Abstract
La proposta di regolamento Digital Omnibus dell’Unione europea interviene in un contesto di crescente complessità del diritto digitale, caratterizzato dalla stratificazione delle fonti e da significative difficoltà applicative. Il contributo analizza il Digital Omnibus come operazione di razionalizzazione normativa, esaminando le modifiche al Data Act, all’AI Act e al GDPR. Muovendo dalla nozione di spazio normativo liminale, l’articolo ricostruisce i nuovi confini degli obblighi di condivisione dei dati, le tutele dei segreti commerciali, il regime dell’accesso pubblico ai dati in situazioni di emergenza e gli effetti sui rapporti contrattuali nel cloud computing, evidenziandone le implicazioni sistemiche per le imprese, in particolare per le PMI.
Perché l’Europa ha deciso di rimettere ordine nelle regole sui dati
Chi opera oggi nel mercato digitale europeo si confronta con un quadro normativo che pretende conformità, ma fatica a chiarire i margini operativi.
Le regole sui dati, sull’intelligenza artificiale e sulla protezione delle informazioni personali si sono stratificate nel tempo, dando luogo a sovrapposizioni, rinvii incrociati e ambiguità applicative. Il risultato non è tanto un sistema percepito come ingiusto, quanto come sfuggente.
È in questo contesto che si inserisce il Digital Omnibus Proposal, presentato dalla Commissione europea nel novembre 2025. L’obiettivo dichiarato non è introdurre nuovi obiettivi regolatori, ma ridurre l’incertezza strutturale che caratterizza il diritto dell’Unione.
Un’incertezza che nasce non solo dalla moltiplicazione delle fonti normative, ma anche dalla presenza di una pluralità di attori istituzionali – autorità di controllo, agenzie tecniche, organismi di coordinamento – i cui confini di competenza non sempre risultano immediatamente leggibili per le imprese chiamate ad applicare le norme.
Già prima del progetto Digital Omnibus, questo quadro normativo era stato descritto come uno “spazio normativo liminale”: non un vuoto regolatorio, ma un’area intermedia in cui le regole esistono, si intuiscono, ma non sono ancora pienamente stabilizzate (ne avevo parlato qui: Intelligenza artificiale in azienda: privacy e contratti, cosa dice la legge – Canella Camaiora).
Con il Digital Omnibus, il Data Act viene trasformato nel fulcro della nuova disciplina europea sulla dimensione economica dei dati.
Attraverso il Digital Omnibus, si punta ad assorbire nel Data Act tre atti normativi distinti:
- il Data Governance Act,
- la direttiva Open Data, e
- il regolamento sulla libera circolazione dei dati non personali
L’intento, infatti, è concentrare in un unico testo regole che oggi risultano disperse, e talvolta incoerenti, rendendo difficile per imprese e professionisti comprendere quale disciplina risulti effettivamente applicabile e sotto quali condizioni (accanto al Data Act, resta invece fisso il GDPR, che continua a rappresentare il pilastro autonomo della tutela dei dati personali).
Questa razionalizzazione si concretizza nell’introduzione di tre nuovi capitoli all’interno del Data Act.
- Capitolo VII a: ricolloca le norme sui servizi di intermediazione dei dati e sulle organizzazioni di data altruism (link), trasformando alcuni regimi obbligatori in regimi volontari e istituendo registri europei, oltre a rafforzare il ruolo dell’European Data Innovation Board;
- Capitolo VII b: consolida la disciplina sulla libera circolazione dei dati non personali, ribadendo il divieto di requisiti di localizzazione ingiustificati all’interno dell’Unione;
- Capitolo VII c: riordina le regole sul riutilizzo dei dati e dei documenti detenuti dal settore pubblico, fondendo le disposizioni del Data Governance Act e della direttiva Open Data in un unico quadro regolatorio.
Un ulteriore snodo centrale della riforma riguarda le definizioni.
