Retroscena
Che cos'è il Digital Networks Act?
di Florian Bodoky
Digital Omnibus: l'UE vuole riorganizzare le leggi sul digitale
12.11.2025
Traduzione: Leandra Amato
La Commissione europea intende unificare il proprio quadro normativo digitale: con il «Digital Omnibus»», il Data Act, il GDPR e l'AI Act verranno armonizzati e in parte profondamente modificati.
La Commissione europea vuole riorganizzare il diritto digitale europeo in un cosiddetto «Digital Omnibus». Le normative interessate sono principalmente il Data Act, l'AI Act e il Regolamento generale sulla protezione dei dati (GDPR). Henna Virkkunen, vicepresidente della Commissione europea, intende presentare il progetto il 19 novembre. Quattro aree sono al centro dell'attenzione: la protezione dei dati, il loro utilizzo, la sicurezza informatica e l'AI Act. La bozza può già essere consultata, ad esempio, sul portale agendadigitale.eu.
L'importante in breve
In futuro, la legge sui dati assumerà un ruolo ancora più centrale. Altre tre serie di regolamenti diventeranno parte della legge sui dati e non saranno più indipendenti: la direttiva su Open Data, il regolamento «sulla libera circolazione di dati non personali» e il Data Governance Act. In questo modo si vuole evitare che alcune cose siano regolamentate due volte o addirittura entrino in conflitto. Allo stesso tempo, la Commissione vuole modificare il regolamento sui cookie, che rimarrebbe parte del GDPR; la vecchia direttiva sulla privacy online è destinata a scomparire. Inoltre, la conservazione dei dati deve essere regolamentata separatamente, in particolare nel Digital Networks Act (DNA).
Cosa cambia nel GDPR
Il progetto interviene in modo mirato nella legge sulla protezione dei dati. In primo luogo, il «legittimo interesse» deve essere riorganizzato – ad esempio anche per quanto riguarda l'addestramento di sistemi di intelligenza artificiale con dati personali. Se oggi è spesso richiesto il tuo consenso, in futuro potrebbe essere sufficiente una contropartita a favore delle società. Ad esempio: l'azienda XYZ è interessata ad addestrare l'IA per migliorare il servizio clienti con i tuoi dati. Tuttavia, poiché si tratta di dati anonimi o pseudonimi, gli interessi dell'azienda (servizio, efficienza) prevalgono sull'interesse dell'utente a proteggere la propria privacy. Anche se il corrispettivo deve essere comprensibile e giustificato, può essere semplicemente stabilito dall'azienda e in genere non si può rifiutare il consenso.
La Commissione vuole eliminare l'obbligo di opt-in per i cookie non essenziali. In futuro, tutti i principi del GDPR saranno sufficienti come base per la memorizzazione e la lettura di tali cookie; le obiezioni dovranno quindi essere formulate mediante l'opt-out. Ciò significa che dovrai opporti attivamente ai cookie volontari, mentre i fornitori non dovranno chiedere prima il tuo consenso in modo proattivo. Allo stesso tempo, la tecnologia per i «segnali di preferenza leggibili dalla macchina» (cioè gli strumenti antitracciamento) diventerà obbligatoria: i browser o i sistemi operativi inviano la tua decisione in merito al tracciamento, i siti web devono tenerne conto automaticamente. I fornitori di media (ad esempio i portali online dei giornali) dovrebbero rimanere esenti da questa disposizione per non mettere a rischio i loro contenuti finanziati dalla pubblicità.
Fonte: nordicevs.no
Articolo 9 GDPR: in futuro, solo le informazioni che «rivelano direttamente» caratteristiche sensibili – come salute, opinioni politiche o orientamento sessuale – saranno «particolarmente degne di protezione». Le sensibilità derivate o accessibili solo tramite «processi intellettuali complessi» rientrano nelle norme generali del GDPR. Solo i dati genetici e biometrici restano esenti e continuano a essere rigorosamente protetti.
Esempio: se finora ti sono piaciuti spesso i post su Insta di un partito, l'algoritmo riconosce una maggiore probabilità che tu sia incline alla politica. Tuttavia, finora queste informazioni sono state protette in modo particolare. Con il nuovo regolamento, le informazioni rientrano nelle normali regole del GDPR, in quanto non si dichiara esplicitamente la propria opinione politica.
AI centralizzata, PMI alleggerite?
Secondo la bozza, la Commissione sta pianificando «semplificazioni mirate» per la regolamentazione dell'IA. L'AI Office era precedentemente responsabile della regolamentazione e del monitoraggio dell'IA nell'ambito dell'AI Act. Si tratta ora di assumere responsabilità centralizzate, particolarmente rilevanti per le piattaforme online e i motori di ricerca molto grandi (VLOP), che hanno più di 45 milioni di utenti nell'UE secondo criteri DSA. Allo stesso tempo, sono previste semplificazioni per le aziende e interfacce più chiare con la legge sulla protezione dei dati. Ci saranno anche regole speciali per le PMI per quanto riguarda la documentazione e il monitoraggio.
Che cosa significa? Si evitano sovrapposizioni tra l'AI Act e il GDPR e diventa chiaro quando si applica quale regolamento. Dovrebbe anche essere più chiaro quale sia l'autorità responsabile. Le norme speciali per le PMI significano che esse hanno meno obblighi rispetto alle grandi imprese, in quanto non possono adempierli in modo altrettanto efficiente sul piano amministrativo.
Esempio: una piccola start-up sviluppa un software basato sull'intelligenza artificiale per aiutare a trovare la persona giusta per le domande di lavoro. Ma questo è un sistema di intelligenza artificiale ad alto rischio. Con il nuovo regolamento, la valutazione del rischio da parte della start-up deve essere standardizzata, l'obbligo di documentazione è tecnicamente meno dettagliato, ecc.
Chi spinge, chi frena e perché
La forza trainante è la Commissione europea. Un altro sostenitore è il governo tedesco. Secondo quanto riportato, la Germania è l'unico Stato membro attivamente a favore delle modifiche al GDPR. In termini economici, la Commissione sostiene la necessità di ridurre la burocrazia, i costi e aumentare la competitività.
Dall'altra parte ci sono le organizzazioni per la protezione dei dati e gli individui. Ad esempio, Noyb o Max Schrems avvertono di un attacco alla privacy: standard di consenso più deboli per i cookie, una definizione ampia di «legittimo interesse» per l'addestramento dell'IA e una definizione più ristretta di dati sensibili potrebbero dare alle aziende di IA «carta bianca» per raccogliere dati.
Cosa comporterebbe?
- Data Act: quattro atti si fondono nel Data Act rivisto; meno sovrapposizioni, più standardizzazione.
- Cookie: l'opt-in è sostituito da un sistema che consente tutte le basi giuridiche del GDPR; opt-out per gli utenti, conformità obbligatoria con i «segnali di preferenza automatici»; eccezioni per i fornitori di media.
- Addestramento IA: possibile trattamento dei dati personali sulla base del «legittimo interesse»; si intensifica il dibattito su limiti e controlli
- Dati sensibili: articolo 9 più ristretto; dati genetici/biometrici ancora protetti in modo speciale.
- Supervisione dell'IA: competenze maggiormente raggruppate presso l'AI Office; facilitazione delle PMI.
- Sistemi di segnalazione degli incidenti informatici: le strutture di segnalazione devono essere semplificate; i dettagli seguiranno con la bozza.
Henna Virkkunen presenterà il progetto della Commissione il 19 novembre 2025. Dopodiché inizierà la regolare procedura legislativa in seno al Consiglio e al Parlamento dell'UE.
Immagine di copertina: Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.
Sicurezza
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
Retroscena
Curiosità dal mondo dei prodotti, uno sguardo dietro le quinte dei produttori e ritratti di persone interessanti.
Visualizza tuttiPotrebbero interessarti anche questi articoli
21 commenti
later