La digitalizzazione crescente delle società contemporanee impone un ripensamento complessivo del quadro normativo europeo in materia di protezione dei dati e intelligenza artificiale. Con il cosiddetto pacchetto Digital Omnibus, presentato dalla Commissione europea il 19 novembre 2025, l’Unione ha avviato un processo di consolidamento e semplificazione normativa che integra il GDPR, l’AI Act e le principali disposizioni relative alla gestione dei dati digitali non personali.

Tale iniziativa mira a concentrare l’acquis digitale in un corpus coerente, ristrutturando il rapporto tra poteri tecnici, organi amministrativi e diritti fondamentali. I tre testi – COM (2025) 837 sul digital acquis, COM (2025) 836 sulla revisione dell’AI Act e COM (2025) 835 sulla Data Union Strategy – costituiscono un blocco normativo unitario in cui la governance dei dati e la disciplina dei sistemi di intelligenza artificiale vengono intrecciate in un nuovo modello europeo.

La proposta COM 837 riorganizza l’architettura dei dati mediante l’integrazione del Data Governance Act, del Free Flow of Non-Personal Data Regulation e dell’Open Data Directive, con il Data Act come perno. Questa operazione non si limita a una mera compilazione normativa, ma definisce un sistema organico che regola la circolazione, il riuso e l’accesso ai dati, centralizzando competenze interpretative e decisionali presso la Commissione europea. Tale concentrazione assume rilevanza costituzionale, in quanto ridefinisce la nozione di dato personale, che passa da una definizione oggettiva a un criterio relazionale, basato sulla “ragionevole identificabilità” rispetto a chi tratta l’informazione. L’approccio trasforma la tradizionale universalità del GDPR, subordinando la qualità del dato personale alla capacità operativa del titolare del trattamento.

A livello pratico, alcune novità previste dal Digital Omnibus modificano i diritti e le responsabilità degli utenti e delle imprese. La soglia di identificabilità dei dati personali diventa più soggettiva, e il diritto di accesso ai propri dati (art. 15 GDPR) potrebbe essere limitato ai soli scopi di tutela della privacy, escludendo, ad esempio, l’uso in contenziosi privati o giornalistici. Inoltre, il regime di trattamento dei contenuti degli utenti per l’addestramento dei sistemi AI passa da un modello opt-in a uno opt-out, trasferendo agli utenti l’onere di opporsi. La Commissione introduce anche una proroga fino a sedici mesi per l’applicazione piena di alcuni obblighi dell’AI Act, motivata dal ritardo delle linee guida tecniche, con implicazioni significative sulla tutela contro discriminazioni algoritmiche.

Sul piano della sicurezza, viene istituito uno sportello unico europeo per la gestione dei data breach, sostituendo l’attuale sistema frammentato di notifiche alle autorità nazionali. Questa piattaforma centralizzata consente un flusso uniforme di informazioni e rafforza il coordinamento tra GDPR, NIS, DORA, eIDAS e altre normative settoriali. L’infrastruttura europea assume così un ruolo decisivo nel monitoraggio e nella prevenzione dei rischi digitali, migliorando l’efficacia delle tutele per gli interessati, che beneficiano di un sistema più coeso e capillare.

La revisione dell’AI Act, illustrata nel COM 836, consolida il ruolo dell’AI Office come organismo centrale di supervisione tecnica e normativa dei sistemi ad alto rischio. La sua funzione va oltre il semplice controllo, estendendosi alla definizione di standard, linee guida e criteri di conformità per piattaforme e operatori, creando un nuovo equilibrio tra autorità tecnica e tutela dei diritti fondamentali. La riforma introduce anche strumenti di semplificazione per le small e mid-caps, uniformando i benefici già riconosciuti alle PMI e incidendo sulla dinamica competitiva del mercato digitale.

In definitiva, l’architettura complessiva del Digital Omnibus intreccia tutela dei diritti e sicurezza dei sistemi digitali, integrando le scelte tecniche nella regolazione normativa. La centralità della Commissione europea, insieme alla strutturazione dei segnali digitali di consenso e alla gestione coordinata dei data breach, riflette un modello in cui l’efficacia della protezione dei dati dipende tanto dalla qualità tecnica dei sistemi quanto dalla capacità istituzionale di governarli. La riforma definisce quindi un equilibrio delicato tra agilità regolatoria e garanzie individuali, ponendo al centro l’interazione tra tecnica e diritto nella costruzione di un governo europeo del digitale.

Visualizzazioni: 0