Digital Omnibus: ce se schimbă în GDPR și ce ar trebui să facă business‑urile acum.

 Pe 19 noiembrie 2025, Comisia Europeană a publicat pachetul legislativ „Digital Omnibus”, prima revizuire serioasă a cadrului juridic digital din UE de la intrarea în vigoare a GDPR și a AI Act.
Scopul oficial: simplificare, reducerea poverii administrative și sprijin pentru inovație și AI.

Digital Omnibus (Data Omnibus) – modifică:

  • GDPR,
  • Data Act,
  • Data Governance Act,
  • Regulamentul privind libera circulație a datelor nepersonale,
  • Open Data Directive.

Digital Omnibus on AI (AI Omnibus) – modifică AI Act, în special:

  • termenele pentru obligațiile de high‑risk AI,
  • unele obligații de documentare,
  • rolul AI Office și interacțiunea cu alte legi UE.

Acestea sunt parte dintr‑un „pachet digital” mai larg, care include:

  • Data Union Strategy,
  • o propunere de Regulament pentru European Business Wallets,
  • model clauses și standard contractual clauses pentru cloud și data sharing,
  • un Digital Fitness Check care va evalua întregul „digital rulebook” și poate deschide calea pentru alte modificări după 2026.

Important: nu este încă lege – urmează negocieri (Parlament, Consiliu, triloguri), care pot dura luni bune sau chiar ani.

3. GDPR & confidențialitate: 6 schimbări de urmărit
3.1. „Interesul legitim” pentru AI training devine explicit

Propunerea introduce în GDPR un recital care clarifică faptul că interesul legitim poate fi o bază legală pentru:

  • antrenarea de modele AI,
  • utilizări ulterioare ale AI,
  • inclusiv analiză de date la scară largă, dacă sunt respectate garanțiile existente (proporționalitate, minimizare, drepturi ale persoanei vizate etc).

În plus, se propune o excepție nouă în art. 9, care ar permite prelucrarea unor categorii speciale de date (ex. sănătate, date biometrice) pentru detectarea și corectarea bias‑ului în sisteme AI, sub condiții stricte și garanții adecvate.

Implicații practice:

  • cartografierea utilizărilor AI în organizație (unde antrenezi modele, ce date folosești, de unde provin, ce drepturi se aplică);
  • actualizarea LIA‑urilor (Legitimate Interest Assessments) pentru scenariile AI relevante;
  • definirea unor mecanisme clare de opt‑out și transparență față de persoanele vizate.

3.2. Redefinirea „datelor personale” (și mai mult spațiu pentru date nepersonale)

Digital Omnibus propune o clarificare a definiției datelor cu caracter personal, inspirată din jurisprudența CJEU (cazul SRB):

  • datele sunt personale pentru un operator doar dacă, în mod rezonabil, acesta ar putea identifica persoana, folosind mijloacele la care e probabil să aibă acces;
  • faptul că altcineva (un destinatar viitor, o altă autoritate) ar putea identifica persoana nu transformă automat datele în „personale” pentru tine.

Pentru business‑uri, asta ar putea însemna mai mult spațiu pentru:

  • dataset‑uri agregate sau pseudonimizate,
  • partajare de date B2B / cu autorități,
  • anumite scenarii de analytics în care nu ai, realist, cheia de re‑identificare.

Dar atenție:

  • riscul de „re‑identificare indirectă” rămâne;
  • DPAs vor avea, probabil, propriile orientări – iar excesul de optimism aici poate duce la investigații.

3.3. Cookie‑uri și semnale de confidențialitate – mai puține bannere, reguli noi

Pe zona de cookie‑uri și ePrivacy, Digital Omnibus propune:
European Digital Rights (EDRi)

  • excepții noi de la consimțământ, inclusiv pentru:
  • cookie‑uri/statistici de primă parte,
  • anumite utilizări pentru securitate;
  • obligația ca operatorii să respecte preferințe exprimate printr‑un semnal automat (ex. din browser sau sistem de operare) – un fel de „privacy signal” european;
  • mutarea unei părți din regulile privind accesul la dispozitiv din ePrivacy în GDPR, cu excepții mai largi.

Promisiunea Comisiei: mai puține pop‑up‑uri și decizii cu un singur click, preferințe valabile 6 luni și mai mult control la nivel de browser.

