La Commissione europea ha presentato la proposta di Digital Omnibus Regulation il 19 novembre 2025. Se ti occupi di privacy o compliance nel digitale, è un testo da tenere d’occhio.
L’obiettivo è semplificare e modernizzare il quadro normativo europeo intervenendo su diverse leggi chiave, tra cui GDPR, direttiva ePrivacy, Data Act, NIS2, eIDAS, DORA e CER.
Il testo cambierà man mano che avanzerà nell’iter legislativo dell’UE. Ma la direzione è interessante e noi siamo al tuo fianco per aiutarti a capire cosa potrebbe arrivare.
💡 Prima di entrare nel merito, un punto fondamentale: si tratta di una proposta, non di una legge. Il testo è in una fase iniziale e potrebbe cambiare in modo sostanziale durante l’iter legislativo dell’UE. I principi e gli obblighi descritti non sono ancora in vigore né applicabili. Fino a quando il regolamento non sarà formalmente adottato, continua a valere il quadro giuridico esistente (inclusi GDPR e le altre norme rilevanti) per tutte le attività di trattamento dei dati.
La proposta sposta la regola sui cookie della direttiva ePrivacy all’interno del GDPR, come nuovo articolo 88a. Il consenso rimane la regola generale per la memorizzazione o la lettura di informazioni sui dispositivi, ma con aggiornamenti importanti.
Cosa non cambia:
L’articolo 88b introduce una novità: i segnali di preferenza leggibili dalle macchine. Pensa alle impostazioni del browser che comunicano in automatico consenso o opposizione. I titolari dovranno rispettare questi segnali e, nel tempo, i produttori di browser dovranno supportarli.
Questo potrebbe cambiare in profondità il modo in cui il consenso “circola” sul web, spostando alcune scelte a monte – a livello di browser – pur mantenendo il controllo in mano all’utente.
🍪 Meno cookie banner nel tuo futuro?
Ecco cosa cambierebbe: se le persone impostano le proprie preferenze di privacy a livello di browser o sistema operativo (per esempio “rifiuta tutto il tracciamento” o “solo essenziali”), i siti leggerebbero e rispetterebbero automaticamente quella scelta. Niente banner.
Nella realtà, molte persone non adotteranno subito queste impostazioni, quindi i cookie banner resteranno lo standard ancora per parecchio tempo. Ma con il passare degli anni, man mano che più visitatori imposteranno preferenze a livello di browser, vedranno meno banner mentre navigano.
Dietro le quinte, continuerai ad avere bisogno di sistemi di gestione del consenso come iubenda per gestire correttamente le scelte delle persone. Il sistema diventerebbe semplicemente più “intelligente” nel decidere quando mostrare un banner e quando invece limitarsi a leggere un segnale di preferenza già espresso.
⚠️ Eccezione per i media service provider
Non tutti saranno obbligati a rispettare questi segnali. La proposta esenta esplicitamente i media service provider dall’obbligo di rispettare i segnali di preferenza leggibili dalle macchine.
Perché? La Commissione sostiene che le organizzazioni media dipendono dalla pubblicità per la loro sostenibilità economica e che i media indipendenti sono essenziali per il pluralismo e il dibattito democratico. Questo viene considerato un obiettivo di interesse pubblico.
In pratica, i siti di informazione potranno chiedere il consenso anche se l’utente ha impostato una preferenza globale “rifiuta il tracciamento”. Questa eccezione privilegiata non si applica agli altri siti web, app o fornitori di servizi online.
La proposta introduce diversi cambiamenti operativi al GDPR:
La definizione di dato personale viene ristretta. La domanda chiave diventa se uno specifico titolare o destinatario abbia i mezzi per identificare una persona in modo “ragionevole”. Il fatto che qualcun altro sia in grado di farlo non rende automaticamente quel dato personale per chiunque.
Cosa comporta: la Commissione, insieme all’European Data Protection Board (EDPB), potrà adottare criteri per stabilire quando, per determinati soggetti, dati pseudonimizzati non sono più considerati personali.
L’articolo 12 viene aggiornato in modo da permettere ai titolari di rifiutare le richieste di accesso, o chiedere un contributo spese ragionevole, quando queste sono chiaramente abusive. Rientrano in questa categoria situazioni come:
L’onere della prova rimane in capo al titolare.
Per situazioni a basso rischio e facilmente comprensibili (come piccoli artigiani locali o associazioni di quartiere), i titolari potranno fare affidamento su un’eccezione più ampia quando vi siano motivi ragionevoli per ritenere che le persone dispongano già delle informazioni essenziali.
L’EDPB dovrà proporre elenchi validi a livello UE dei trattamenti che richiedono o non richiedono una valutazione d’impatto sulla protezione dei dati (DPIA), oltre a un modello e a una metodologia comuni. Lo stesso approccio è previsto per le notifiche di violazioni di dati ad alto rischio: un modello standard e criteri che la Commissione tradurrà in atti di esecuzione.
Perché è importante: questa standardizzazione può ridurre la complessità della compliance, soprattutto per le organizzazioni che operano in più Stati membri.
Nei considerando, la proposta chiarisce che l’uso di dati personali per addestrare, testare e validare sistemi di intelligenza artificiale può basarsi sul legittimo interesse ai sensi dell’articolo 6(1)(f). La condizione è l’esistenza di un rigoroso test di bilanciamento e di adeguate misure di tutela.
