Il Regolamento punta a semplificare il quadro normativo europeo su dati, AI e cybersicurezza, incidendo però anche sulle garanzie per gli interessati. Ecco come le modifiche coinvolgono GDPR, Data Act e AI Act, con nuovi criteri su dati personali, notifiche di violazione, spazi europei dei dati e obblighi per sistemi AI ad alto rischio Avvocato – DPO UNI 17740 – Auditor/L.A. ISO 27001:2022 e 42001:2023 – DAMA Italy Scientific Committee Contributor L’impatto potenziale delDigital Omnibusappare di notevole rilievo e non solo di semplificazione. Il Regolamento, infatti, mira a incidere in maniera significativa e profonda sullo sviluppo degli spazi europei dei dati settoriali, concepiti dallaEuropean Data Strategycome infrastrutture di condivisione sicura e interoperabile. Prima di muovere oltre e spostarsi sull’analisi delle opinioni diEDPBedEDPSe della posizione del Parlamento, per meglio comprendere la portata delle citate modifiche, pare opportuno un approfondimento – seppur sempre in chiave di sintesi – degli impatti sulle singole normazioni. Il Digital Omnibus si inserisce nel quadro dellaprotezione dei dati personalicon interventi mirati, di natura prevalentemente interpretativa (almeno a una prima lettura), che incidono su specifici profili applicativi, e così ad esempio: In questa prospettiva, una informazione può qualificarsi come dato personale solo nella misura in cui il singolo operatore sia concretamente in grado di identificare una persona fisica, tenendo conto degli strumenti effettivamente disponibili. Ne deriva che, laddove tale identificazione non sia ragionevolmente praticabile con i mezzi a disposizione, l’informazione non assume natura personale rispetto a quello specifico soggetto; In particolare, viene chiarito che il carattere abusivo può emergere quando l’esercizio dei diritti non sia funzionale alla tutela dei dati personali dell’interessato, ma persegua finalità ulteriori, ad esempio di natura strategica o contenziosa; Con riferimento alData Act, l’Omnibus interviene nel senso di: Per quanto riguarda l’AI Act, invece –anche alla luce delle linee guida della Commissione europea dell’11 maggio 2026– l’intervento del Digital Omnibus si orienta verso: Il Digital Omnibus affronta anche il problema dellaframmentazione degli obblighi di notifica in caso di incidentie, in effetti, la razionalizzazione procedurale costituisce uno degli aspetti più rilevanti, in quanto incide direttamente sui costi di compliance e sulla gestione del rischio da parte delle imprese. In questo senso, la previsione di un “Single-Entry-Point”, ossia di un portale digitale centralizzato gestito daENISA(Agenzia dell’UE per la cybersicurezza), che funga da interfaccia unica per tutte le segnalazioni di incidenti, avrebbe il merito effettivo di snellire gli aspetti procedurali, rispondendo al principio del “Report once, share many“. In virtù di ciò i soggetti potrebbero inviare un’unica notifica attraverso il SEP che poi smisterà automaticamente le informazioni alle autorità nazionali o europee competenti (es. Garante Privacy, CSIRT nazionali, BCE). Tale sistema dovrà essere progettato per essere interoperabile con altri strumenti, come ad esempio l’EU Business Walletper l’identificazione dell’entità che effettua la segnalazione. Nel complesso, quindi, gli interventi esaminati sembrerebbero non essere semplicemente volti a orientare l’applicazione pratica delle normative pilastro dellaEU Data Strategy, bensì a incidere sui principi fondanti, attenuando (e di molto in alcuni casi) le garanzie e le protezioni per gli interessati. Alla luce di ciò, risulta più evidente laratioalla base delle preoccupazioni espresse da istituzioni europee, autorità di protezione dei dati e organismi di controllo (oltre che dalle imprese, dagli operatori del settore e dalla società civile), che si analizzeranno a seguire. Il parere congiunto dell’European Data Protection Board (EDPB)e dell’European Data Protection Supervisor (EDPS)offre un punto di vista articolato che evidenzia in maniera chiara quelli che sono gli elementi positivi e le criticità e/o riserve formali, che si riportano a seguire come daexecutive summarydel citato documento. L’EDPB e l’EDPS sostengono in linea di principio l’estensione proposta della base giuridica che consenta il trattamento eccezionale di categorie particolari di dati personali ai fini dell’individuazione e della correzione dei pregiudizi. Allo stesso tempo, per evitare potenziali abusi, i casi in cui i fornitori e gli utilizzatori potrebbero avvalersi di tale base giuridica nel contesto di sistemi e modelli di AI a basso rischio dovrebbero essere chiaramente circoscritti e limitati ai casi in cui il rischio di effetti negativi causati da tali pregiudizi sia sufficientemente grave. Allo stesso modo, l’EDPB e il GEPD raccomandano di mantenere lo standard di stretta necessità attualmente applicabile al trattamento di categorie particolari di dati personali per l’individuazione e la correzione di pregiudizi