La proposta di Digital Omnibus promette la semplificazione del GDPR. Il vostro programma di conformità è appena diventato più complicato.
Il 19.11.2025 la Commissione europea ha pubblicato le modifiche proposte al GDPR che riguardano le DPIA, le soglie di notifica delle violazioni, le esenzioni dal registro dei trattamenti e la stessa definizione di dato personale. La Commissione la definisce "semplificazione". Per i programmi di privacy multi-entità significa nuove soglie, framework di conformità paralleli durante la transizione e un mosaico di obblighi tra filiali di dimensioni diverse.
Priverion sta già monitorando ogni modifica proposta e preparando aggiornamenti di configurazione affinché il vostro programma di privacy si adatti senza ripartire da zero.
750
Nuova soglia di dipendenti proposta per le esenzioni dal registro dei trattamenti, in aumento da 250
Parere congiunto EDPB/EDPS, luglio 2025
96 ore
Termine proposto per la notifica delle violazioni, esteso dalle 72 ore
Proposta di regolamento Digital Omnibus, art. 33
A livello UE
Elenchi DPIA armonizzati che sostituiscono i requisiti nazionali frammentati
Modifiche proposte all'art. 35 GDPR
Sei modifiche del Digital Omnibus che ridisegnano il vostro programma di conformità
La Commissione europea ha pubblicato il pacchetto Digital Omnibus il 19.11.2025, proponendo modifiche mirate al GDPR, alla direttiva ePrivacy, alla direttiva NIS2 e altro ancora. Ciascuna delle modifiche seguenti comporta implicazioni concrete per i programmi di privacy multi-entità.
Soglie del registro dei trattamenti
Esenzioni dal registro dei trattamenti per le organizzazioni con meno di 750 dipendenti
La modifica proposta all'articolo 30 imporrebbe alle organizzazioni con meno di 750 dipendenti di tenere un registro dei trattamenti solo quando il trattamento può comportare un rischio elevato per gli interessati. Per i gruppi multi-entità ciò crea una divisione: alcune filiali potrebbero beneficiare dell'esenzione mentre altre no, costringendo il vostro team privacy a gestire due standard paralleli all'interno del gruppo.
Analisi di Considerati sulla modifica proposta all'articolo 30 GDPR, 2025
Armonizzazione delle DPIA
Elenchi DPIA a livello UE sostituiscono i requisiti nazionali
L'EDPB redigerebbe elenchi unificati delle attività di trattamento che richiedono o meno una DPIA, sostituendo tutti gli elenchi nazionali delle autorità di protezione dei dati esistenti. Verrebbero introdotti anche un modello e una metodologia standardizzati, riesaminati almeno ogni tre anni. Fino a quando la Commissione non adotterà gli atti di esecuzione, gli elenchi nazionali esistenti restano in vigore, creando un periodo transitorio di doppi requisiti.
Analisi White & Case, art. 35 GDPR modificato proposto, dic. 2025
Notifica delle violazioni
Soglia più alta e termine esteso per le segnalazioni di violazione
La soglia di notifica salirebbe al solo "rischio elevato" e il termine di segnalazione si estenderebbe da 72 a 96 ore. Verrebbe inoltre introdotto un punto di accesso unico per la segnalazione degli incidenti tra GDPR, NIS2 e DORA. Per le organizzazioni che hanno già predisposto playbook a 72 ore per molteplici autorità di protezione dei dati, ogni flusso di lavoro e matrice di escalation dovrà essere ricalibrato.
Parere congiunto EDPB ed EDPS sul Digital Omnibus, feb. 2026
Definizione di dato personale
L'identificabilità relativa restringe l'ambito del "dato personale"
I dati si qualificherebbero come "personali" solo per un soggetto che dispone dei mezzi ragionevolmente utilizzabili per identificare la persona. L'EDPB e l'EDPS esortano fermamente i colegislatori a non adottare questa modifica, avvertendo che potrebbe "indebolire significativamente la protezione dei dati delle persone". Per i programmi di privacy ciò significa rivalutare gli inventari dei dati per stabilire quali set di dati restano nell'ambito di applicazione, entità per entità.
Dichiarazione EDPB/EDPS sul Digital Omnibus, feb. 2026
IA e legittimo interesse
Nuova base giuridica per l'addestramento dell'IA su dati personali
La proposta riconoscerebbe esplicitamente lo sviluppo e il funzionamento dell'IA come legittimo interesse ai sensi del GDPR, fatti salvi i test di necessità e proporzionalità. I titolari del trattamento dovrebbero comunque ridurre al minimo i dati utilizzati per l'addestramento e concedere agli interessati un diritto di opposizione incondizionato. Per le organizzazioni che implementano l'IA tra le filiali, ciò introduce una nuova categoria di attività di trattamento da monitorare, valutare e documentare a livello di gruppo.
Analisi Covington, Inside Privacy, nov. 2025
Calendario legislativo
Negoziati a tre in arrivo: oggi non cambia nulla, domani cambia tutto
La proposta procede ora attraverso la procedura legislativa ordinaria con il Parlamento europeo e il Consiglio. I negoziati a tre (trilogo) sono previsti entro la primavera 2026, con un'adozione definitiva possibile entro la metà del 2026 o successivamente. Durante questo periodo di transizione, le organizzazioni dovranno mantenere l'attuale conformità al GDPR preparandosi al contempo ai requisiti modificati. I punti di riferimento potrebbero spostarsi più volte prima della definizione del testo finale.