Criticii (EDRi, NOYB) spun însă că:
European Digital Rights (EDRi)

  • excepțiile sunt prea largi și permit tracking fără consimțământ în mai multe scenarii;
  • mutarea accentului pe semnalele browserelor poate consolida puterea marilor platforme care controlează aceste interfețe;
  • riscul este ca protecțiile ePrivacy să fie „diluate”.

Ce înseamnă pentru tine:

  • o discuție serioasă cu departamentele de marketing/legal/IT despre strategie de cookie‑uri post‑Omnibus;
  • alegerea unui CMP/CMS (Consent Management Platform) capabil să gestioneze semnale automatizate (similar GPC);
  • revizuirea setărilor de analytics (mai ales cele de primă parte) pentru a profita de excepțiile permise, dar fără a pierde încrederea utilizatorilor.

3.4. Raportarea breșelor: de la 72 la 96 de ore și praguri mai clare

În GDPR, termenul actual de notificare către autoritatea de supraveghere este „fără întârzieri nejustificate și, dacă este posibil, nu mai târziu de 72 de ore”.

Digital Omnibus propune:

  • extinderea la 96 de ore,
  • stabilirea unui prag mai clar și mai ridicat pentru a defini când un incident trebuie notificat
  • Pentru echipele de securitate și protecția datelor: extinderea termenului oferă un interval suplimentar pentru analiză și triere, însă responsabilitatea de a menține un proces robust de răspuns la incidente și o documentare riguroasă rămâne neschimbată.

3.5. Portal unic pentru incidente și „one‑stop‑shop” extins

Pe zona de securitate cibernetică, Omnibus propune un „single entry point” la nivel UE pentru notificări de incidente, gestionat de ENISA. Ideea este ca un singur set de informații să poată acoperi cerințele din: GDPR, NIS2, DORA, CER, eIDAS etc.

Beneficii potențiale:

  • mai puțină muncă duplicată,
  • mai multă coerență în ce raportezi cui.

Provocări:

  • integrarea în procesele interne (cine notifică, cum agregi informațiile),
  • riscul ca un incident „banal” raportat generic să ajungă la mai multe autorități decât îți dorești.

3.6. DSAR‑uri și „abuzul de drepturi”

Digital Omnibus introduce o prevedere care permite operatorilor să refuze anumite cereri de acces (DSAR) atunci când acestea sunt evaluate ca reprezentând un „abuz de drept” în sensul GDPR.

De exemplu, pot fi considerate abuzive:

  • situațiile din litigii de muncă în care cererile de acces sunt utilizate exclusiv ca instrument de „fishing” probatoriu, fără legătură reală cu exercitarea drepturilor persoanei vizate;

  • transmiterea repetată a unor cereri identice, fără un scop legitim sau fără a exista elemente noi care să justifice solicitarea.

Totuși, noțiunea de „abuz de drept” nu este definită în mod exhaustiv, iar autoritățile de supraveghere vor avea în continuare rolul final în aprecierea caracterului abuziv al unei cereri.

Implicații:

  • e un instrument util, dar trebuie folosit cu atentie – deciziile de refuz ar trebui: documentate bine, revizuite juridic, susținute de o politică internă clară privind DSAR‑urile abuzive.

4. AI Act: mai mult timp, dar nu mai puțină responsabilitate

Pe partea de AI, Digital Omnibus:

  • amână aplicarea obligațiilor pentru sistemele AI high‑risk:
  • pentru multe sisteme din Anexa III, termenul se mută de la august 2026 la decembrie 2027,
  • pentru alte sisteme, până în august 2028;
  • extinde regimul simplificat pentru conformare și pentru companiile „small mid‑cap” (nu doar pentru IMM‑uri);
  • elimină obligația de AI literacy direct în textul AI Act (deși statele și Comisia sunt încurajate să o promoveze în continuare);
  • întărește rolul AI Office pentru modelele GPAI și pentru AI folosit în platforme foarte mari;
  • clarifică faptul că anumite prelucrări de date sensibile sunt permise pentru detectarea și corectarea bias‑ului în AI, sub garanții stricte.

În practică: nu e momentul să opresti proiectele de conformare AI, ci să folosești timpul câștigat pentru:

  •  documentarea proceselor,
  • evaluarea riscurilor AI,
  • coordonare între DPO, CISO și echipele tehnice.