Molte delle incertezze applicative degli ultimi anni sono derivate dall’uso di concetti identici con significati diversi in atti diversi. Il Digital Omnibus interviene su questo punto chiarendo, ad esempio, che l’accesso ai dati non coincide necessariamente con la loro trasmissione o duplicazione, e allineando nozioni chiave come consenso e pseudonimizzazione alle definizioni del GDPR. L’obiettivo è ridurre la discrezionalità interpretativa e aumentare la prevedibilità giuridica per chi deve progettare servizi, processi e contratti digitali.
In questo senso, il Digital Omnibus può essere interpretato come un primo tentativo di uscita da quella condizione liminale, più che come l’introduzione di un nuovo paradigma regolatorio compiuto.
Resta tuttavia un punto decisivo. Se la riorganizzazione delle fonti promette maggiore coerenza, è nei limiti agli obblighi e nelle eccezioni previste che si misura l’impatto reale della riforma.
Per le PMI, la questione non è tanto sapere che esiste un quadro più ordinato, quanto capire quando si rischiano sanzioni, se e quali diritti aggiuntivi si acquisiscono, e soprattutto quando è possibile sottrarsi a un obbligo di condivisione dei dati e con quali strumenti proteggere il proprio patrimonio informativo.
È su questo terreno, più che sull’architettura generale, che si gioca la partita più delicata del Digital Omnibus.
Quando si può dire no alla condivisione dei dati
Quando si parla di condivisione dei dati, la preoccupazione principale delle imprese non è ideologica ma profondamente concreta: perdere il controllo di informazioni che costituiscono un vantaggio competitivo.
Dati tecnici, configurazioni di prodotto, modelli di utilizzo o informazioni commerciali possono trasformarsi rapidamente in valore per terzi, inclusi concorrenti diretti o indiretti.
Su questo nodo il Digital Omnibus interviene non tanto ampliando l’obbligo di condivisione, quanto cercando di precisarne i limiti, in particolare quando la messa a disposizione dei dati entra in tensione con la tutela dei segreti commerciali.
La proposta chiarisce infatti che l’obbligo di condivisione non è incondizionato. I titolari dei dati possono legittimamente rifiutare la messa a disposizione quando siano in grado di dimostrare, sulla base di elementi oggettivi, che:
- la divulgazione comporterebbe un grave e probabile danno economico, oppure
- esporrebbe a un rischio elevato di acquisizione, utilizzo o divulgazione illeciti delle informazioni (art. 4, par. 8 e art. 5, par. 11 del Data Act, come modificati dal Digital Omnibus).
La norma attribuisce un rilievo specifico ai casi in cui il destinatario dei dati sia collegato a giurisdizioni extra-UE che non garantiscono una tutela dei segreti industriali equivalente a quella prevista dal diritto dell’Unione, includendo anche ipotesi di controllo diretto o indiretto da parte di soggetti stabiliti in tali ordinamenti.
Il punto è rilevante, ma va letto senza enfasi: il Digital Omnibus non introduce un diritto pieno di rifiuto, né fornisce criteri operativi predeterminati. Esso riconosce, piuttosto, che la protezione del know-how è una condizione essenziale per l’innovazione, ma trasferisce sul titolare dei dati l’onere di dimostrare, caso per caso, la legittimità del rifiuto.
Il rifiuto non può essere arbitrario: deve essere motivato per iscritto, comunicato senza ritardi indebiti e notificato all’autorità competente, indicando le ragioni specifiche su cui si fonda. Dire “no” è dunque possibile, ma si tratta di un no responsabile, destinato a essere valutato ex post in sede amministrativa o giurisdizionale. In assenza di prassi consolidate o linee guida operative, la decisione resta, in larga misura, una scelta assunta in condizioni di incertezza.
Un secondo ambito particolarmente sensibile riguarda l’accesso ai dati da parte del settore pubblico. Su questo punto il Digital Omnibus interviene in modo più netto, modificando l’impostazione originaria del Data Act. Il riferimento generico alle “necessità eccezionali” viene superato e le richieste pubbliche sono ora ricondotte ai soli casi di emergenza pubblica, quali pandemie, calamità naturali o gravi crisi infrastrutturali (nuovo art. 15-a del Data Act).
