti gli stakeholder per tradursi in un effettivo progresso nella tutela dei diritti digitali.

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi