GDPR Omnibus PMI: le 5 semplificazioni in arrivo nel 2026

Il GDPR Omnibus PMI è il tema più rilevante del 2026 per chi gestisce una piccola impresa in Italia. Il 19 novembre 2025 la Commissione Europea ha presentato il Digital Omnibus Package (COM 2025/837), un pacchetto legislativo che modifica il GDPR su cinque punti che toccano direttamente la vita operativa delle PMI: registro dei trattamenti, notifica dei data breach, base giuridica per l’AI, semplificazione delle DPIA e coordinamento con la direttiva ePrivacy sui cookie.

Non si tratta di un GDPR nuovo. Il GDPR Omnibus PMI non rivoluziona la struttura: i principi fondamentali restano. Ma le modifiche proposte, se approvate nella forma attuale, cambieranno concretamente il modo in cui una PMI gestisce la compliance privacy — soprattutto se usa strumenti di intelligenza artificiale.

Dove siamo oggi: il percorso legislativo

Il Digital Omnibus è in procedura legislativa ordinaria. La Commissione ha presentato la proposta il 19 novembre 2025. Il Consiglio ha adottato la propria posizione negoziale il 13 marzo 2026. Il Parlamento europeo ha votato la sua posizione il 26 marzo 2026 (lo stesso voto che ha approvato le modifiche all’AI Act con il rinvio delle scadenze). Ora inizia il trilogo — il negoziato a tre tra Parlamento, Consiglio e Commissione per arrivare a un testo condiviso.

Le tempistiche realistiche: approvazione nel terzo trimestre 2026, pubblicazione in Gazzetta Ufficiale verso fine 2026, entrata in vigore nei primi mesi del 2027. Alcune disposizioni avranno periodi transitori ulteriori. In pratica: nulla cambia prima del 2027. Per le scadenze AI Act già in vigore per le PMI, consulta la guida dedicata.

Le 5 semplificazioni GDPR Omnibus PMI: cosa cambia

1. Registro dei trattamenti: possibile esenzione per le PMI

Oggi l’art. 30 del GDPR obbliga praticamente tutte le imprese a tenere un registro dei trattamenti. L’esenzione per le aziende sotto i 250 dipendenti è teorica: scatta solo se il trattamento è “occasionale” e non riguarda dati sensibili — condizioni che quasi nessuna PMI rispetta, perché chiunque gestisca clienti o dipendenti tratta dati in modo non occasionale. Per una panoramica su gli articoli del GDPR che contano davvero, vedi la guida dedicata.

Il Digital Omnibus propone di cambiare la soglia. Ma le tre istituzioni non sono d’accordo sui dettagli. La Commissione ha proposto l’esenzione per le imprese sotto i 750 dipendenti, salvo trattamenti ad alto rischio. Il Parlamento europeo ha proposto una soglia a 1000 dipendenti, ma mantenendo l’obbligo per le attività “core” che richiedono la nomina del DPO (il responsabile della protezione dei dati). Il Consiglio ha proposto anch’esso 1000 dipendenti, con obbligo di registro solo se il trattamento presenta un rischio elevato.

Per una PMI italiana: se la proposta viene approvata in una di queste forme, è probabile che l’obbligo di registro sparisca per la maggior parte delle piccole imprese con attività standard. Ma attenzione: chi fa profilazione, tratta dati sanitari o usa AI per decisioni automatizzate resterà soggetto all’obbligo. Per capire se la tua PMI rientra nelle eccezioni, vedi la guida DPIA per strumenti AI — i criteri di “alto rischio” sono gli stessi.

2. Legittimo interesse come base giuridica per l’AI

Questa è la modifica più discussa. La proposta crea una nuova disposizione nel GDPR che riconosce esplicitamente lo sviluppo e l’operatività dei sistemi AI come legittimo interesse del titolare del trattamento. In pratica, addestrare un modello AI con dati personali pubblicamente disponibili potrebbe diventare lecito sulla base del legittimo interesse, senza necessità di consenso esplicito.

Le salvaguardie previste: il diritto di opposizione dell’interessato (art. 21 GDPR) resta garantito, il trattamento deve rispettare minimizzazione e trasparenza, e per i dati sensibili servono condizioni aggiuntive. Il passaggio chiave per le PMI: se usi un tool AI che è stato addestrato su dati pubblici, la base giuridica del provider potrebbe diventare più solida. Ma i tuoi obblighi come utilizzatore — informativa, registro, DPA con il fornitore — non cambiano.

Un punto di cautela: il Garante ha già dimostrato che il legittimo interesse non regge quando il trattamento produce conseguenze imprevedibili per l’interessato. Il caso Isybank (sanzione da 17,6 milioni, marzo 2026) lo conferma. La nuova disposizione non è un via libera universale.