Le autorità pubbliche possono richiedere dati esclusivamente quando essi siano strettamente necessari per rispondere all’emergenza, mitigarne gli effetti o supportarne la fase di recupero. Anche in questo caso, tuttavia, la norma non elimina del tutto le aree grigie: la valutazione della “necessità” e dell’assenza di alternative resta affidata, in prima battuta, all’autorità richiedente.
Per le attività di mitigazione e recupero, il perimetro è ulteriormente ristretto: nessuna richiesta può essere rivolta a micro e piccole imprese. Nella fase di risposta immediata all’emergenza, eventuali richieste restano possibili, ma sono accompagnate da limiti stringenti e, in determinati casi, dal diritto del titolare dei dati a un compenso equo per i costi sostenuti (artt. 15-a e 20 Data Act). Si tratta di una precisazione importante, che riduce il rischio di un utilizzo estensivo e imprevedibile dei poteri pubblici, ma non lo elimina del tutto.
Un’ulteriore semplificazione, di natura prevalentemente contrattuale, riguarda le PMI e i fornitori di servizi cloud che offrono servizi fortemente personalizzati. Il Digital Omnibus esclude infatti dall’applicazione di alcuni degli obblighi più invasivi del Data Act — in particolare quelli relativi all’interoperabilità tecnica, alla migrazione assistita e alla reversibilità dettagliata del servizio — i contratti conclusi entro il 12 settembre 2025, quando tali servizi siano stati adattati in modo significativo alle esigenze specifiche del cliente (art. 31 Data Act, come modificato).
Il legislatore europeo prende così atto di una realtà diffusa: molti servizi cloud destinati alle imprese non sono prodotti standard, ma soluzioni costruite su misura e profondamente integrate nei processi aziendali. Imporre ex post obblighi rigidi di switching avrebbe significato, nella pratica, forzare la rinegoziazione di contratti complessi, con costi elevati e un alto rischio di contenzioso.
Restano fermi i principi di correttezza, trasparenza e proporzionalità dei costi di uscita, ma viene escluso l’obbligo di adeguare o riscrivere i contratti esistenti per conformarli alle nuove regole sul cambio di fornitore (considerando 17). In questo modo, il Digital Omnibus attenua uno degli effetti collaterali più problematici della regolazione digitale: la trasformazione della semplificazione normativa in instabilità contrattuale.
Nel complesso, il Digital Omnibus non elimina l’obbligo di condivisione dei dati, ma ne ridefinisce i confini. Per le PMI, la differenza è concreta ma non risolutiva: sapere quando è legittimo rifiutare, come motivare il rifiuto e quali eccezioni operano in caso di richieste pubbliche o rapporti contrattuali complessi è essenziale, ma non sufficiente a colmare l’assenza di prassi applicative chiare.
L’AI Act dopo l’AI Act
L’AI Act europeo non è soltanto la prima normativa mondiale sull’intelligenza artificiale: è anche un testo ambizioso ma profondamente imperfetto, caratterizzato da scelte presuntuose, difficoltà applicative evidenti e una struttura complessivamente confusa. Per molti versi ricorda un GDPR bis: principi severi e, in astratto, condivisibili, tradotti però in obblighi che rischiano di rimanere tali solo sul piano teorico.
È in questo contesto che, con il Digital Omnibus, la Commissione ha deciso di correggere parzialmente il tiro, intervenendo su alcune disposizioni che si erano rivelate poco praticabili o eccessivamente onerose, in particolare per le piccole e medie imprese.
Un primo esempio emblematico è quello dell’“alfabetizzazione AI”. L’AI Act prevedeva inizialmente un obbligo generalizzato in capo a fornitori e utilizzatori di sistemi di intelligenza artificiale di garantire un adeguato livello di competenze interne. Con l’Omnibus, questa impostazione viene riformulata: l’obbligo non è più configurato come un dovere diretto e uniforme degli operatori economici, ma viene ricondotto a un ruolo di promozione istituzionale, affidato alla Commissione e agli Stati membri attraverso iniziative formative, strumenti informativi e scambio di buone prassi.
