Il Digital Omnibus mira a semplificare il contesto normativo europeo concernente dati, intelligenza artificiale e cybersicurezza. Tale Regolamento, però, si rivela non una mera operazione di semplificazione, ma un intervento che, in alcuni casi, potrebbe significativamente ridurre le garanzie rivolte agli interessati. Di seguito si analizzano i principali impatti che il Digital Omnibus ha sulle normative esistenti: GDPR, Data Act e AI Act.
Impatti sull’applicazione del GDPR
Le modifiche introdotte riguardano principalmente l’applicazione pratica delle norme del Regolamento Generale sulla Protezione dei Dati (GDPR). Il Regolamento affronta, ad esempio, il concetto di “dato personale”, fornendo criteri operativi basati sulla fattibilità dell’identificazione mediante gli strumenti effettivamente disponibili.
Un chiaro esempio riguarda le informazioni: esse non assumono la natura di dati personali se non si riesce a identificare l'interessato con gli mezzi concretamente a disposizione. Questa interpretazione introduce un elemento di soggettività nella valutazione, che potrebbe influenzare il comportamento delle organizzazioni.
Un’altra innovazione riguarda l’esercizio abusivo dei diritti da parte degli interessati. Il Digital Omnibus chiarisce come un'esercizio abusivo possa emergere quando le richieste non siano finalizzate alla tutela diretta e reale dei dati personali, ma a finalità strategiche o contenziose. Ciò introduce una problematica di bilanciamento tra gli obblighi dei titolari del trattamento e i diritti degli interessati.
Variabili di attuazione del Data Act
Riguardo al Data Act, il Regolamento Digital Omnibus interviene in senso operativo, ridefinendo le modalità di condivisione e utilizzo dei dati. Sebbene non siano state fornite specificità dettagliate in questa sede, si intuisce che i chiarimenti potrebbero incidere positivamente sulla chiarezza e sull'efficacia nell’applicazione concreta della normativa.
Più in generale, il Regolamento punta a sviluppare gli spazi europei dei dati come infrastrutture di condivisione sicura e interoperabile, per rispondere alla strategia complessiva delineata nell’European Data Strategy.
Effetti sullo sviluppo dell’AI Act
Tutta la disciplina in materia di intelligenza artificiale europea, come prevista dall’AI Act – integrata con le Linee Guida della Commissione del 11 maggio 2026 – si vede ridefinita da interventi mirati del Digital Omnibus.
I punti principali toccati include la gestione del rischio associato alle attività di AI, con particolare attenzione ai sistemi ad alto rischio. Si introducono chiarimenti sull’utilizzo di dati particolari nel contesto dell’individuazione e correzione delle bias (pregiudizi), fornendo specifiche sui limiti applicativi per sistemi ad alto o basso rischio.
Razionalizzazione delle notifiche diincidenti di sicurezza
Un altro settore su cui si incentra il Digital Omnibus è la standardizzazione dei procedimenti in caso di violazione dei dati, un nodo cruciale per la gestione del rischio e la semplicità amministrativa. La normativa introduce la prevedibilità di un “Single-Entry-Point” (SEP), ovvero un portale digitale gestito da ENISA dedicato alla segnalazione centralizzata di incidenti.
Questo strumento consentirebbe agli operatori di presentare una sola notifica che potrebbe essere gestita in modo interoperabile e ridistribuita automaticamente alle autorità competenti. L’approccio di “Report once, share many” promette di ridurre il carico operativo per enti pubblici e privati.
Per rendere il tutto concreto, sarà necessario integrare il portale con strumenti esistenti, come l’EU Business Wallet, che agevoli l’identificazione dei soggetti richiedenti.
Osservazioni sulle preoccupazioni emerse
Sebbene il Digital Omnibus abbia ambiziosi obiettivi di semplificazione, il bilanciamento tra efficienza e protezione dell’interessato sembra essere fragile. In particolare, il Regolamento potrebbe attenuare significativamente le garanzie per i soggetti la cui sensibilità ai dati personali richiede attenzione particolare.
Le preoccupazioni vengono condivise da istituzioni europee, autorità di controllo e rappresentanti del settore privato e sociale. Un documento congiunto dell’EDPB ed EDPS (l'European Data Protection Board e l'European Data Protection Supervisor) evidenzia criticità formali, ma in generale si dichiara a favore della proposta, richiedendo però attenzione su alcuni fronti sensibili.
Condividi con cautela: dati sensibili e AI
L’EDPB e l’EDPS esprimono preoccupazione per la libertà concessa per trattare dati particolari ai fini dell’individuazione di bias. Per sistemi ad alto rischio si richiama la necessità di applicare rigorosamente lo standard della “stretta necessità”, garantendo che tale utilizzo non abbia un impatto negativo su diritti fondamentali.
Per sistemi a basso rischio invece, si esorta a limitare fortemente l’utilizzo di dati sensibili, assicurando che la sua applicazione sia realmente necessaria e non abusiva.
Ridurre gli oneri regolatori
L’obiettivo semplificativo del Regolamento è evidenziato nel tentativo di alleggerire gli oneri amministrativi per gli operatori, per esempio con la registrazione ai database europei. Ma l’EDPB ed EDPS esprimono preoccupazione riguardo la possibile cancellazione di obblighi, come la registrazione obbligatoria di sistemi di AI nei database dell’UE.
Una registrazione più snella, se ben controllata, potrebbe favorire la trasparenza e la tracciabilità. Tuttavia, l’eliminazione di requisiti essenziali, potrebbe generare un incentivo disincentivante la corretta adesione agli standard, riducendo la responsabilità dei fornitori.
Per le PMI: l’AI come strumento di innovazione
Il Regolamento Digital Omnibus introduce il concetto di sandbox normativi per l’AI, promuovendo sperimentazione e innovazione. L’EDPB e l’EDPS accolgono con favore questa proposta, purché vengano introdotte misure per garantire maggiore certezza giuridica:
- Garantire l’applicabilità unica di norme nell’UE
- Evitare conflitti con le legislazioni nazionali
- Includere criteri chiari per la selezione delle PMI candidate
Alfabetizzazione e formazione sull’AI
L’EDPB e l’EDPS ritengono importante non eliminare l’obbligo per i fornitori e gli utilizzatori di garantire un livello minimo di alfabetizzazione sull’AI. L’insegnamento di base ai dipendenti può creare una consapevolezza etica e sociale sul tema, fondamentale in un panorama in cui l’AI sta prendendo piede.
Viene proposto che, qualora si introducessero iniziative da parte della Commissione o degli Stati membri in merito all’alfabetizzazione, esse non sostituiscano i doveri dei fornitori, bensì li affianchino.
← Torna alle news