📣 Ultime novità
9 marzo 2026 – La Commissione delinea il piano di semplificazione del Digital Omnibus (clicca per espandere)
La Commissione europea ha dichiarato che il Digital Omnibus proposto mira a semplificare il quadro normativo digitale dell’UE e a ridurre di almeno 5 miliardi di euro i costi amministrativi per le imprese, in particolare le PMI. La proposta si concentra sul miglioramento della chiarezza giuridica in materia di dati e regolamentazione dell’IA, sulla razionalizzazione delle notifiche di incidenti di cybersicurezza e sull’adeguamento dei tempi di applicazione di alcune parti dell’AI Act, inclusi i sistemi ad alto rischio. La Commissione ha inoltre confermato di stare esaminando il quadro digitale complessivo attraverso un Digital Fitness Check, che potrebbe portare a ulteriori misure di semplificazione. Leggi di più →
5 dicembre 2025 – Le autorità privacy europee sollevano dubbi su una modifica chiave della proposta (clicca per espandere)
L’European Data Protection Board (EDPB), la principale autorità europea per la protezione dei dati, ha esaminato la proposta del Digital Omnibus ed espresso preoccupazioni riguardo alla ridefinizione di “dato personale”. La proposta restringerebbe la definizione concentrandosi sulla capacità del singolo titolare di identificare una persona, non di chiunque altro. L’EDPB ritiene che questo approccio possa essere eccessivo e confliggere con recenti pronunce giurisprudenziali. Per approfondire il tema è prevista una discussione con gli stakeholder il 12 dicembre 2025 (documento di discussione). Il punto è rilevante: quando l’EDPB solleva una preoccupazione, può influenzare la forma definitiva della legge. Visto che la definizione di dato personale è alla base di tutte le normative privacy, questa parte della proposta potrebbe essere rivista. Leggi di più →
Il 19 novembre 2025 la Commissione europea ha pubblicato la proposta di Regolamento Digital Omnibus. Chi si occupa di conformità digitale farà bene a tenerla d’occhio.
La proposta mira a semplificare e modernizzare il quadro normativo europeo, modificando alcune leggi fondamentali tra cui il GDPR, la Direttiva ePrivacy, il Data Act, NIS2, eIDAS, DORA e CER.
Il testo si evolverà con l’iter legislativo dell’UE, ma la direzione è incoraggiante e ci impegniamo ad accompagnarti nella comprensione di ciò che verrà.
💡 Prima di entrare nel dettaglio, un punto fondamentale: si tratta di una proposta, non di una legge. Il testo è in una fase iniziale e potrebbe subire modifiche sostanziali durante il procedimento legislativo europeo. I principi e gli obblighi descritti non sono ancora in vigore né applicabili. Fino all’adozione formale del Regolamento, continua a valere il quadro normativo attuale (inclusi il GDPR e le altre leggi pertinenti).
📊 Vedi la cronologia: dalla proposta alla legge (clicca per espandere)
Il consenso ai cookie si aggiorna
La proposta trasferisce la regola ePrivacy sui cookie nel GDPR come nuovo articolo 88a. Il consenso rimane la regola generale per la memorizzazione o la lettura di informazioni sui dispositivi, ma con aggiornamenti importanti.
- Eccezioni al consenso aggiunte: un elenco chiuso copre ora la trasmissione, i cookie strettamente necessari, la misurazione aggregata dell’audience di prima parte per i propri servizi e la sicurezza del servizio o del dispositivo.
- Accettazione e rifiuto con un clic obbligatori: i cookie banner devono rendere entrambe le opzioni ugualmente accessibili.
- Periodo di pausa di sei mesi: i siti non possono continuare a richiedere il consenso agli utenti per almeno sei mesi dopo un rifiuto, salvo modifiche rilevanti alle attività di trattamento.
Cosa non cambia:
- Il consenso rimane centrale: sarà ancora necessario per pubblicità, profilazione, tracciamento cross-site e analisi di terze parti. La proposta non indebolisce questi requisiti.
Segnali di preferenza leggibili automaticamente
L’articolo 88b introduce una novità: i segnali di preferenza leggibili automaticamente. Pensa a impostazioni del browser che comunicano consenso o opposizione in modo automatico. I titolari dovranno rispettare questi segnali e i produttori di browser dovranno progressivamente supportarli.
Questo potrebbe cambiare in modo radicale il funzionamento del consenso sul web, spostando alcune scelte a monte, a livello di browser, mantenendo al contempo il controllo dell’utente.
🍪 Meno cookie banner in futuro?
Ecco cosa cambierebbe: se gli utenti impostassero le proprie preferenze privacy a livello di browser o sistema operativo (ad esempio “rifiuta tutto” o “solo essenziali”), i siti le leggerebbero e le rispetterebbero automaticamente. Niente banner.