3. Notifica data breach: da 72 a 96 ore

L’art. 33 del GDPR prevede che il titolare notifichi una violazione dei dati personali all’autorità di controllo entro 72 ore. La proposta del Digital Omnibus estende il termine a 96 ore e alza la soglia: la notifica scatterà solo quando la violazione “è probabile che comporti un rischio elevato” per i diritti degli interessati, non più un rischio generico.

Per le PMI l’impatto è duplice. Da un lato, 24 ore in più per valutare l’incidente — un margine significativo per chi non ha un team IT dedicato. Dall’altro, la soglia più alta significa che non ogni piccola violazione richiederà la notifica formale. Ma attenzione: la violazione va comunque documentata internamente, anche se non notificata al Garante. Il principio di accountability non cambia.

4. DPIA: verso una standardizzazione

La proposta punta a rendere le DPIA (valutazioni d’impatto) più uniformi in tutta l’UE, con liste comuni e metodologie standardizzate. Per le PMI che usano tool AI, questo potrebbe tradursi in template precompilati e criteri più chiari su quando la DPIA è effettivamente necessaria.

Non è una semplificazione del contenuto — la DPIA resta un obbligo serio quando il trattamento presenta rischi elevati — ma del processo. Per chi oggi non sa se deve fare una DPIA o no, gli strumenti futuri dovrebbero rendere la risposta più immediata.

5. Cookie e ePrivacy: verso un regime unico

L’Omnibus propone di far confluire nel GDPR una parte della disciplina sull’accesso ai dati tramite dispositivi terminali (oggi regolata dalla direttiva ePrivacy). L’obiettivo è eliminare la sovrapposizione tra i due regimi che ha generato anni di “consent fatigue” — i banner cookie che nessuno legge e che nessuno sa gestire correttamente.

Tra le novità discusse: esenzione dal consenso per i cookie analitici di prima parte (quelli che misurano il traffico sul tuo sito senza condividere dati con terzi) e la possibilità di gestire le preferenze di consenso a livello di browser anziché sito per sito. Per una PMI con un sito web, questo potrebbe significare meno banner e più semplicità — ma il testo finale è ancora in discussione.

Tre scenari per PMI italiane

Scenario 1: Studio di consulenza con 15 dipendenti

Lo studio usa un CRM per gestire i clienti, email marketing per le newsletter e ChatGPT con piano business per redigere bozze di documenti. Oggi deve tenere il registro dei trattamenti, documentare il DPA con OpenAI e verificare i trasferimenti extra-UE — tutti obblighi per chi usa ChatGPT in azienda. Con il GDPR Omnibus, se il trattamento non è ad alto rischio, potrebbe essere esentato dal registro. Ma il DPA con il fornitore AI e l’informativa privacy restano obbligatori.

Scenario 2: E-commerce con 50 dipendenti e profilazione clienti

L’e-commerce segmenta i clienti per comportamento d’acquisto e usa un sistema di raccomandazioni automatiche. Questa è profilazione, quindi anche con il GDPR Omnibus l’obbligo di registro resta, così come la DPIA. La semplificazione per questo tipo di azienda riguarderà più la standardizzazione dei template DPIA e la chiarezza sui cookie analitici, non un’esenzione dagli obblighi sostanziali.

Scenario 3: Freelance con sito web e newsletter

Un freelance che gestisce un sito con form di contatto, newsletter e cookie analitici di Google Analytics potrebbe beneficiare di tre semplificazioni contemporaneamente: esenzione dal registro, esenzione dal consenso per gli analytics di prima parte e soglia più alta per la notifica breach. Ma l’informativa privacy sul sito resta obbligatoria e il consenso per il marketing diretto non cambia.

Cosa fare adesso per il GDPR Omnibus PMI (e cosa non fare)

Non aspettare la riforma per adeguarti. Il GDPR vigente si applica integralmente. Se non hai ancora un registro dei trattamenti, un’informativa aggiornata o un DPA con i fornitori AI, questi restano obblighi attuali. La pagina Guida GDPR & AI contiene la checklist completa.

Non smantellare quello che hai già costruito. Se hai un registro dei trattamenti funzionante, tienilo. Anche se l’obbligo venisse eliminato, la documentazione interna resta una buona pratica di gestione e dimostra accountability in caso di ispezione.

Segui l’evoluzione del trilogo. Il testo finale potrebbe essere molto diverso dalle proposte iniziali. Le posizioni di Parlamento e Consiglio divergono su punti chiave (soglie per il registro, portata del legittimo interesse per l’AI). Il nostro articolo sarà aggiornato a ogni passaggio rilevante.

Prepara il terreno. Se usi tool AI in azienda, verifica che il tuo setup sia solido: DPA firmato con i provider (vedi le clausole da verificare nei contratti AI), informativa che menziona l’uso di AI, mappatura degli strumenti aggiornata. Quando le semplificazioni arriveranno, sarai nella posizione di beneficiarne immediatamente anziché dover prima recuperare il ritardo.

Approfondisci

Questo articolo non costituisce consulenza legale. Sarà aggiornato a ogni passaggio rilevante del percorso legislativo.