Tra le salvaguardie richieste rientrano:
Viene inoltre introdotta una deroga circoscritta per la presenza occasionale di categorie particolari di dati all’interno dei dataset di addestramento AI, quando la loro rimozione sarebbe sproporzionata. In questi casi i dati devono essere fortemente protetti e non possono essere utilizzati per dedurre o rivelare informazioni sensibili. Quando il trattamento di categorie particolari è effettivamente necessario, continuano ad applicarsi le basi giuridiche dell’articolo 9(2).
Viene previsto un punto di accesso unico a livello UE per la notifica degli incidenti di cybersicurezza e degli incidenti relativi ai dati personali. I titolari ai sensi del GDPR lo utilizzeranno per le notifiche di violazione, riducendo le duplicazioni rispetto a NIS2, GDPR, eIDAS, DORA e CER.
Il vantaggio: questo accentramento affronta un problema concreto per le organizzazioni che devono gestire più obblighi di notifica in parallelo.
Il Data Act viene aggiornato in vari punti:
La Platform-to-Business Regulation (P2B) viene abrogata, in quanto sostanzialmente superata dalle nuove norme sulle piattaforme.
Questa proposta indica la direzione verso cui si sta muovendo la regolamentazione europea in materia di privacy – ed è una direzione che accogliamo con favore.
Maggiore controllo per l’utente. Requisiti più chiari. Standardizzazione che semplifica davvero la vita. Non sono solo obiettivi di policy: sono i principi su cui costruiamo iubenda fin dall’inizio.
“Il Digital Omnibus non è ancora legge e, finché non lo diventerà, la compliance al GDPR e alla direttiva ePrivacy resta esattamente quella che conosciamo oggi. E quando entrerà in vigore, non cambierà comunque un punto fondamentale: servirà sempre un livello operativo solido che traduca le norme in implementazione tecnica reale. Questo resta il ruolo della tua CMP. I segnali globali e l’automazione non sostituiscono le CMP; anzi, le rendono ancora più necessarie, perché ci deve sempre essere qualcosa che faccia da ponte tra i diritti previsti dalla normativa e il codice che li applica concretamente.”
Giulia Stancampiano, Product Legal Manager Privacy, iubenda
Il nostro impegno è giocare un ruolo attivo mentre questa proposta prende forma, contribuendo a far sì che funzioni nella pratica, sia per le aziende sia per le persone.
L’iter legislativo richiede tempo, ma saremo al tuo fianco in ogni fase, trasformando i cambiamenti normativi in indicazioni chiare e azionabili.
Che cos’è la Digital Omnibus Regulation?
Il Digital Omnibus è una proposta della Commissione europea che modifica e armonizza diverse leggi digitali dell’UE, in particolare il GDPR e la direttiva ePrivacy, con l’obiettivo di ridurre la complessità, migliorare la coerenza e aggiornare le disposizioni ormai superate.
La Digital Omnibus Regulation è già in vigore?
No. Il Digital Omnibus è ancora una proposta nelle prime fasi dell’iter legislativo dell’UE e potrebbe essere modificato in modo significativo prima dell’adozione. Fino a quando non diventerà legge, continueranno ad applicarsi le normative esistenti, come il GDPR.
Quando diventerà legge la Digital Omnibus Regulation?
Al momento non esiste una tempistica definita. Le procedure legislative dell’UE richiedono in genere tra 12 e 30 mesi. Una volta adottato, il regolamento entra in vigore 20 giorni dopo la pubblicazione. I nuovi obblighi si applicheranno in modo graduale (ad esempio, 6 mesi per le nuove regole sui cookie, 24 mesi per i segnali leggibili dalle macchine).
La Digital Omnibus Regulation sostituisce il GDPR?
No. Il Digital Omnibus non sostituisce il GDPR, ma lo modifica e lo aggiorna. La proposta interviene su specifici articoli, tra cui le regole sul consenso ai cookie e le procedure di notifica delle violazioni dei dati.
Quali cambiamenti propone il Digital Omnibus per il consenso ai cookie?
La proposta prevede l’obbligo di offrire opzioni di accettazione e rifiuto con un solo clic, vieta di ripetere le richieste di consenso per almeno sei mesi dopo un rifiuto e introduce i segnali di preferenza leggibili dalle macchine. Inoltre, sposta le regole sui cookie all’interno del GDPR (nuovo articolo 88a) e chiarisce per quali finalità limitate è possibile fare affidamento sulle eccezioni al consenso, come la misurazione aggregata dell’audience di prima parte e la sicurezza.
Avrò ancora bisogno di un cookie banner con il Digital Omnibus?
Sì. I sistemi di gestione del consenso restano essenziali per raccogliere le scelte degli utenti, gestire la prova del consenso e applicare correttamente le preferenze. Ciò che cambierebbe è che alcuni utenti che impostano preferenze a livello di browser potrebbero non vedere il banner, perché il sistema leggerebbe la preferenza già espressa. I media service provider, però, potranno continuare a chiedere il consenso anche in presenza di un segnale globale di “rifiuto”.
In che modo il Digital Omnibus incide su AI e dati personali?
La proposta chiarisce che l’uso di dati personali per addestrare sistemi di AI può basarsi sul legittimo interesse ai sensi dell’articolo 6(1)(f), a condizione che siano previste solide salvaguardie: trasparenza, diritto di opposizione incondizionato e tecniche di tutela della privacy. Viene introdotto un nuovo articolo 88c del GDPR.
Devo fare qualcosa fin da ora?
No, non sono richieste azioni immediate. I tuoi obblighi di compliance ai sensi del GDPR e delle altre normative esistenti restano invariati. Ti consigliamo però di restare aggiornato mentre la proposta evolve: noi continueremo a informarti sugli sviluppi che possono avere impatto sul tuo lavoro di compliance.