Si tratta di un alleggerimento reale, ma non risolutivo. Da un lato, le imprese non sono più chiamate a dimostrare una compliance formale su un concetto ampio e indefinito come l’“AI literacy”; dall’altro, il tema non scompare, ma viene spostato su un piano di policy e accompagnamento, lasciando aperte aree di incertezza applicativa, soprattutto nei contesti più sensibili.
Un secondo intervento significativo riguarda il nodo dei bias algoritmici e il rapporto tra intelligenza artificiale e protezione dei dati personali. L’introduzione del nuovo articolo 4-bis chiarisce quando è consentito il trattamento di categorie particolari di dati personali, incluse quelle sensibili, ai fini del rilevamento e della correzione delle distorsioni nei sistemi di IA. La prevenzione della discriminazione è riconosciuta come interesse pubblico rilevante, ma il trattamento di tali dati è ammesso solo in via eccezionale e a condizioni stringenti: stretta necessità, misure avanzate di sicurezza e pseudonimizzazione, accessi rigorosamente controllati e documentati, cancellazione dei dati una volta raggiunta la finalità.
Il chiarimento riduce una frizione che rischiava di bloccare lo sviluppo di sistemi realmente equi in settori sensibili come la selezione del personale, l’accesso al credito o la sanità. Al tempo stesso, però, trasferisce sugli operatori un onere elevato: dimostrare la necessità del trattamento, documentare le scelte effettuate e prepararsi a un controllo ex post da parte delle autorità competenti.
Lo stesso schema emerge nella semplificazione degli obblighi di registrazione e documentazione. I sistemi formalmente riconducibili all’Allegato III dell’AI Act — che elenca i casi d’uso presunti ad alto rischio, come selezione del personale, accesso al credito, istruzione, servizi pubblici e sistemi biometrici — ma utilizzati in concreto solo per compiti limitati o procedurali, non devono più essere registrati nel database europeo. Resta però l’obbligo di documentare internamente la valutazione effettuata e di metterla a disposizione delle autorità su richiesta. Meno burocrazia preventiva, dunque, ma maggiore responsabilità sostanziale successiva.
Infine, viene rafforzato il ruolo dei regulatory sandbox, ambienti controllati in cui testare sistemi di IA in condizioni reali. Il Digital Omnibus ne prevede la piena operatività entro il 2026 e una tabella di marcia per la creazione di uno spazio di sperimentazione paneuropeo entro il 2028. I sandbox non introducono deroghe alle regole, né sospendono gli obblighi dell’AI Act: servono piuttosto a gestire l’incertezza di un impianto normativo che non è ancora pienamente traducibile in prassi operative senza un confronto preventivo con le autorità. Sono il luogo in cui le regole vengono “provate” perché non si è ancora certi di quali funzionino davvero.
L’AI Act nasce come un sistema che pretendeva obbedienza prima di comprensione. Il Digital Omnibus non lo riscrive, ma ne cambia il tono: è meno sicuro di sé, meno perentorio, meno antipatico. Non perché abbia finalmente trovato le regole giuste, ma perché ammette — senza dirlo apertamente — che quelle regole non erano ancora pronte. È una regolazione che arretra di mezzo passo, non per rinunciare al controllo, ma per evitare di esercitarlo alla cieca.
Il GDPR vale ancora per tutti?
A otto anni dalla sua entrata in vigore, il GDPR resta una delle normative europee più temute dagli imprenditori. Non tanto per i suoi principi — ormai ampiamente metabolizzati — quanto per l’idea, spesso alimentata da una consulenza difensiva, che adeguarsi significhi sempre fare di più, spendere di più, documentare di più.
Il Digital Omnibus interviene anche su questo terreno e, pur senza riscrivere il GDPR, manda un segnale chiaro: non tutti gli obblighi valgono per tutti, e soprattutto non sempre nella stessa misura. In un contesto che continua a puntare sull’accountability e sulla responsabilizzazione, la vera sfida non è “mettere tutto a posto”, ma capire cosa va davvero messo a posto e cosa no.