5. De ce este pachetul atât de controversat

Narațiunea Comisiei Europene

Comisia prezintă pachetul „Digital Omnibus” ca pe o intervenție punctuală, nu ca pe o redeschidere a GDPR. Obiectivul declarat este de a ajusta cadrul existent în linie cu jurisprudența CJEU și recomandările EDPB, menținând standardele înalte de protecție a datelor, dar reducând complexitatea normativă și facilitând inovația, în special în zona AI.

Narațiunea criticilor (EDRi, NOYB, un segment al eurodeputaților)

Vocile critice susțin că propunerea marchează un regres semnificativ al protecțiilor digitale și că redeschide pilonii GDPR, ePrivacy și AI Act fără o fundamentare de impact solidă. În opinia lor, pachetul avantajează în principal marile companii tehnologice, în detrimentul IMM-urilor, și deplasează accentul de la drepturile fundamentale către considerente de competitivitate și influențe geopolitice.

Perspectiva industriei

Asociațiile din sectorul tehnologic și mediul de business apreciază pachetul ca pe un pas în direcția simplificării, dar îl consideră insuficient de ambițios, solicitând reforme mai profunde, inclusiv pe zona de aplicare neuniformă a GDPR între statele membre.

În realitate, poziționarea finală se va contura în perioada următoare, în negocierile dintre Parlament, Consiliu și Comisie.

6. Ce ar trebui făcut deja (chiar dacă textul nu este final)

Nu este momentul pentru rescrierea completă a politicilor interne, însă există măsuri strategice care pot fi pregătite din timp:

Monitorizează evoluțiile

  • urmărește versiunile actualizate ale propunerilor și reacțiile EDPB și ale autorităților naționale;
  • dacă activezi în mai multe state membre, monitorizează pozițiile fiecărei autorități de supraveghere.

Fă inventarul utilizărilor de AI

  • identifică zonele în care folosești date personale pentru training sau scoring AI;
  • revizuiește temeiurile legale existente și scenariile unde un interes legitim consolidat ar putea fi aplicabil;
  • asigură transparență și opțiuni reale de opt-out pentru persoanele vizate.

Construiește o strategie „post-banner” pentru cookie-uri

  • discută cu echipele de marketing și produs despre experiența utilizatorilor în scenariul în care browserul transmite un privacy signal;
  • verifică dacă furnizorii de analytics, adtech și CMP pot gestiona astfel de semnale;
  • planifică trecerea graduală către mai mult first-party data și mai puțin tracking intruziv.

Optimizează procedurile de incident response

  • aliniază fluxurile de raportare între GDPR, NIS2, DORA și alte reglementări aplicabile;
  • proiectează un proces adaptabil unui portal unic de notificare;
  • definește responsabilitățile și criteriile interne pentru pragul de raportare.

Actualizează guvernanța DSAR-urilor

  • definește criterii clare pentru identificarea cererilor potențial abuzive, fără a afecta exercitarea legitimă a drepturilor;
  • implementează un mecanism de verificare duală (DPO + juridic) înainte de refuzul unei cereri.

Revizuiește clasificarea datelor

  • realizează o mapare clară a datelor personale, nepersonale și a celor „la limită” (pseudonimizate, agregate);
  • documentează raționamentul pentru datele considerate nepersonale, în logica „mijloacelor rezonabil susceptibile de a fi utilizate pentru identificare”.

7. Concluzie

Digital Omnibus nu reprezintă doar un ajustaj marginal, ci o recalibrare importantă a arhitecturii digitale europene. Deși aflată încă în stadiu de propunere, direcția de evoluție este vizibilă:

  • flexibilitate mai mare pentru utilizarea datelor și AI;
  • simplificare procedurală prin reguli consolidate și mecanisme unice de raportare;
  • o dezbatere esențială despre limitele relaxării reglementărilor fără a compromite drepturile fundamentale.

Din perspectiva protecției datelor și securității, abordarea matură este să tratezi Digital Omnibus ca pe un semnal timpuriu: nu modifici totul acum, dar îți calibrezi procesele, arhitecturile de date și guvernanța astfel încât să poți integra rapid noile cerințe, indiferent de forma finală a textului.

Împărtășește-ți dragostea
A C
A C
Articole: 5

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *