Cosa ha effettivamente proposto la Commissione
Il 19 novembre 2025 la Commissione europea ha pubblicato il Digital Omnibus, un pacchetto che modificherebbe il GDPR insieme alle norme ePrivacy, al Data Act e ad altre disposizioni del diritto digitale. È il primo tentativo sostanziale di rivedere il GDPR da quando il regolamento è entrato in vigore nel maggio 2018. L'obiettivo dichiarato è la semplificazione: meno obblighi amministrativi per i trattamenti a minor rischio, definizioni più chiare e un punto unico per la segnalazione degli incidenti attraverso più strumenti dell'UE.
Diverse modifiche contano per un'impresa a conduzione imprenditoriale. L'obbligo di nominare un responsabile della protezione dei dati verrebbe ristretto, cosicché meno aziende sarebbero tenute a designarlo. La definizione di dato personale verrebbe chiarita, con particolare attenzione ai dati pseudonimizzati, di modo che un'informazione potrebbe non considerarsi personale per un'azienda che non disponga di mezzi ragionevoli per identificare la persona che vi sta dietro. L'esenzione dalla tenuta del registro dei trattamenti salirebbe verso organici più numerosi, e la notifica delle violazioni passerebbe da una finestra di 72 a una di 96 ore, applicandosi solo quando il rischio per le persone è elevato.
Perché questa è una proposta e non la legge
Niente di tutto ciò è in vigore. Il Digital Omnibus è un progetto di regolamento entrato nella procedura legislativa ordinaria dell'UE, il che significa che deve essere negoziato e concordato dal Parlamento europeo e dal Consiglio dell'Unione europea prima di poter essere adottato. I testi che entrano in questa procedura vengono regolarmente modificati, e parti di questo sono già in corso di rielaborazione. Secondo i tempi attuali, l'adozione definitiva è attesa non prima della fine del 2026 o del 2027, e ogni nuovo obbligo avrebbe poi le proprie date di transizione.
La riforma è inoltre contestata dalle istituzioni che vigilano sulla protezione dei dati. In un parere congiunto dell'11 febbraio 2026, il Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati hanno accolto con favore una parte della semplificazione, compreso il regime più leggero di notifica delle violazioni, opponendosi però con fermezza alla definizione più ristretta di dato personale e al potere che essa conferirebbe alla Commissione di stabilire mediante atto di esecuzione cosa si consideri dato personale dopo la pseudonimizzazione. Tale disaccordo è un segnale chiaro che la formulazione finale non è ancora definita.
Cosa dovrebbe fare ora un imprenditore
L'errore è facile da commettere in entrambe le direzioni. Il primo è ignorare del tutto la riforma e farsi cogliere impreparati quando gli obblighi cambieranno davvero. Il secondo, più costoso, è iniziare ora a smantellare il proprio assetto di protezione dei dati sulla base di una proposta: dismettere un responsabile della protezione dei dati, cancellare registri o allentare le procedure di notifica delle violazioni, mentre il GDPR vigente resta pienamente in vigore e pienamente azionabile. Fino all'adozione, le regole odierne si applicano per intero, e le autorità di controllo possono ancora intervenire su di esse.
La risposta misurata è seguire il dossier e pianificare in base a esso, non agire sulla sua base. Annotate quali dei vostri obblighi attuali si alleggerirebbero se la proposta venisse approvata pressappoco nella sua forma odierna, e dove la modifica ridurrebbe davvero costi o rischi reali per la vostra impresa. Mantenete intatta la vostra attuale conformità, osservate le fasi in Parlamento e Consiglio nonché i pareri delle autorità di controllo, e siate pronti a muovervi rapidamente non appena saranno noti un testo definitivo e le sue date di transizione. Una prontezza disciplinata costa poco. Uno smantellamento prematuro vi espone per un beneficio che ancora non esiste.
Da leggere ora: La sanzione sulla carta non è definitiva · La tua spesa per l'AI non ha più un tetto