La realtà? La maggior parte degli utenti non adotterà queste impostazioni nell’immediato, quindi i cookie banner rimarranno lo standard per il futuro prevedibile. Nel tempo, però, man mano che più visitatori configurano preferenze a livello di browser, vedranno meno banner durante la navigazione.
Dietro le quinte, avrai comunque bisogno di sistemi di gestione del consenso come iubenda per gestire correttamente le scelte degli utenti. Il sistema diventerà semplicemente più intelligente nel valutare quando mostrare un banner e quando leggere un segnale di preferenza già esistente.
⚠️ Eccezione per i fornitori di servizi media
Non tutti sono tenuti a rispettare questi segnali. La proposta esonera esplicitamente i fornitori di servizi media dall’obbligo di rispettare i segnali di preferenza leggibili automaticamente.
Perché? La Commissione sostiene che le organizzazioni media dipendono dai ricavi pubblicitari per la propria sostenibilità finanziaria e che i media indipendenti sono essenziali per il pluralismo e il dibattito democratico, configurando così un obiettivo di interesse pubblico.
In pratica, i siti di informazione potranno richiedere il consenso anche se l’utente ha impostato una preferenza globale di “rifiuto del tracciamento”. Questa eccezione non si applica ad altri siti web, app o fornitori di servizi online.
Le modifiche al GDPR da tenere d’occhio
La proposta introduce diverse modifiche concrete al GDPR:
Dati personali e pseudonimizzazione
La definizione di dato personale viene ristretta. La questione centrale diventa se il titolare o il destinatario specifico disponga dei mezzi per identificare “ragionevolmente” una persona. Il fatto che qualcun altro possa identificarla non rende automaticamente quel dato personale per tutti.
Cosa significa: la Commissione, in collaborazione con l’European Data Protection Board (EDPB), potrà adottare criteri per stabilire quando i dati pseudonimizzati non costituiscano più dati personali per determinati soggetti.
Il diritto di accesso si dota di protezioni anti-abuso
L’articolo 12 viene modificato in modo che i titolari possano rifiutare le richieste di accesso o applicare un corrispettivo ragionevole quando le richieste siano manifestamente abusive. Questo include scenari come:
- Campagne di molestie
- Richieste di risarcimento speculative
- Schemi del tipo “pagami e ritiro la richiesta”
L’onere della prova rimane in capo al titolare.
Eccezioni alla trasparenza per situazioni a basso rischio
Per situazioni a basso rischio e con caratteristiche evidenti (come artigiani locali o piccoli circoli), i titolari possono fare affidamento su una più ampia eccezione quando vi siano fondati motivi per ritenere che le persone dispongano già delle informazioni necessarie.
Standardizzazione delle DPIA e delle notifiche di violazione
L’EDPB dovrà elaborare elenchi a livello europeo dei trattamenti che richiedono o meno una valutazione d’impatto sulla protezione dei dati (DPIA), oltre a un modello e una metodologia comuni. Lo stesso vale per le notifiche di violazione ad alto rischio: un modello standard e dei criteri che la Commissione tradurrà in atti di esecuzione.
Perché è importante: questa standardizzazione potrebbe ridurre la complessità della conformità, in particolare per le organizzazioni che operano in più Stati membri dell’UE.
IA e dati personali
I considerando della proposta chiariscono che l’utilizzo di dati personali per addestrare, testare e validare sistemi di IA può fondarsi sul legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lettera f). A condizione di effettuare un rigoroso test di bilanciamento e di predisporre adeguate garanzie.
Le garanzie richieste includono:
- Trasparenza sull’utilizzo per l’addestramento di sistemi IA
- Diritto di opposizione incondizionato
- Tecniche di privacy preservation
- Protezioni aggiuntive in base al livello di rischio
Viene introdotta una deroga limitata per i dati di categoria speciale presenti in modo incidentale nei dataset di addestramento IA, qualora la loro rimozione risultasse sproporzionata. In tali casi i dati devono essere adeguatamente protetti e non utilizzati per inferire o divulgare informazioni sensibili. I presupposti ordinari dell’articolo 9, paragrafo 2 continuano ad applicarsi quando il trattamento di categorie speciali è effettivamente necessario.
Altre modifiche da considerare
Punto unico europeo per le segnalazioni di incidenti
Viene istituito un punto unico europeo per le segnalazioni di incidenti di cybersicurezza e relativi a dati personali. I titolari soggetti al GDPR lo utilizzeranno per le notifiche di violazione, eliminando i duplicati previsti da NIS2, GDPR, eIDAS, DORA e CER.
Il vantaggio: questa razionalizzazione risponde a un problema reale per le organizzazioni che gestiscono più obblighi di segnalazione in parallelo.