in relazione ai sistemi di IA ad alto rischio. L’EDPB e l’EDPS sostengono l’obiettivo generale della Proposta di alleggerire gli oneri amministrativi a carico degli operatori, raccomandando, tuttavia, di mantenere l’obbligo per i fornitori di registrare i sistemi di AI nella banca dati dell’UE per i sistemi ad alto rischio anche nei casi in cui il fornitore abbia concluso che il sistema non sia ad alto rischio, nonostante sia menzionato nell’allegato III della legge sull’AI. La proposta di sopprimere tale obbligo di registrazione ridurrebbe significativamente la responsabilità dei fornitori di sistemi di AI e costituirebbe un incentivo indesiderato per i fornitori a invocare indebitamente tale esenzione. L’EDPB e l’EDPS sostengono la creazione di sandbox normativi per l’AI a livello dell’UE per promuovere l’innovazione e aiutare le piccole e medie imprese («PMI») in tutto il SEE, tuttavia, suggeriscono alcuni miglioramenti per garantire una maggiore certezza giuridica, quali: L’EDPB e l’EDPS ritengono che i fornitori e gli utilizzatori di sistemi di AI non debbano essere esonerati dall’obbligo di garantire che il loro personale possieda un livello sufficiente di alfabetizzazione in materia di AI, poiché ciò contribuisce ad aumentare la consapevolezza etica e sociale sui benefici e sui rischi dell’AI. Se i co-legislatori decidessero di mantenere il nuovo obbligo per la Commissione e gli Stati membri di promuovere l’alfabetizzazione in materia di AI, esso dovrebbe applicarsi in aggiunta all’attuale obbligo a carico dei fornitori e degli utilizzatori di sistemi di AI, anziché sostituirlo. Per quanto riguarda la tempistica di attuazione delle norme sui sistemi ad alto rischio e il proposto rinvio di una serie di disposizioni fondamentali, l’EDPB e l’EDPS riconoscono che alcune delle ragioni alla base del ritardo nell’applicazione potrebbero essere considerate almeno in parte oggettive; tuttavia, esprimono preoccupazione per il potenziale impatto sulla tutela dei diritti fondamentali in un panorama dell’IA in rapida evoluzione. A questo proposito, il parere congiunto invita i co-legislatori a valutare se sia opportuno e fattibile mantenere l’attuale calendario per alcuni obblighi, ad esempio in materia di trasparenza. Nel caso in cui il rinvio proposto del calendario di entrata in vigore venga comunque adottato dai co-legislatori, l’EDPB e l’EDPS chiedono un’azione concertata da parte di tutti i soggetti interessati, e in particolare della Commissione, al fine diridurre al minimo il ritardo per quanto possibile. Nel testo approvato in prima lettura dal Parlamento UE in seduta plenaria (3.3.2026) del decreto Omnibus IV emergono in maniera evidente, tra gli altri, i seguenti punti: Sul punto che forse è il più delicato – perché costituisce ad avviso di chi scrive un presidio per la tutela dei diritti e delle libertà degli interessati che rischia di essere banalizzato se non espunto -, ossia la tenuta del registro, le tre istituzioni sembrano aver preso posizioni distinte, e così: Il documento, elaborato dalle commissioni IMCO e LIBE (per le libertà civili, la giustizia e gli affari interni) del Parlamento[4], prevede un primo elemento di rottura che si riscontra nella gestione temporale dell’efficacia delle norme per i sistemi ad alto rischio: abbandonando la flessibilità legata all’adozione di futuri atti delegati, il testo opta per scadenze certe e differenziate, fissando l’applicazione al 2 dicembre 2027 per le fattispecie di cui all’Allegato III e al 2 agosto 2028 per quelle ricomprese nell’Allegato I. Tale rigore cronologico investe anche la disciplina sulla trasparenza, segnatamente per quanto concerne la marcatura digitale[5]dei sistemi già in commercio, tanto che il termine ultimo è stato fissato al 2 novembre 2026. Sul piano dell’alfabetizzazione digitale, viene confermato l’obbligo per provider e deployer di adottare misure per assicurare un livello sufficiente diAI literacyper chi utilizza sistemi AI per conto dell’organizzazione, ma tali misure dovranno tenere conto di competenze tecniche, esperienza, formazione e contesto di utilizzo del sistema AI, nonché delle persone. Un’attenzione particolare, poi, è rivolta al coordinamento sistematico con le normative di settore mediante la proposta di mitigazione degli obblighi dell’AI Act per i prodotti già soggetti a norme armonizzate sulla sicurezza, come nel caso dei dispositivi medici. In tale alveo di bilanciamento tra diritti e innovazione si inserisce anche la conferma della possibilità di trattare dati sensibili, in via eccezionale e sotto strette garanzie, qualora ciò sia finalizzato esclusivamente alla rilevazione e alla correzione deibiasalgoritmici. Parallelamente, il catalogo delle pratiche vietate si arricchisce di una nuova fattispecie volta a contrastare la generazione dideepfakea contenuto sessuale o intimo non consensuale, prevedendo una deroga esclusivamente per quei sistemi che integrino,by design, barriere tecniche insuperabili alla creazio