Il primo intervento va in questa direzione. L’estensione della deroga all’obbligo di tenuta del registro dei trattamenti (art. 30 GDPR) anche alle small mid-cap companies — imprese con meno di 750 dipendenti — e la possibilità di applicarla anche in presenza di trattamenti a rischio ordinario segnano un cambio di passo rilevante. Non viene meno il principio di responsabilità, ma si riconosce che l’adempimento non può essere identico per strutture profondamente diverse.
Un secondo segnale riguarda la definizione stessa di dato personale. Chiarire che un’informazione non è personale per un soggetto che non è ragionevolmente in grado di identificare l’interessato significa ridurre l’effetto espansivo che negli anni ha portato molte imprese a trattare come “dati personali” anche informazioni che, in concreto, non lo erano. Non è una liberalizzazione, ma un invito a tornare a valutare i fatti, non solo le etichette.
Accanto a questi interventi principali, il Digital Omnibus introduce una serie di aggiustamenti puntuali, tutti orientati nella stessa direzione:
- il rafforzamento e la chiarificazione dei casi in cui è possibile respingere richieste di accesso ai dati manifestamente abusive o strumentali (art. 12 GDPR);
- l’introduzione di regole specifiche per il trattamento dei dati nei dispositivi degli utenti, volte anche a limitare la reiterazione ingiustificata delle richieste di consenso e il fenomeno del consent fatigue (art. 88-bis e seguenti);
- l’allineamento con il nuovo quadro sull’intelligenza artificiale, che consente — a condizioni molto stringenti e con garanzie rafforzate — anche l’utilizzo residuale e non intenzionale di dati sensibili nei dataset di addestramento dei sistemi di IA, evitando blocchi irragionevoli dello sviluppo tecnologico (art. 9, nuovo par. 2, lett. k).
Nel loro insieme, questi interventi migliorano alcuni aspetti operativi, ma non risolvono il problema strutturale del GDPR: un sistema che continua a essere applicato in modo disomogeneo tra Stati membri e interpretato attraverso prassi differenti delle autorità di controllo. È una criticità ampiamente segnalata negli ultimi anni, anche da osservatori istituzionali di primo piano, che hanno evidenziato come l’eccessiva complessità del quadro privacy e l’incertezza sull’uso dei dati — in particolare per l’intelligenza artificiale — stiano producendo un freno strutturale all’innovazione europea (High Level Conference a un anno dal Rapporto Draghi).
Ed è qui che il Digital Omnibus diventa davvero rilevante per chi fa impresa. In un’epoca di crisi permanente, adeguarsi costa. E quando l’adeguamento viene percepito come eccessivo o sproporzionato, il rischio è duplice: o si spende male, o semplicemente non ci si adegua affatto. Il Digital Omnibus nasce anche dalla consapevolezza di questo scollamento tra norma e realtà economica.
Le regole non sono diventate più indulgenti, ma più realistiche. E proprio per questo, la prima domanda da porsi oggi non è più “cosa devo fare per essere compliant”, ma “cosa devo davvero fare, e cosa invece no”.
È ovvio che una certa consulenza continuerà a suggerire l’adeguamento supremo come unica opzione possibile. Ma non è sempre così. In un sistema che punta sulla responsabilità, l’adeguamento intelligente vale più dell’adeguamento totale.
In questo quadro, il Digital Omnibus non riduce la responsabilità delle imprese né attenua il sistema sanzionatorio, ma rende più legittima una valutazione selettiva e motivata degli obblighi. Il baricentro si sposta dall’adempimento automatico all’accountability sostanziale: non fare tutto, ma sapere perché si fa ciò che si fa, e perché si sceglie consapevolmente di non fare altro. È un cambiamento meno visibile di una riforma radicale, ma potenzialmente più incisivo per chi opera ogni giorno tra compliance, innovazione e vincoli di costo.
© Canella Camaiora S.t.A. S.r.l. - Tutti i diritti riservati.
Data di pubblicazione: 20 Gennaio 2026
È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Arlo Canella
Managing & founding partner, avvocato del Foro di Milano e cassazionista, responsabile formazione e ricerca indipendente dello Studio CC®.