Indice dell'articolo

A fine 2025 la Commissione Europea ha presentato il pacchetto Digital Omnibus, una proposta legislativa che rappresenterebbe il più significativo aggiornamento del GDPR dalla sua entrata in vigore nel 2018. Le modifiche proposte puntano a un delicato equilibrio: alleggerire gli oneri burocratici per le piccole e medie imprese mantenendo però standard rigorosi di protezione dei dati. La proposta introduce anche nuove regole specifiche per intelligenza artificiale e Internet of Things.

La proposta dovrà ora seguire l’iter legislativo ordinario attraverso Parlamento Europeo e Consiglio UE, con approvazione definitiva presumibilmente attesa per il 2027 e applicazione dal 2028. Si tratta quindi di modifiche proposte ma non ancora operative, che potrebbero subire emendamenti sostanziali durante il processo legislativo. Per farsi trovare pronti, vale la pena però conoscere quali sono i principali punti in discussione

Il pacchetto Digital Omnibus nasce dall’esigenza di rendere il GDPR più sostenibile per le PMI senza compromettere i diritti dei cittadini. La Commissione propone un doppio binario:

  • alleggerire gli oneri per aziende fino a 750 dipendenti;
  • rafforzare le tutele dove l’innovazione tecnologica crea nuovi rischi.

L’obiettivo dichiarato è ridurre il carico amministrativo di almeno il 25% per tutte le imprese e del 35% per le PMI, rispondendo alle preoccupazioni espresse nel rapporto Draghi sulla competitività europea. La proposta non riguarda solo il GDPR ma interviene anche su AI Act, Data Act, direttiva ePrivacy, NIS2 e altri regolamenti digitali, creando un framework interconnesso.

L’integrazione tra le diverse normative mira a evitare sovrapposizioni che creerebbero confusione per le imprese. Tuttavia, la proposta ha sollevato un dibattito tra sostenitori della semplificazione e chi teme un indebolimento delle tutele fondamentali.

Le semplificazioni per le PMI nell’aggiornamento GDPR

La prima direttrice dell’aggiornamento al GDPR, come dicevamo, è una semplificazione degli oneri burocratici, che spesso risultano difficilmente sostenibili dalle imprese più piccole che non hanno personale e strumenti tecnologici adeguati a garantire una piena compliance alla normativa.

Esenzione dal registro dei trattamenti

Una delle novità più attese riguarda il registro dei trattamenti, che le aziende devono tenere aggiornato con le modifiche su consensi e richieste degli aventi diritto. La proposta introduce un’esenzione per organizzazioni fino a 750 dipendenti, incluse le “small mid-cap” (società quotate con capitalizzazione tra 150 milioni e 5 miliardi di euro).

L’esenzione proposta non sarebbe però incondizionata. Resterebbero escluse le organizzazioni che effettuano trattamenti non occasionali ad alto rischio, trattano categorie particolari di dati, gestiscono dati su condanne penali o utilizzano sistemi decisionali automatizzati con effetti significativi.

Le PMI che potrebbero beneficiare dell’esenzione dovrebbero comunque mantenere una minima documentazione: finalità dei trattamenti principali, categorie di interessati, eventuali trasferimenti extra-UE, misure di sicurezza. La differenza sarebbe l’assenza del registro strutturato e dettagliato attualmente obbligatorio.

Riduzione degli oneri burocratici

Oltre al registro, la proposta introduce altre possibili semplificazioni. La notifica di data breach manterrebbe i requisiti sostanziali ma con moduli standardizzati e procedure digitalizzate più intuitive attraverso un sistema “report once, share with all” gestito da ENISA.

Le valutazioni d’impatto (DPIA) per le PMI potrebbero basarsi su modelli semplificati forniti dalle autorità nazionali. La proposta chiarisce inoltre che la semplificazione riguarderebbe solo gli obblighi formali, non le responsabilità sostanziali: sicurezza dei dati, rispetto dei diritti degli interessati e principi di liceità resterebbero immutati. Niente carta bianca e mosse “libera tutti”.

Nuove regole GDPR per intelligenza artificiale e IoT

La proposta di revisione al GDPR introduce nuove regole specifiche che si integrerebbero con l’AI Act europeo. La trasparenza diventerebbe obbligo rafforzato per sistemi decisionali automatizzati. Le organizzazioni dovrebbero fornire informazioni comprensibili su logica utilizzata, significato e conseguenze del trattamento, criteri decisionali principali, modalità per contestare o richiedere intervento umano.

