Relazioni ad Alto Potenziale

Il peso regolatorio digitale ha prodotto un paradosso. Da un lato, grandi player tecnologici dotati di strutture legali interne hanno potuto assorbire — o talvolta eludere — adempimenti onerosi. Dall’altro, piccole e medie imprese si trovano gravate da obblighi calibrati su rischi che spesso non generano, sostenendo costi di compliance sproporzionati rispetto alla loro effettiva pericolosità per i diritti degli interessati.

L’idea di fondo del Digital Omnibus è che la valutazione del rischio possa diventare lo strumento per graduare il peso regolatorio ovvero distribuirlo in modo equo e ragionevole, concentrando gli obblighi dove il rischio è reale e alleggerendoli invece dove il rischio è marginale.

Inquadramento

Il Digital Omnibus è una proposta presentata dalla Commissione Europea il 19 novembre 2025. La Commissione lo presenta come iniziativa di competitività e semplificazione, mirata a ridurre gli oneri amministrativi e aumentare la certezza giuridica per le imprese — confermando la premessa da cui nasce: la consapevolezza di un peso regolatorio divenuto ormai insostenibile. Segue la procedura legislativa ordinaria, con adozione attesa verso fine 2026 ed effetti intorno al 2027/2028. Sono inoltre aperti periodi di feedback fino al 9 marzo 2026 e una consultazione, il Digital Fitness Check, fino all’11 marzo 2026. Il testo è pertanto ancora negoziabile, potendo mutare nel corso dell’iter di approvazione.

Il Digital Package

Il Digital Omnibus è una delle tre parti del “Digital Package” della Commissione, insieme alla Data Union Strategy e agli European Business Wallets. Il pacchetto si compone di due regolamenti: un “Digital Omnibus” generale, che modifica GDPR, ePrivacy, NIS2 e Data Act; e un “Digital Omnibus on AI”, focalizzato sull’AI Act.

L’impatto del Digital Omnibus sul GDPR

Sul fronte GDPR gli interventi sono mirati. Il termine per notificare le violazioni dei dati passa da 72 a 96 ore e la notifica viene allineata alla soglia di “rischio elevato”, così da ridurre le segnalazioni superflue. È prevista una lista unica europea delle attività che richiedono una valutazione d’impatto (DPIA), affiancata da una lista speculare di quelle che non la richiedono, con metodologia e modelli comuni. Le regole sui cookie vengono trasferite dalla ePrivacy al GDPR, con un ampliamento delle attività esenti da consenso e la possibilità di un consenso “one-click” valido sei mesi o gestito a livello di browser e sistema operativo. Sul versante AI, si chiarisce che lo sviluppo e l’addestramento dei sistemi di intelligenza artificiale possono costituire “legittimo interesse” ai sensi del GDPR, mentre un punto di accesso unico viene introdotto per la segnalazione delle violazioni di cybersecurity tra GDPR, NIS2 e DORA.

Il rischio nel Digital Omnibus

Nel Digital Omnibus il rischio è il criterio attorno a cui ruota l’intera logica di semplificazione. L’idea è quella di concentrare gli obblighi dove il rischio è reale e alleggerirli dove è marginale. Lo si vede in più punti: la notifica delle violazioni viene allineata alla soglia di “rischio elevato”, così da evitare segnalazioni a pioggia e permettere ad imprese e autorità di concentrarsi sugli incidenti realmente pericolosi; la valutazione d’impatto viene razionalizzata attraverso una lista unica europea delle attività che la richiedono e una lista speculare di quelle che non la richiedono, con metodologie e modelli comuni.

La proporzionalità si estende anche sul piano soggettivo: le agevolazioni già previste per le PMI — documentazione tecnica semplificata, sanzioni commisurate — vengono estese alle cosiddette Small Mid-Caps (fino a 750 dipendenti e 150 milioni di euro di fatturato). Il criterio dimensionale si somma così a quello del rischio, nel tentativo di calibrare il peso regolatorio su due assi: quanto è pericolosa l’attività e quanto è strutturata l’impresa che la svolge.

