Il Digital Omnibus è il pacchetto di riforme con cui la Commissione europea propone di alleggerire gli obblighi del GDPR, dell’AI Act e del Data Act per le PMI e le microimprese. Per gli studi che assistono clienti nella compliance digitale, significa rivedere le consulenze già erogate e monitorare quali esenzioni diventeranno operative. Fino all’entrata in vigore delle modifiche, il quadro normativo vigente resta pienamente applicabile senza deroghe transitorie automatiche.
Punti chiave
- Punto 1 — Il Digital Omnibus propone esenzioni GDPR per microimprese sotto 250 dipendenti su specifici obblighi documentali.
- Punto 2 — L’AI Act potrebbe subire rinvii applicativi per le PMI, ma nessuna modifica è ancora in vigore.
- Punto 3 — I clienti già adeguati al GDPR non devono smettere di applicarlo: le riforme sono proposte, non legge.
Se il tuo studio assiste imprese nella compliance digitale, hai un motivo concreto per monitorare il Digital Omnibus: alcune consulenze già erogate — dalla redazione del registro dei trattamenti al gap analysis sull’AI Act — potrebbero richiedere aggiornamenti non appena le proposte diventeranno operative. Il rischio opposto è altrettanto reale: anticipare esenzioni non ancora vigenti esponendo il cliente a sanzioni.
La Commissione europea ha presentato il Digital Omnibus, un pacchetto di riforme che interviene su GDPR, AI Act, Data Act e Data Governance Act con l’obiettivo dichiarato di ridurre gli oneri amministrativi per le imprese, in particolare le PMI. I dettagli tecnici sono disponibili direttamente su Agenda Digitale.
Il contesto normativo
Il GDPR (Reg. UE 2016/679) prevede all’art. 30 l’obbligo del registro dei trattamenti per le organizzazioni con almeno 250 dipendenti, ma già oggi estende l’obbligo a chiunque tratti dati su larga scala o dati particolari ex art. 9. Il Digital Omnibus punta a ridurre ulteriormente la platea degli obbligati, introducendo soglie più alte e semplificazioni documentali per le microimprese. L’AI Act (Reg. UE 2024/1689), entrato in vigore il 1° agosto 2024 con applicazione progressiva dal 2025 al 2027, è nel mirino per possibili rinvii sui sistemi a rischio limitato. Sul fronte sanzionatorio, resta ferma la giurisprudenza del Garante italiano e della Corte di Giustizia UE, che in cause come C-300/21 (UI c. Österreichische Post) ha confermato la necessità di un danno concreto per il risarcimento ex art. 82 GDPR.
Cosa cambia per lo studio
- Revisione delle consulenze GDPR per clienti PMI: se il Omnibus solleva le microimprese (sotto 10 dipendenti e 2 milioni di fatturato) da alcuni obblighi documentali, le lettere di incarico e i pacchetti di compliance vanno ripensati nei contenuti e nei prezzi.
- Monitoraggio dell’iter legislativo dell’AI Act: i rinvii proposti riguardano i sistemi a rischio limitato, ma non toccano i sistemi ad alto rischio ex Allegato III del Reg. 2024/1689. Distinguere le due categorie nei contratti con i clienti tech è già oggi necessario.
- Aggiornamento dei contratti di trattamento dati (art. 28 GDPR): se cambiano gli obblighi sostanziali, cambiano anche le clausole standard da inserire nei DPA. Predisponi una versione aggiornata da rilasciare non appena il testo sarà definitivo.
- Nessuna sospensione degli adempimenti in corso: fino all’entrata in vigore delle modifiche, il GDPR vigente si applica integralmente. Comunicare ai clienti che possono “aspettare” prima di adeguarsi è un consiglio sbagliato e potenzialmente fonte di responsabilità professionale.
- Data Act e interoperabilità: le modifiche al Reg. UE 2023/2854 potrebbero incidere sui contratti di condivisione dati B2B già stipulati. Inserisci una clausola di adeguamento automatico nei nuovi contratti.
Attenzione a
Il rischio principale è l’effetto annuncio: alcuni clienti, letta la notizia sui media generalisti, potrebbero decidere unilateralmente di sospendere gli adempimenti GDPR o AI Act in attesa delle riforme. Lo studio che non li corregge tempestivamente condivide la responsabilità delle violazioni che ne derivano. Chiarisci per iscritto, anche con una semplice e-mail, che le proposte della Commissione non hanno ancora forza di legge.
Secondo profilo di rischio: la over-compliance non sarà necessariamente premiata. Se le esenzioni per le PMI diventano operative, uno studio che ha fatto adottare al cliente misure più stringenti del necessario potrebbe dover gestire richieste di rimborso o contestazioni sull’entità degli onorari. Documenta sempre le scelte fatte in base al quadro normativo vigente al momento dell’incarico.
Domande frequenti
Il Digital Omnibus modifica già ora gli obblighi GDPR per le PMI?
No. Il Digital Omnibus è una proposta della Commissione europea e non è ancora in vigore. Il GDPR (Reg. UE 2016/679) si applica integralmente nella sua versione attuale. Le esenzioni per le microimprese diventano operative solo dopo l’approvazione definitiva del pacchetto e la sua pubblicazione in Gazzetta Ufficiale UE.
Le modifiche all’AI Act previste dal Digital Omnibus rinviano anche gli obblighi per i sistemi ad alto rischio?
I rinvii ipotizzati nel pacchetto riguardano principalmente i sistemi a rischio limitato. I sistemi ad alto rischio elencati nell’Allegato III del Reg. UE 2024/1689 restano soggetti alla timeline originale. Prima di consigliare al cliente di attendere, verifica in quale categoria ricade il sistema impiegato.
Come gestire i contratti di trattamento dati già firmati se cambia il GDPR con il Digital Omnibus?
Inserisci nei nuovi DPA una clausola di adeguamento automatico che obblighi le parti ad aggiornare il contratto entro 30-60 giorni dall’entrata in vigore di modifiche normative rilevanti. Per i contratti già in essere, valuta un’addendum ora, prima che le modifiche siano definitive, per evitare rinegoziazioni urgenti in futuro.
Fonte di riferimento: AgendaDigitale