Il 19 novembre 2025, la European Commission (Commissione UE) presenterà il cosiddetto pacchetto «Digital Omnibus», un insieme di interventi normativi mirati alla semplificazione del quadro regolamentare digitale europeo, che includono aggiornamenti alle leggi su dati, intelligenza artificiale (IA) e cybersicurezza. Secondo la Commissaria per la tecnologia Henna Virkkunen, l’obiettivo è alleggerire gli oneri amministrativi per le imprese del settore IA e agevolare l’innovazione. Ciò nonostante, dalla prospettiva della governance, della compliance e della protezione dei dati personali emergono questioni molto rilevanti: si tratta davvero solo di «semplificazione», o ci troviamo di fronte a modifiche sostanziali con impatti sul regime del General Data Protection Regulation (GDPR) e sulla tutela dei diritti?

Cosa prevede il pacchetto

Ecco alcuni elementi chiave finora emersi (tenendo conto che il testo finale che verrà approvato potrebbe variare):

  • La Commissione intende ridurre la burocrazia e gli adempimenti che gravano sulle imprese digitali, chiedendo «meno carta, meno sovrapposizioni e regole più snelle».
  • Tra gli ambiti oggetto di intervento figurano l’attuazione dell’Artificial Intelligence Act (AI Act), la normativa sulla cybersicurezza, il regime dei cookie e delle tecnologie di tracciamento, nonché la governance dei dati.
  • Alcune bozze trapelate indicano modifiche rilevanti: ad esempio una nuova soglia per la segnalazione di violazioni dei dati personali, potenziali deroghe ai diritti degli interessati, e l’ampliamento della nozione di «interesse legittimo» per finalità di addestramento di sistemi IA.

Perché le aziende dovrebbero guardare con attenzione a ciò che sta accadendo

Dal punto di vista della compliance e della gestione del rischio, il pacchetto Digital Omnibus offre opportunità ma anche sfide concrete. Ecco alcuni punti da considerare:

  • Riduzione degli oneri amministrativi: se correttamente calibrata, la semplificazione può favorire una maggiore efficienza operativa e ridurre i costi di adeguamento normativo, soprattutto per le PMI.
  • Maggiore certezza regolamentare: l’adozione di procedure uniformi può aiutare le aziende a capire meglio quali obblighi applicare, ad esempio in materia di IA ad alto rischio.
  • Attenzione alle modifiche sostanziali: alcune organizzazioni di tutela della privacy hanno già manifestato preoccupazioni, sostenendo che le proposte vadano ben oltre la semplice semplificazione e possano indebolire strumenti di protezione consolidati.
  • Ridefinizione dei diritti e delle garanzie: se cambiano le soglie di segnalazione, le basi legali per il trattamento, o la nozione di «dati personali sensibili», le aziende dovranno rivedere le proprie policy, valutazioni d’impatto e modalità di gestione dei dati.
  • Bilanciamento tra innovazione e tutela: operare in un contesto “AI-driven” significa cogliere l’innovazione, ma anche assicurare che l’uso dei dati e dei sistemi automatizzati non comprometta trasparenza, equità, responsabilità e diritti degli interessati.

Quali azioni operative deve considerare il tuo team di compliance

Per prepararsi in modo proattivo è necessario prevedere alcuni punti chiave da inserire nella roadmap aziendale:

  1. Monitoraggio dell’evoluzione normativa
    • Seguire da vicino la pubblicazione del pacchetto il 19 novembre, leggere i testi legislativi quando disponibili e valutare gli emendamenti parlamentari o accompagnatori.
    • Mappare quali ambiti regolamentari aziendali (privacy, IA, cybersecurity, tracciamento) potrebbero essere impattati.
  2. Revisione delle policy e dei processi interni
    • Verificare se le procedure aziendali esistenti includono ad oggi elementi che potrebbero essere modificati (es. segnalazione incidenti, documentazione DPIA, trattamento dei dati per IA).
    • Preparare modelli aggiornati integrando lo scenario di possibile revisione normativa.
  3. Valutazione degli impatti per le attività IA
    • Per le imprese che sviluppano o utilizzano sistemi IA, è utile condurre una valutazione d’impatto sui rischi normativi: ad esempio in che misura cambiamenti nella definizione di «dati personali» influenzano l’addestramento dei modelli.
    • Verificare se sono necessari adeguamenti nella governance dei modelli, nei meccanismi di trasparenza e nelle pratiche di rendicontazione dei sistemi ad alto rischio.
  4. Formazione e sensibilizzazione
    • Organizzare sessioni informative con il management, il team IT, i responsabili privacy e le business unit coinvolte nell’IA per illustrare che cosa significa “semplificazione” ma anche cosa comportano i cambiamenti.
    • Rafforzare la cultura aziendale attorno all’equilibrio tra innovazione e tutela dei diritti.

Concludendo

Il pacchetto Digital Omnibus è un momento davvero importante nel panorama regolatorio digitale europeo: potrebbe alleggerire la complessità normativa e stimolare l’innovazione, ma allo stesso tempo comporta rischi in termini di protezione dei dati e responsabilità aziendale. Per le imprese che operano in ambiti IA, cybersecurity o trattamento dati, l’attivazione di una strategia di compliance pienamente integrata è più che mai necessaria.

Se la tua organizzazione desidera esplorare come prepararsi concretamente a questi cambiamenti – costruendo policy, strumenti di governance e modelli operativi aderenti a un mondo sempre più AI-driven – il nostro team è pronto ad accompagnarti. Contattaci per progettare insieme un percorso su misura che unisca innovazione e tutela normativa.

Leave a Reply