L’Unione europea ha avviato una revisione profonda del proprio diritto digitale con il pacchetto Digital Omnibus, un intervento pensato per semplificare un sistema normativo diventato negli anni sempre più stratificato. L’obiettivo è costruire un’architettura unica e coerente, capace di tenere insieme privacy, mercato digitale, sicurezza informatica e sviluppo dell’intelligenza artificiale. La Commissione europea punta a rendere le regole più flessibili e comprensibili, riducendo gli oneri per imprese e cittadini. Il pacchetto interviene sul cuore della regolazione europea: dal GDPR alla direttiva ePrivacy, fino all’AI Act. Bruxelles stima che l’operazione possa tagliare fino a 5 miliardi di euro di costi amministrativi entro il 2029.
Le novità su dati personali, cookie e sistemi di tracciamento
La riforma rivede la definizione di “dato personale”, limitandone l’applicazione ai casi in cui esista una reale possibilità di identificare una persona. Questo chiarimento esclude molti trattamenti su dati aggregati o pseudonimizzati, oggi soggetti a regole più rigide del necessario. Un capitolo rilevante riguarda i cookie e i sistemi di tracciamento: le norme dell’ePrivacy confluiscono nel GDPR e viene introdotto un sistema di segnali di consenso inviati direttamente dal browser, che i siti dovranno riconoscere. L’intento è ridurre l’attuale proliferazione di banner e richieste ripetitive. Sul versante della sicurezza, arriva un punto unico di notifica gestito da Enisa: un’unica piattaforma per segnalare incidenti cyber, che poi verranno instradati automaticamente verso le autorità competenti.
La parte del Digital omnibus dedicata all’AI
Cambiano anche le basi giuridiche per lo sviluppo dei modelli di AI. Il Digital Omnibus chiarisce che le aziende potranno trattare alcuni dati personali senza dover raccogliere consensi su larga scala, utilizzando come base giuridica il “legittimo interesse”. Questa possibilità vale solo quando il trattamento è realmente necessario all’addestramento dei modelli, non è escluso da norme specifiche, ed è accompagnato da garanzie stringenti: una valutazione d’impatto formale sui rischi, obblighi di trasparenza e la possibilità per ogni utente di opporsi in qualsiasi momento. La riforma modifica anche la tempistica dell’AI Act: gli obblighi per i sistemi ad alto rischio scatteranno solo quando saranno disponibili gli standard tecnici europei necessari ad applicarli, così da evitare regole formalmente in vigore ma impossibili da rispettare.