top of page

Primi effetti del Rapporto Draghi: il nuovo Regolamento Omnibus

  • Immagine del redattore: Massimiliano Masnada
    Massimiliano Masnada
  • 16 dic 2025
  • Tempo di lettura: 8 min

Un commento alla direzione intrapresa dalla Commissione Europea nella revisione delle sue norme digitali


Il 19 novembre, la Commissione Europea ha pubblicato la proposta di Regolamento Omnibus. Si tratta di un'iniziativa ambiziosa che è figlia delle riflessioni e delle iniziative suggerite dal Rapporto Draghi commissionato dalla stessa Commissione. Come metafora per comprendere la relazione tra i due testi, si può pensare al Rapporto Draghi come al piano dell'architetto che identifica i problemi strutturali di un vecchio edificio (l'UE, con la sua scarsa competitività digitale) e propone una riprogettazione ambiziosa (più innovazione, armonizzazione legislativa e meno burocrazia). Il Regolamento Omnibus rappresenta l'inizio dei lavori di ristrutturazione, concentrandosi sulla demolizione delle pareti divisorie obsolete (leggi sovrapposte) e sull'installazione di sistemi centralizzati e moderni (come il Single-Entry Point e la semplificazione delle regole per l'AI), in linea con la visione dell'architetto. Il Rapporto Draghi sulla competitività europea e la proposta di Regolamento Omnibus per la semplificazione dell'”acquis digitale” condividono l'obiettivo centrale di migliorare la competitività dell'Unione Europea (UE) attraverso la riforma e l'armonizzazione della legislazione digitale.


L'analisi dei due testi rivela diversi punti di contatto e sinergie tra le aspirazioni strategiche del Rapporto Draghi in materia di digitale e le misure legislative specifiche contenute nel Regolamento Omnibus. Nonostante la complessità della riforma, ho individuato di seguito alcune rilevanti modifiche in termini di potenziale impatto per la competitività delle imprese europee qualora entrassero in vigore.


1. Riduzione dell'onere Regolatorio e simplificazione normativa

Il punto di contatto più evidente è l'urgenza di ridurre l'eccessivo carico normativo che ostacola la crescita in Europa. Il Rapporto Draghi sottolinea che la regolamentazione è percepita da oltre il 60% delle aziende dell'UE come un ostacolo agli investimenti, con la presenza di circa 100 leggi focalizzate sul settore tecnologico e oltre 270 regolatori attivi nelle reti digitali, che generano complessità. Il Rapporto raccomanda di ridurre l'onere regolatorio e di esercitare maggiore “auto-moderazione” (self-restraint) legislativa. 


Coerentemente, il Regolamento Omnibus prende atto che l'accumulo di regolamentazione ha avuto un "effetto negativo sulla competitività" e persegue l'obiettivo di consolidare e semplificare l'acquis digitale. Prevede, tra l'altro, l'abrogazione di diverse normative frammentate in materia di dati, tra cui il Regolamento sul libero flusso dei dati non personali (Reg. 2018/1807), il Regolamento sulla Data Governance (Reg. 2022/868) e la Direttiva Open Data (Dir. 2019/1024), incorporando le loro disposizioni principali nel Data Act (Reg. 2023/2854). Prevede anche l'abrogazione del Regolamento P2B (Reg. 2019/1150), in quanto le sue disposizioni sono state largamente superate da atti più recenti. Queste misure mirano a tagliare i costi amministrativi, con risparmi stimati in almeno 1 miliardo di euro all'anno.


2. Sostegno all'innovazione digitale e all'intelligenza artificiale (AI)

Come per il Rapporto Draghi, anche il Regolamento Omnibus riconosce l'importanza cruciale dell'innovazione, in particolare nel settore digitale e dell'AI, per la produttività europea. Il Rapporto ha sottolineato che l'Europa è sull'orlo di una nuova rivoluzione digitale innescata dall'AI ma che manca un politica di promozione e coordinamento delle attività di condivisione dei dati per accelerare l'integrazione dell'AI nell'industria. Anzi, l’interpretazione spesso fine a sé stessa che di alcune normative come il GDPR (Reg. 2016/679) viene data soprattutto dalle autorità di controllo rischia di bloccare o rallentare tale obiettivo.


A tal fine il Regolamento Omnibus introduce modifiche specifiche del GDPR per supportare l'innovazione digitale, in particolare in relazione all'AI:


  • La prima rilevante modifica riguarda proprio la definizione di “dati personali”. In linea con la più recente giurisprudenza della Corte di Giustizia europea (i.e. sentenza 04/09/2025, Causa C-413/23 P, GEPD/ SRB), l’Omnibus stabilisce che i dati pseudonimizzati non sono automaticamente personali, introducendo criteri di valutazione basati sul rischio di re-identificazione e sui mezzi disponibili al destinatario per identificare gli interessati.


  • Se un'entità detiene informazioni che potrebbero essere utilizzate per identificare una persona fisica, ma non dispone di mezzi ragionevolmente probabili per farlo, tali informazioni non possono essere considerati dati personali. La Commissione avrà anche il potere di emanare ulteriori regolamenti che chiariscano quando i dati pseudonimizzati non sono più dati personali. 


