Da fine 2025 la Commissione europea ha messo sul tavolo il Digital Omnibus: un pacchetto di modifiche “a pettine” su più atti digitali, con l’obiettivo dichiarato di semplificare e ridurre costi di compliance. Dentro ci sono anche interventi sul GDPR, e quindi è normale che DPO, legal e security lo stiano guardando con attenzione.

Nel frattempo, EDPB ed EDPS hanno già pubblicato una Joint Opinion (2/2026): in sintesi sostengono l’idea di semplificazione, ma segnalano punti che, se scritti male o troppo larghi, rischiano di creare ambiguità o di spostare l’equilibrio delle tutele. Di seguito trovi una lettura “da compliance”, con gli impatti pratici più probabili per aziende e DPO.

Cosa sta proponendo la Commissione sul GDPR

a) “Personal data” e pseudonimizzazione: tentativo di chiarire (ma è delicato)

La Commissione propone di integrare la definizione di dato personale per chiarire che un’informazione potrebbe non essere “personale” per un soggetto che non è in grado di identificare l’interessato, anche se qualcun altro lo potrebbe fare. Il punto è importante perché tocca il perimetro stesso di applicazione del GDPR, e si intreccia con pratiche molto comuni in ambito data sharing e AI (dataset pseudonimizzati, segregazione chiavi, accessi differenziati).

b) AI: “legittimo interesse” e chiarimenti su basi giuridiche

Nelle FAQ ufficiali la Commissione presenta l’intervento come un modo per dare certezza giuridica sull’uso del legittimo interesse per lo sviluppo/uso di modelli AI, con “forti salvaguardie” e un accento sul diritto di opposizione. Parallelamente, nel testo discusso dalle autorità europee compaiono anche meccanismi pensati per gestire casi complessi, come il tema delle categorie particolari che possono finire “incidentalmente” nei dataset AI.

c) Data breach: meno notifiche “di routine”, più focus su casi davvero gravi

Qui c’è un cambio molto operativo: la proposta punta ad aumentare la soglia di notifica verso l’autorità, in modo che l’obbligo scatti solo quando la violazione è probabile che comporti un rischio elevato per diritti e libertà. E, sempre in ottica di semplificazione, si parla anche di estensione della deadline da 72 a 96 ore, portale unico di notifica (“single-entry point”) per ridurre duplicazioni tra normative e template + liste comuni per rendere le valutazioni più uniformi.

d) DPIA: verso liste e metodologie più uniformi a livello UE

Un altro pezzo “molto compliance” è la razionalizzazione delle DPIA, con l’idea di arrivare a liste comuni e strumenti più standardizzati a livello europeo, così da ridurre frammentazione tra Paesi e interpretazioni troppo diverse.

e) Cookie / terminal equipment: semplificazione e spostamento di governance

Nel “pacchetto digitale” la Commissione collega la semplificazione anche alle “cookie rules”, con una logica di riduzione della “banner fatigue” e un maggiore controllo tramite impostazioni centralizzate (es. browser).

Perché EDPB + EDPS hanno già espresso criticità

La Joint Opinion è interessante perché non è un “no” ideologico: riconosce che alcuni interventi possono alleggerire oneri senza ridurre la protezione. Però mette dei paletti molto chiari.

a) attenzione: la definizione di dato personale è un cardine “sistemico”

EDPB ed EDPS avvertono che cambiare (anche solo “per chiarire”) la definizione di personal data può avere effetti a catena su altri atti UE che si appoggiano a quella definizione, rischiando di creare incoerenze.

b) poteri tramite “implementing acts”: rischio di spostare confini per via amministrativa

Un punto sensibile riguarda la possibilità che criteri chiave (es. quando dati pseudonimizzati “smettono” di essere personali per un’entità) vengano ulteriormente specificati tramite atti di esecuzione. Le autorità segnalano che, se questi atti incidono di fatto sul perimetro del GDPR, si entra in un terreno delicato anche dal punto di vista delle garanzie istituzionali e della certezza del diritto.

c) AI e categorie particolari: sì alla chiarezza, ma con confini stretti

Sul tema delle categorie particolari “residuali/incidental”, EDPB ed EDPS dicono: l’idea può avere senso per gestire casi reali, ma va scritta in modo che non diventi una scorciatoia ampia. Chiedono chiarimenti su termini (es. “operation”), su quando la deroga si applica davvero, e sulla coerenza con il quadro AI.

3) Cosa monitorare nel 2026: iter, tempi e cosa può cambiare davvero

Il Digital Omnibus è in procedura legislativa ordinaria: Parlamento e Consiglio possono emendare in modo significativo. Nel “Legislative Train” del Parlamento il fascicolo risulta come 2025/0360(COD) e viene indicata l’assegnazione alle commissioni competenti (con un lavoro politico che, realisticamente, nel 2026 sarà molto acceso). Per chi fa compliance, più che inseguire indiscrezioni, conviene seguire alcuni segnali concreti:

  • nomina di relatori/rapporteur e prime bozze di posizione in Parlamento;
  • progressi in Consiglio verso un “general approach” e possibili linee rosse degli Stati membri;
  • emendamenti su tre blocchi ad alto impatto (definizione di dato personale, AI e basi giuridiche, breach/DPIA e meccanismi di notifica);
  • come verranno gestite le tensioni tra “semplificazione” e coerenza con altri pezzi del digital rulebook (ePrivacy, NIS2, Data Act);
  • eventuali testi di compromesso che cambiano davvero gli obblighi operativi (soglie, deadline, portali, liste comuni) e non solo i considerando.

Cosa può cambiare davvero per aziende e DPO

Se alcune parti passassero in forma simile a quella proposta oggi, gli impatti pratici più tangibili sarebbero soprattutto su:

  • incident e breach management (soglia, tempi, canale unico e template);
  • DPIA e risk management (liste e metodologia più standard);
  • governance dei dataset per AI (basi giuridiche, diritto di opposizione, gestione “residuale” delle categorie particolari);
  • definizioni e perimetro (pseudonimizzazione, capacità di re-identificazione e responsabilità).

Takeaway: come prepararsi senza fare finta che la legge sia già cambiata

Finché l’iter non si chiude, il GDPR resta quello attuale. Però puoi usarlo come esercizio utile di maturità interna:

  • Stress test su dataset e processi AI: cosa è davvero pseudonimizzato, chi può re-identificare, con quali controlli;
  • Revisione del playbook incident: quali eventi notifichi oggi “per prudenza” e come cambierebbe con una soglia “high risk”;
  • DPIA: standardizzazione interna (template, criteri, evidenze) così da adattarti facilmente se arrivano liste/metodologie più uniformi.

Vuoi capire se e come il “digital omnibus” può impattare la tua compliance GDPR nel 2026? FinData ti supporta con una review mirata su: definizioni e perimetro dei dati (pseudonimizzazione/re-identificazione), basi giuridiche e uso dei dati in progetti AI, e processi operativi (DPIA e gestione data breach). Contattaci per un assessment rapido e una roadmap di adeguamento “audit-ready”.