Digital Omnibus 2025: arrivano le prime modifiche ufficiali al GDPR. Cosa cambia per aziende, professionisti e PA

1. Dato personale: definizione più chiara e minori obblighi per le PMI

Una delle novità più importanti riguarda la definizione di dato personale.
Il Digital Omnibus chiarisce che il GDPR non si applica quando l’organizzazione non ha mezzi ragionevoli per identificare la persona.
Questo riduce il perimetro dei trattamenti soggetti a tutela, semplificando la gestione dei dati tecnici, statistici o pseudonimizzati. 

2. Cookie e tracciamenti: meno banner, più automatismi e regole dentro il GDPR

La disciplina dei cookie viene spostata dalla Direttiva ePrivacy direttamente nel GDPR.
Questo comporta:

• riduzione dei cookie banner obbligatori

• più casi in cui non serve il consenso

• introduzione dei browser consent signals: preferenze automatiche, da parte del browser, che i siti dovranno rispettare

• regole unificate per accesso e memorizzazione di informazioni nei dispositivi

È uno dei cambiamenti più rilevanti per siti web, e-commerce, media online e piattaforme pubblicitarie.

3. Data breach: notifica solo in caso di alto rischio e entro 96 ore

La notifica dei data breach viene semplificata:

• non serve più segnalare tutti gli incidenti

• l’obbligo scatta solo in caso di alto rischio

• la tempistica passa da 72 a 96 ore

Inoltre nasce il single-entry point europeo per tutti i principali regimi di incident reporting (GDPR, NIS2, DORA, eIDAS).

4. Nuove regole sul trattamento dati per l’Intelligenza Artificiale

Per facilitare lo sviluppo di modelli AI, viene introdotta un’esenzione specifica che consente il cosiddetto residual processing di dati sensibili, a condizione che:

• siano adottate barriere tecniche

• i dati sensibili siano rimossi appena individuati

• il trattamento sia strettamente necessario allo sviluppo del modello

È il primo passo concreto per armonizzare GDPR e AI Act. 

5. Diritti degli interessati: stop agli abusi e informative più leggere

Due semplificazioni importanti:

5.1 Informativa non sempre obbligatoria

Non va fornita quando il titolare ha motivi ragionevoli per ritenere che la persona la conosca già (tranne casi ad alto rischio o trasferimenti extra UE).

5.2 Richieste di accesso

Il titolare può rifiutare richieste manifestamente abusive o eccessive, introducendo anche la possibilità di applicare un costo ragionevole.

6. DPIA: arrivano le liste europee che sostituiranno le liste nazionali

Il Digital Omnibus prevede:

• una lista unica UE delle attività che richiedono DPIA

• una lista unica UE delle attività che non la richiedono

• un template europeo standard per redigere la valutazione

Una rivoluzione che elimina le differenze interpretative tra le varie Autorità nazionali.

Cosa significa per la tua azienda

Il nuovo assetto porta benefici concreti:

• meno burocrazia e meno duplicazioni

• processi più chiari e meno rischio di errore

• integrazione naturale con AI, IoT e cyber security

• riduzione dei costi di compliance

• maggiore sicurezza giuridica per progetti digitali e innovazione

Tuttavia, le organizzazioni dovranno aggiornare policy privacy, policy cookie, procedure di data breach, template di DPIA e documentazione interna.

Il supporto di DGP Servizi

DGP Servizi supporta aziende, studi professionali e PA nell’adeguamento rapido alle nuove disposizioni del Digital Omnibus 2025.
Offriamo:

• aggiornamento documentale GDPR

• revisione cookie e tracciamenti

• audit privacy e cyber

• formazione professionale

• supporto continuo alla compliance

Conclusione

Il Digital Omnibus rappresenta la più importante evoluzione del GDPR dopo la sua introduzione.
Non stravolge il sistema, ma lo rende più moderno, coerente e adatto a un contesto digitale dominato da IA, big data e cyber risk.