  • Vi è inoltre la conferma che la base giuridica del legittimo interesse per il trattamento dei dati personali ai sensi dell'art. 6 GDPR può essere invocata per lo sviluppo e il funzionamento dei sistemi e modelli di AI, a condizione che siano previste adeguate garanzie, quali la minimizzazione dei dati, la trasparenza e il diritto di opposizione. Anche in questo caso, ciò è in linea con l'attuale orientamento delle autorità europee di protezione dei dati, espressa nell’Opinion EDPB del 18 dicembre 2024 sull’uso dei dati personali per lo sviluppo di modelli di AI. Ciò che è potenzialmente più rilevante è che tale base giuridica è estesa anche al trattamento di categorie particolari di dati personali (es. dati sulla salute) come condizione di legittimità ai sensi dell'art. 9 GDPR. Tale modifica è in linea anche con quanto previsto dall’art. 8 della recente L. 132/25 sull’IA.


  • Sempre in relazione al trattamento di categorie particolari di dati personali l’Omnibus introduce una rilevantissima modifica che attiene al trattamento dei dati biometrici. Il trattamento dei dati biometrici è ammesso quando sia necessario ai fini della conferma dell'identità dell'interessato (verifica), qualora i dati biometrici o i mezzi necessari per la verifica siano sotto il controllo esclusivo dell'interessato (es. rimangano sul devise a propria disposizione)


  • Di particolare rilevanza è possibilità che viene data ai titolari del trattamento di rifiutare le richieste di accesso dei soggetti interessati qualora si ritenga che il soggetto interessato stia abusando del proprio diritto per finalità diverse dalla protezione dei propri dati personali. Tale riforma è di sicuro interesse per arginare il fenomeno della proliferazione di richieste (e di ricorsi) con fini meramente dilatori e temerari.


  • Anche sul fronte dell’obbligo di informativa, l’Omnibus introduce una ulteriore semplificazione per cui i titolari del trattamento non saranno tenuti a fornire informative sulla privacy ai clienti qualora (i) l'uso dei dati personali sia a basso rischio e (ii) abbiano motivi ragionevoli per ritenere che l'interessato sia già a conoscenza dell'identità del titolare del trattamento e delle finalità del trattamento dei propri dati personali.


Inoltre, con l’obiettivo di favorire la circolazione dei dati, il Regolamento Omnibus affronta le ambiguità normative per gli innovatori digitali eliminando i requisiti essenziali obbligatori per gli smart contract che eseguono accordi di condivisione dati (Articolo 36 del Data Act), al fine di mitigare le incertezze legali e incoraggiare nuovi modelli di business.


Con riferimento all’entrata in vigore dell’AI Act, il Regolamento prevede un rinvio dell'entrata in vigore degli obblighi applicabili ai sistemi di AI ad alto rischio. Il termine iniziale di agosto 2026 è spostato a (i) 6 mesi dopo la decisione della Commissione che stabilisce i requisiti tecnici per i sistemi di IA ad alto rischio utilizzati per l'applicazione della legge o per l'istruzione, e (ii) 12 mesi dopo tale decisione per tutti gli altri casi d'uso. Ciò aggiunge un grado di incertezza alla tempistica per la conformità, anche se, in ogni caso, gli obblighi entreranno in vigore al più tardi nel dicembre 2027 (per i sistemi di AI utilizzati nelle forze dell'ordine e nell'istruzione) e nell'agosto 2028 (per gli altri casi d'uso).


Vengono inoltre ampliati i poteri dell'Ufficio AI della Commissione che, fatte salve le eccezioni per i prodotti regolamentati a livello settoriale, diventerebbe competente in via esclusiva per la supervisione e l'applicazione (i) dei modelli di AI per uso generale e di qualsiasi sistema basato su di essi sviluppato dallo stesso fornitore, e (ii) dei sistemi di AI integrati in una piattaforma online di grandi dimensioni (VLOP) o in un motore di ricerca online di grandi dimensioni (VLOSE), come definiti nel Digital Services Act. L'Ufficio AI avrebbe il potere di richiedere documentazione, supervisionare le valutazioni di conformità pre-commercializzazione e imporre sanzioni. Ciò comporterebbe un controllo più mirato dei grandi sviluppatori di AI da parte di un unico regolatore paneuropeo. Questa appare come una riforma di natura “politica” per sottoporre al giudizio della Commissione i servizi basati sull’AI dei grandi player extra-europei (statunitensi e cinesi sopra a tutti).


Istituisce infine lo European Data Innovation Board (EDIB) come un forum di esperti per coordinare l'applicazione del Regolamento Dati e fungere da forum di discussione strategica per lo sviluppo della politica dei dati, fornendo in tal modo una struttura di governance per le ambizioni digitali.