Aggiornamenti al Data Act
Il Data Act riceve diversi aggiornamenti:
- Maggiori tutele per i segreti commerciali
- La condivisione dei dati da imprese a pubbliche amministrazioni (B2G) è limitata alle emergenze pubbliche
- Regime più leggero per alcuni contratti cloud
- La Direttiva Open Data e il Data Governance Act vengono integrati al suo interno
Il Regolamento Platform-to-Business (P2B) viene abrogato in quanto ampiamente superato dalle normative più recenti sulle piattaforme.
Cosa significa per la tua azienda
Questa proposta indica la direzione verso cui si sta muovendo la regolamentazione privacy europea, ed è un futuro che accogliamo con favore.
Maggiore controllo per gli utenti. Requisiti semplificati. Standardizzazione concreta. Non sono solo obiettivi politici: sono le fondamenta su cui iubenda costruisce fin dall’inizio.
“Il Digital Omnibus non è ancora legge. E finché non lo sarà, la conformità al GDPR e all’ePrivacy resta esattamente quella che conosci. Quello che non cambierà, nemmeno con il futuro regime, è la necessità di uno strato operativo solido che traduca i requisiti legali in applicazione tecnica. A farlo è ancora il tuo CMP. I segnali globali e l’automazione non sostituiscono i CMP: li rendono indispensabili, perché qualcuno deve ancora fare da ponte tra i diritti astratti e il codice concreto.”
Giulia Stancampiano, Product Legal Manager Privacy, iubenda
Ci impegniamo a svolgere un ruolo attivo mentre questa proposta prende forma, contribuendo a garantire che funzioni nella pratica per le aziende e i loro clienti.
Il processo legislativo richiede tempo, ma saremo con te a ogni passo, trasformando i cambiamenti normativi in indicazioni chiare e concrete.
Domande frequenti
Che cos’è il Regolamento Digital Omnibus?
Il Digital Omnibus è una proposta della Commissione europea che modifica e armonizza diverse leggi digitali dell’UE, in particolare il GDPR e la Direttiva ePrivacy, per ridurre la complessità, migliorare la coerenza e modernizzare le disposizioni obsolete.
Il Regolamento Digital Omnibus è già in vigore?
No. Il Digital Omnibus è ancora una proposta nelle fasi iniziali del procedimento legislativo europeo e potrebbe subire modifiche sostanziali prima dell’adozione. Fino a quando non diventerà legge, continuano ad applicarsi le normative vigenti come il GDPR.
Quando entrerà in vigore il Digital Omnibus?
Non esiste una scadenza definita. Le procedure legislative europee richiedono in genere da 12 a 30 mesi. Una volta adottato, il Regolamento entra in vigore 20 giorni dopo la pubblicazione. I nuovi obblighi si applicano per fasi (ad esempio, 6 mesi per le nuove regole sui cookie, 24 mesi per i segnali di preferenza leggibili automaticamente).
Il Digital Omnibus sostituisce il GDPR?
No. Il Digital Omnibus modifica e aggiorna il GDPR senza sostituirlo, proponendo variazioni ad articoli specifici, come le regole sul consenso ai cookie e le procedure di notifica delle violazioni dei dati.
Quali modifiche al consenso dei cookie propone il Digital Omnibus?
La proposta richiederebbe opzioni di accettazione e rifiuto con un solo clic, impedirebbe la ripetizione delle richieste di consenso per almeno sei mesi dopo un rifiuto e introdurrebbe segnali di preferenza leggibili automaticamente. Sposta inoltre le regole sui cookie nel GDPR (nuovo articolo 88a) e chiarisce quali finalità limitate possono fare a meno del consenso, come la misurazione aggregata dell’audience di prima parte e la sicurezza.
Avrò ancora bisogno di un cookie banner con il Digital Omnibus?
Sì. I sistemi di gestione del consenso rimangono indispensabili per gestire le scelte degli utenti, conservare la prova del consenso e applicare correttamente le preferenze. Ciò che cambierebbe è che alcuni utenti che hanno configurato preferenze a livello di browser potrebbero non vedere il banner, poiché il sistema leggerebbe la loro preferenza esistente. I fornitori di servizi media, però, potrebbero comunque richiedere il consenso anche in presenza di un segnale globale di rifiuto.
In che modo il Digital Omnibus influisce su IA e dati personali?
La proposta chiarisce che l’utilizzo di dati personali per addestrare sistemi di IA può fondarsi sul legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lettera f), a condizione che siano in atto garanzie rigorose: trasparenza, diritto di opposizione incondizionato e tecniche di privacy preservation. Introduce un nuovo articolo 88c GDPR.
Devo fare qualcosa adesso?
No, non è richiesta alcuna azione immediata. Gli obblighi di conformità previsti dal GDPR e dalle altre normative vigenti rimangono invariati. Ti consigliamo di restare aggiornato sull’evoluzione della proposta: ti terremo informato su tutti gli sviluppi che potrebbero riguardare la tua conformità.