Il meccanismo basato sul rischio nel GDPR ha davvero funzionato?

Vale la pena ricordare che la promessa di un risk-based approach come strumento di scalabilità degli obblighi non è nuova, e che il suo esito è stato a lungo deludente. Già nel 2014 il Working Party ex art. 29, nell’interpretare il GDPR, aveva escluso che la valutazione d’impatto potesse servire a graduare gli adempimenti: i requisiti del Regolamento sono stati qualificati come un livello minimo e non negoziabile di protezione, applicabile a prescindere dal rischio per gli interessati. La valutazione d’impatto (art. 35 GDPR) è stata così ridotta a mero strumento di dimostrazione della compliance.

Il punto critico — che avevo già sollevato anni fa in questo blog — è netto: che senso ha condurre una valutazione del rischio, se da un esito di rischio ridotto non può mai derivare l’alleggerimento di alcun obbligo? Se la valutazione non distribuisce il peso, è stata così disattesa l’aspettativa di chi aveva visto nel risk-based approach la possibilità di una granularità della compliance, particolarmente sentita nei settori dei big data, dei dati pseudonimizzati e della ricerca scientifica. Vedi il mio commento qui https://marialuisamanis.nova100.ilsole24ore.com/2017/11/17/una-interpretazione-del-cd-risk-based-approach-diversa-da-quella-proposta-dal-wp29-sarebbe-vantaggiosa-per-la-ricerca-scientifica/

Questa è la lezione che il Digital Omnibus non può ignorare: introdurre soglie di rischio è utile solo se al rischio basso corrisponde un effettivo sgravio, e non l’ennesimo adempimento da documentare. Diversamente, la logica del rischio resta una previsione astratta — un costo in più, non un alleggerimento.

Cosa serve perché il rischio diventi davvero un alleato delle PMI

Perché la valutazione del rischio funzioni come strumento di calibratura del peso regolatorio, e non come l’ennesimo adempimento formale, occorrono alcune condizioni che il Digital Omnibus, allo stato di proposta, lascia ancora aperte.

In primo luogo, alla valutazione del rischio deve corrispondere una reale fase di gestione: un esito di rischio ridotto deve poter giustificare un alleggerimento concreto degli obblighi, non soltanto documentare la conformità.

In secondo luogo, si richiede certezza nei parametri. Affidare alla PMI il compito di stimare il rischio significa chiederle una previsione: ma una previsione è affidabile solo se ancorata a criteri prevedibili e a una casistica consolidata. Dove la giurisprudenza e la prassi applicativa non sono chiare o ben catalogate — e in molti settori specialistici non lo sono — il rischio diventa una previsione astratta, e la PMI finisce per cautelarsi oltre il necessario, vanificando proprio quella semplificazione che si voleva ottenere.

Infine, la proporzionalità non deve tradursi in frammentazione. Liste uniche europee per le DPIA, metodologie e modelli comuni, un punto di accesso unico per le segnalazioni: sono questi gli strumenti che possono ridurre il peso senza sacrificare la certezza giuridica, che per una piccola impresa vale quanto e più dello sgravio formale.

Blog

Un Punto di vista sulle dinamiche contrattuali che caratterizzano le società hi-tech italiane e straniere. Perché un progetto imprenditoriale ad alto potenziale nasce da una visione, ma si realizza solo attraverso accordi strategici equilibrati e lungimiranti.

Indica un intervallo di date:

Il rischio come alleato delle PMI nel Digital Omnibus

Archivio post

Post Recenti

Il rischio come alleato delle PMI nel Digital Omnibus

Contrattualistica Automatizzata per le PMI. Tra Apply AI Strategy e Tutela delle Parti Contrattuali.

I rischi per la privacy e sicurezza dei kit di test genetici a domicilio.

Segui anche su

Facebook
Relazioni-ad-Alto-Potenziale-337030736958574

RSS
Segui

I Nostri Blog

24zampe

Consigli24

Relazioni ad Alto Potenziale