Il Digital Omnibus ridisegna la gerarchia delle fonti digitali europee: GDPR, ePrivacy, NIS 2 e AI Act convergono in un unico framework interpretativo gestito a livello sovranazionale. Per gli studi legali italiani significa che le autorità nazionali — Garante Privacy in testa — perdono progressivamente margine di manovra autonomo. Chi assiste clienti su compliance digitale deve aggiornare subito le proprie checklist, perché i riferimenti normativi domestici non bastano più.
Punti chiave
- Punto 1 — Il GDPR diventa asse portante che assorbe ePrivacy, NIS 2 e AI Act in un sistema unitario.
- Punto 2 — Le autorità nazionali come il Garante Privacy perdono spazio interpretativo autonomo.
- Punto 3 — La compliance digitale dei clienti va rivalutata con riferimenti diretti alle istituzioni UE.
Se assisti aziende su protezione dei dati, cybersicurezza o intelligenza artificiale, il tuo schema di consulenza cambia adesso, non quando il Digital Omnibus sarà recepito. La concentrazione del potere interpretativo a Bruxelles riduce la rilevanza dei provvedimenti del Garante Privacy italiano e delle linee guida nazionali, che restano valide ma diventano di secondo livello rispetto all’indirizzo sovranazionale.
Il Digital Omnibus è il pacchetto normativo europeo che riorganizza l’intera architettura del diritto digitale UE, ponendo il GDPR al centro di un sistema che ingloba ePrivacy, sicurezza informatica e AI Act. Lo ricostruisce con precisione Agenda Digitale, evidenziando come la «semplificazione» sia in realtà una tecnica di accentramento del potere interpretativo a livello sovranazionale.
Il contesto normativo
Il Regolamento (UE) 2016/679 — GDPR — è già direttamente applicabile in tutti gli Stati membri ai sensi dell’art. 288 TFUE, senza necessità di recepimento. Il d.lgs. 196/2003 (Codice Privacy), come novellato dal d.lgs. 101/2018, opera in coordinamento con il GDPR ma su uno spazio residuale che il Digital Omnibus restringe ulteriormente. Sul versante sicurezza informatica, la Direttiva NIS 2 (UE 2022/2555) — recepita in Italia con d.lgs. 138/2024 — introduce obblighi di notifica e misure minime di sicurezza per i soggetti essenziali e importanti, ora destinati a integrarsi con il framework unitario del Digital Omnibus. L’AI Act (Reg. UE 2024/1689), applicabile a scaglioni dal 2025 al 2027, porta ulteriori obblighi di conformità che nel nuovo schema rispondono alla stessa logica interpretativa del GDPR.
Cosa cambia per lo studio
- Le opinioni e le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) diventano il riferimento primario: vale più una loro presa di posizione che un provvedimento del Garante italiano su una questione analoga.
- La consulenza su trattamento dati, cybersicurezza e sistemi di AI non può più essere gestita a compartimenti stagni: il Digital Omnibus impone una lettura trasversale di GDPR, NIS 2 e AI Act per lo stesso cliente.
- I contratti di data processing agreement (DPA) ex art. 28 GDPR e quelli relativi a sistemi AI ad alto rischio ex art. 26 AI Act devono essere coordinati: clausole contraddittorie tra i due regimi espongono il cliente a contestazioni da due autorità diverse.
- Chi segue PMI deve avvisarle che le soglie di esenzione semplificate previste da alcuni ordinamenti nazionali rischiano di essere travolte dall’uniformazione sovranazionale: meglio adeguarsi agli standard pieni ora.
- Tieni monitorato il registro dei procedimenti dell’EDPB: le decisioni vincolanti emesse ai sensi dell’art. 65 GDPR nel nuovo contesto avranno effetti diretti sui clienti italiani senza filtro nazionale.
Attenzione a
Il primo rischio è aggiornarsi solo sulle norme italiane di recepimento ignorando i regolamenti UE direttamente applicabili. Nel nuovo assetto, un’azienda che rispetta alla lettera il d.lgs. 138/2024 sulla NIS 2 ma ignora le specifiche tecniche adottate dall’ENISA o le indicazioni dell’EDPB può comunque essere sanzionata: la conformità nazionale non equivale alla conformità europea.
Il secondo rischio riguarda i pareri scritti allo studio: se citi solo fonti nazionali su una questione che il Digital Omnibus riconduce alla competenza esclusiva UE, il parere è incompleto e potenzialmente fuorviante. Aggiorna i tuoi template di opinion legale includendo il riferimento sistematico alle fonti EDPB e alle decisioni della Corte di Giustizia UE, in particolare dopo la sentenza Schrems II (CGUE, C-311/18) che ha già dimostrato come un provvedimento UE possa invalidare interi sistemi di compliance costruiti a livello nazionale.
Domande frequenti
Il Digital Omnibus è già in vigore in Italia?
Il Digital Omnibus è ancora in fase di definizione a livello europeo. Tuttavia, i regolamenti che lo compongono — GDPR, AI Act e NIS 2 — sono già applicabili o in progressiva applicazione. Il GDPR è pienamente vigente dal 2018; l’AI Act dal 2024 con scaglioni attuativi fino al 2027; la NIS 2 è stata recepita in Italia con d.lgs. 138/2024.
Con il Digital Omnibus il Garante Privacy italiano perde poteri?
Non li perde formalmente, ma li esercita in uno spazio sempre più ristretto. Le decisioni dell’EDPB ex art. 65 GDPR sono vincolanti per tutte le autorità nazionali. Il Digital Omnibus accentua questa tendenza, riducendo il margine per interpretazioni domestiche divergenti rispetto all’indirizzo europeo.
Come coordinare GDPR e AI Act nei contratti con i clienti?
I sistemi di AI che trattano dati personali attivano sia il GDPR sia l’AI Act. Nei contratti, il DPA ex art. 28 GDPR deve essere allineato con le clausole sull’uso di sistemi AI ad alto rischio ex art. 26 AI Act. Clausole contrastanti tra i due testi espongono il cliente a contestazioni parallele da autorità distinte. Meglio un documento unico o appendici coordinate.
Fonte di riferimento: AgendaDigitale