Il concetto di “spiegabilità” entrerebbe formalmente nella compliance. Non basterebbe comunicare l’uso di sistemi automatizzati: occorrerebbe spiegare il funzionamento in termini accessibili anche a non tecnici.

Una modifica significativa riguarderebbe l’articolo 22 del GDPR sulle decisioni automatizzate: la proposta amplierebbe l’esenzione contrattuale chiarendo che una decisione automatizzata può essere presa anche quando lo stesso risultato potrebbe essere raggiunto con mezzi umani. Questo faciliterebbe l’adozione di sistemi automatizzati in ambiti come rating di lavoratori della gig economy, screening nelle risorse umane, valutazione del credito.

Dispositivi IoT e sicurezza

I dispositivi IoT richiederebbero misure di sicurezza rafforzate. Ogni dispositivo immesso sul mercato europeo dovrebbe implementare cifratura end-to-end, meccanismi sicuri di autenticazione, aggiornamenti di sicurezza per l’intera vita utile, cancellazione completa dei dati in dismissione.

dispositivi IoT

Il principio di privacy by design troverebbe applicazione concreta: i dispositivi dovrebbero raccogliere solo dati necessari alle funzionalità dichiarate, con impostazioni predefinite orientate alla massima protezione. La catena di fornitura richiederebbe particolare attenzione, con responsabilità chiaramente definite nei contratti.

Questi aspetti sono toccati nel Data Act e Cyber Resilience Act, approvati successivamente all’entrata in vigore del GDPR.

Diritti degli utenti: cosa potrebbe cambiare nel nuovo GDPR

Uno degli aspetti più controversi riguarda la proposta di chiarire la definizione di dato personale affermando che le informazioni non sono dati personali per una determinata entità quando non contengono elementi ragionevolmente utilizzabili da tale entità per identificare la persona fisica.

Questo approccio più “soggettivo” segue una recente sentenza della Corte di Giustizia e potrebbe avere impatti significativi su pseudonimizzazione, data sharing e compliance. Se un’azienda non potesse identificare una persona, quei dati potrebbero non essere considerati personali per quella specifica azienda, riducendo l’ambito applicativo del GDPR.

Per fare un esempio concreto, si consideri il trattamento dell’indirizzo IP di un utente che si collega al sito web dell’azienda. Attualmente, per il GDPR si tratta di un dato personale, perché riconducibile in modo univoco a una persona. Questo ha costretto i fornitori di soluzioni di Analytics a modificare sia l’impostazione giuridica del servizio e le piattaforme tecnologiche per evitare di archiviare l’indirizzo IP senza un consenso specifico.

Nella pratica, però, è solo il fornitore di telecomunicazioni dell’utente a poter fare l’associazione tra indirizzo IP e il nome di una persona, cosa che può fare per esempio dietro richiesta della magistratura. L’azienda che opera il sito web visitato dall’utente non può farlo in alcun modo.

In questa nuova interpretazione, l’indirizzo IP non verrebbe considerato quindi dato identificativo personale.

Potenziamento del diritto all’oblio

Il diritto alla cancellazione riceverebbe un’estensione, includendo esplicitamente dati usati per l’addestramento di sistemi AI e quelli in archivi decentralizzati o blockchain. Le procedure dovrebbero essere semplificate con moduli digitali intuitivi accessibili direttamente dai servizi online, ma l’implementazione pratica rischia di essere molto più complessa, se non impossibile.

Eliminare davvero un’informazione personale da un modello AI che la registra sotto forma di “pesi” dei suoi miliardi di parametri richiederebbe in teoria di riaddestrare il modello, mentre lo scopo principale di una blockchain è quello di costituire un registro immodificabile. Vedremo come verranno risolti questi problemi.

La portabilità dei dati diventerebbe più concreta grazie a standard tecnici comuni in sviluppo settoriale. Le dashboard utente dovrebbero mostrare in tempo reale quali dati vengono raccolti, per quali finalità, con quali basi giuridiche e se condivisi con terze parti.

cookie law gdpr europa

Le informative privacy presenti su siti, app e servizi digitali dovrebbero essere aggiornate per riflettere i nuovi requisiti proposti. Particolare attenzione andrà rivolta alle sezioni su AI e profilazione algoritmica, specificando tipo di algoritmo, categorie di dati IN input, possibili conseguenze delle decisioni, diritto a intervento umano.