3. Armonizzazione, efficienza operativa e lotta alla frammentazione

Il Rapporto Draghi ha criticato la frammentazione normativa e la burocrazia che ostacolano la scalabilità. Inoltre, si evidenzia la necessità di coordinare e armonizzare i sandbox normativi sull'AI. L'Omnibus introduce misure pratiche di armonizzazione, quali:


  • Punto di Ingresso Unico (Single-Entry Point): Viene istituito un Punto di Ingresso Unico per la segnalazione degli incidenti di sicurezza (incident reporting) che opera sotto il principio "segnala una volta, condividi con molti" (report once, share many). Questo sistema, gestito dall'ENISA, è reso obbligatorio per le segnalazioni previste da atti come NIS2, GDPR, DORA ed eIDAS, riducendo l'onere amministrativo derivante dalla doppia rendicontazione tra quadri normativi diversi. Inoltre, il termine per la segnalazione delle violazioni dei dati personali ai sensi del GDPR sarà esteso da 72 a 96 ore.

  • Armonizzazione DPIA sotto il GDPR: Per affrontare la frammentazione derivante dall'applicazione disomogenea del GDPR (Reg. 2016/679), l'Omnibus propone di stabilire liste e metodologie comuni a livello UE per la conduzione delle valutazioni d'impatto sulla protezione dei dati (DPIA), sostituendo le attuali liste nazionali, aumentando la certezza giuridica e facilitando la conformità.


4. Supporto alle Piccole e Medie Imprese (PMI)

Il sostegno alle imprese di minori dimensioni, particolarmente colpite dagli oneri amministrativi, è un obiettivo condiviso. Il Rapporto ha evidenziato che le aziende in Europa tendono a "rimanere piccole" a causa di barriere normative e raccomanda di escludere le PMI dalle normative che non sono in grado di rispettare, o di ridurre drasticamente gli obblighi di rendicontazione.


A tal riguardo, l'Omnibus estende le norme che facilitano la conformità per le Piccole e Medie Imprese (PMI) anche alle Piccole Mid-Cap (SMC), in particolare nell'ambito dell'acquis sui dati e nel Regolamento AI. Per le SMC, PMI e start-up, sono previste riduzioni o esenzioni dalle tasse di registrazione per i servizi di intermediazione di dati e altruismo di dati.


5. Sicurezza e Sovranità Digitale

Infine, entrambi i testi affrontano il tema della sicurezza economica in un contesto geopolitico mutato. L’aspirazione di Draghi è di aumentare la sicurezza e ridurre le dipendenze. Questo comporta lo sviluppo di una "vera e propria politica economica estera" per gestire le dipendenze da tecnologie avanzate e proteggere le catene di fornitura critiche.


Premesso che, personalmente ritengo che questo obiettivo sia difficilmente perseguibile senza una vera unione politica dell’Europa con un unico esercito ed una unica politica militare e strategica, ad ogni modo il Regolamento Omnibus rafforza le misure di protezione dei dati contro l'accesso straniero, un elemento cruciale per la sovranità digitale. Introduce nel Data Act la possibilità per i detentori di segreti commerciali di rifiutare la divulgazione di segreti a entità di paesi terzi o sotto il loro controllo, qualora si dimostri un "alto rischio" di acquisizione o uso illecito in giurisdizioni con protezione inferiore a quella dell'UE. Inoltre, ribadisce il divieto di requisiti di localizzazione per i dati non personali all'interno dell'Unione, fondamentale per il libero flusso e l'integrazione del mercato digitale interno.


In conclusione, il Regolamento Omnibus agisce come la traduzione legislativa diretta e operativa delle raccomandazioni strategiche del Rapporto Draghi, concentrandosi sulla rimozione delle frizioni normative (consolidazione normativa, eliminazione dei requisiti inutili), sulla promozione della crescita (supporto a PMI/SMC) e sul rafforzamento dell'efficienza della governance digitale (coordinamento EDIB, Single-Entry Point). Il problema ora diventa politico. Come noto, l’approvazione definitiva del Regolamento Omnibus deve passare per il cd. trigolo che prevede l’approvazione dello stesso testo anche da parte del Parlamento UE e, soprattutto, del Consiglio Europeo. Quest’ultimo – ahimè – decide all’unanimità. Sarà un banco di prova per testare le diverse sensibilità degli Stati Membri rispetto alla reale volontà di una politica digitale comune all’interno dell’unione. Il rischio è che la montagna partorisca un topolino. Ma noi restiamo ottimisti. 


il Filo di AIRIA

Post correlati

Digital Omnibus, accolte le proposte di AIRIA

Lo scorso Ottobre, AIRIA aveva partecipato al processo di consultazione pubblica indetto dall'Unione Europea, come parte del processo per la creazione del pacchetto legislativo Digital Omnibus. Le pr

 
 
Digital Omnibus: il contributo di AIRIA

AIRIA partecipa alla consultazione pubblica con una proposta di semplificazione normativa per ridurre gli oneri per le imprese e migliorare la coerenza tra le principali leggi europee

 
 

Diventa Socio

Chiedi informazioni o presenta la tua domanda per partecipare alla nostra associazione. Potrai partecipare alle attività di AIRIA e unirti alla comunità dei nostri soci, sia a titolo personale che tramite l'organizzazione che rappresenti. Contattaci per scoprire le varie iniziative e i servizi riservati ai soci di AIRIA.

bottom of page