Il modello stratificato (layered notice) diventerebbe prassi raccomandata: un primo livello sintetico con le informazioni principali dovrebbe essere poi espandibile con link ad approfondimenti. Per trattamenti complessi si suggerisce integrazione con video esplicativi, infografiche e FAQ interattive.

La proposta prevede la modernizzazione delle norme sui cookie con consenso con un clic e impostazioni centrali delle preferenze, generando potenzialmente più di 800 milioni di euro di risparmi annui per le imprese.

I requisiti proposti includerebbero: un pulsante “Rifiuta tutto” ugualmente visibile, nessun consenso pre-selezionato, linguaggio neutro, gestione granulare per categorie. La gestione automatizzata attraverso centri di preferenza e tool per la gestione del consenso diventerebbe standard, permettendo di modificare i consensi e le preferenze nel tempo.

Privacy by design e nuove misure di sicurezza

I principi di privacy by design e by default riceverebbero finalmente indicazioni operative concrete. Nello sviluppo software questo significherebbe il raccogliere solo dati necessari, implementare la pseudonimizzazione, prevedere tempi di conservazione limitati con cancellazione automatica, facilitare l’esercizio dei diritti e documentare le scelte progettuali.

La cifratura sia dei dati archiviati che di quelli in transito diventerebbe lo standard per trattamenti che comportano rischi. Per le piattaforme digitali, la privacy by default significherebbe gestire profili privati come impostazione predefinita, avere notifiche email disattivate e gestire con consenso preventivo opt-in ogni condivisione di dati con terze parti.

Misure di sicurezza e controlli

La proposta specifica standard minimi per la sicurezza. Dati sanitari, biometrici e genetici dovrebbero essere cifrati in transito e at-rest. La protezione end-to-end diventerebbe standard per tutte le comunicazioni di dati particolari.

I piani di incident response dovrebbero essere documentati e testati periodicamente. La notifica dei data breach manterrebbe l’attuale finestra di 72 ore, con sistemi di monitoraggio che permettano identificazione tempestiva di anomalie. Backup cifrati e testati regolarmente sarebbero considerati misure essenziali.

Implicazioni per i Data Protection Officer

Il ruolo del DPO si evolverebbe richiedendo nuove competenze in AI, machine learning, IoT e blockchain. La supervisione dei trattamenti automatizzati diventerebbe una responsabilità core, e sarà necessario valutare in modo continuativo la conformità dei sistemi AI, dialogare con i data scientist, identificare i rischi di bias e verificare la “spiegabilità” delle decisioni algoritmiche.

Il DPO dovrebbe diventare sempre più un abilitatore di business, bilanciando la protezione dati e l’innovazione, trovando soluzioni che permettano uso di nuove tecnologie senza violare diritti fondamentali.

Troppo spesso in questi anni il DPO ha svolto una funzione da “Dottor No”, limitandosi a non approvare trattamenti potenzialmente rischiosi ma che – se effettuati con tutti i crismi e le tutele – avrebbero portato a vantaggi per il business.

Timeline dell’aggiornamento del GDPR e prossimi passi

La proposta presentata il 19 novembre 2025 dovrà ora affrontare un lungo percorso legislativo. Il Parlamento Europeo e il Consiglio UE dovranno esaminare, discutere e probabilmente emendare significativamente il testo prima di un’eventuale approvazione.

Per l’Italia, la previsione è che entro il 2027 siano emanati almeno due decreti legislativi di adeguamento, con il coinvolgimento del Garante per la protezione dei dati personali. Le autorità nazionali dovranno coordinarsi per implementare eventuali modifiche approvate.

Il nuovo GDPR genera reazioni e controversie

La proposta ha generato reazioni contrastanti. Da un lato, le imprese e soprattutto le PMI vedono favorevolmente le semplificazioni proposte, che potrebbero ridurre significativamente i costi di compliance. Dall’altro, organizzazioni per i diritti digitali e alcuni esperti temono che la semplificazione possa tradursi in indebolimento delle tutele fondamentali.

Particolarmente controversa è la ridefinizione del dato personale, che secondo i critici potrebbe ridurre significativamente l’ambito di protezione del GDPR. Anche l’ampliamento delle possibilità per decisioni automatizzate solleva preoccupazioni su possibili discriminazioni algoritimiche.

Il dibattito nei prossimi mesi sarà determinante per capire quale equilibrio prevarrà tra competitività economica e protezione dei diritti fondamentali. Il processo legislativo europeo permetterà a tutti gli stakeholder di contribuire con le proprie prospettive.