Analisi del calendario legislativo Bird & Bird, nov. 2025
Il monitoraggio dei cambiamenti normativi di Priverion mantiene allineato il vostro programma di privacy mentre queste proposte evolvono, così non dovrete mai ricostruire da zero.
Esplora la piattaformaOgni modifica proposta ha una risposta operativa nella vostra piattaforma di privacy
Il Digital Omnibus non si limita a cambiare le regole. Cambia il modo in cui operate in ogni entità. Ecco come Priverion mantiene pronto il vostro programma, modifica dopo modifica.
Divisione della soglia del registro dei trattamenti
Gestire due standard in un unico gruppo
Quando alcune filiali scendono sotto i 750 dipendenti e altre no, i requisiti del vostro registro dei trattamenti si frammentano. La gestione del registro dei trattamenti cross-entità di Priverion vi consente di configurare gli obblighi per ciascuna entità, con ricertificazione automatizzata per quelle che ne hanno ancora bisogno e chiare tracce di audit per quelle che beneficiano dell'esenzione.
Un assicuratore svizzero ha raggiunto un tasso di ricertificazione del registro dei trattamenti del 100% con flussi di lavoro completamente automatizzati
Periodo di transizione delle DPIA
Affrontare i doppi requisiti senza duplicare il lavoro
Fino all'adozione degli elenchi DPIA unificati dell'EDPB, restano in vigore gli elenchi nazionali. L'automazione DPIA assistita dall'IA di Priverion mappa le vostre attività di trattamento rispetto sia ai requisiti nazionali attuali sia ai criteri proposti a livello UE, segnalando dove i vostri obblighi cambieranno così da potervi preparare anziché reagire.
L'IA assiste nella stesura e nella valutazione del rischio; ogni output viene riesaminato prima di diventare un record di conformità
Ricalibrazione della notifica delle violazioni
Aggiornare ogni playbook, in ogni rapporto con le autorità di protezione dei dati
Passare da 72 a 96 ore e da "rischio" a "rischio elevato" significa che ogni flusso di lavoro relativo agli incidenti necessita di ricalibrazione. Il modulo di gestione degli incidenti di Priverion vi consente di aggiornare centralmente le soglie di notifica e i tempi di escalation, per poi propagare le modifiche al processo di risposta alle violazioni di ogni entità.
Rivalutazione dell'inventario dei dati
Rivalutare cosa conta come dato personale, entità per entità
Se l'"identificabilità relativa" diventasse legge, i set di dati che sono dati personali per una filiale potrebbero non esserlo per un'altra. La mappatura dei dati cross-entità di Priverion vi offre la visibilità per valutare i mezzi di identificazione di ciascuna entità e documentarne la motivazione, producendo pacchetti di evidenze pronti per l'audit in pochi minuti anziché in settimane.
Un operatore sanitario ha raggiunto una copertura del 100% nelle valutazioni del rischio fornitori in tutte le entità
Documentazione dei trattamenti IA
Monitorare una nuova categoria di attività di trattamento a livello di gruppo
Con lo sviluppo dell'IA riconosciuto come legittimo interesse, ogni filiale che implementa l'IA necessita di valutazioni documentate di necessità e proporzionalità. Il registro IA di Priverion, concepito per la conformità all'AI Act dell'UE, fornisce la struttura per inventariare, valutare e documentare le attività di trattamento legate all'IA in tutto il vostro gruppo.
Nessun dato dei clienti viene utilizzato per l'addestramento dei modelli. L'IA assiste, le persone decidono.
Monitoraggio dei cambiamenti normativi
Restare aggiornati mentre i punti di riferimento si spostano
I negoziati a tre significano che il testo finale potrebbe differire significativamente dalla proposta attuale. Il monitoraggio dei cambiamenti normativi di Priverion sorveglia ogni evoluzione, avvisa il vostro team delle modifiche sostanziali e prepara aggiornamenti di configurazione affinché il vostro programma di privacy si adatti senza ripartire da zero. Mantenete l'attuale conformità al GDPR preparandovi al contempo a ciò che verrà.
Operativo in settimane, non mesi. Un costruttore aeronautico è andato in produzione in meno di 6 mesi.
Risultati che parlano da soli
Risultati concreti da veri team di conformità
200+
Ore risparmiate nella preparazione ISO 27001
Un'azienda di tecnologia medica ha ridotto di oltre 200 ore la documentazione manuale e la raccolta delle evidenze per la certificazione ISO 27001, mentre la tempistica media del settore si attesta tra i 6 e i 12 mesi.
Un'azienda di tecnologia medica, misurato durante la preparazione ISO 27001
60%
Costo inferiore rispetto alle piattaforme legacy
Le suite di privacy enterprise costano abitualmente cifre a sei zeri all'anno, con prezzi modulari che aumentano con la crescita. Il prezzo prevedibile per azienda di Priverion elimina le trappole di espansione e le tariffe per utente.
In base ai confronti di costo dei clienti; dati Vendr, feb. 2026
60%
Meno tempo di amministrazione della conformità
Un costruttore aeronautico ha ridotto del 60% il tempo di amministrazione della conformità nei primi sei mesi, passando dagli aggiornamenti manuali del registro dei trattamenti tra le filiali alla ricertificazione completamente automatizzata.
Costruttore aeronautico, primi 6 mesi su Priverion
Gestione della privacy di livello enterprise, senza la complessità enterprise
I team privacy del mid-market hanno bisogno di strumenti pensati per come lavorano davvero: team snelli, entità multiple, budget limitati. Ecco come Priverion si confronta con le piattaforme legacy come OneTrust negli ambiti che contano di più.
Priverion
Pensato per i team mid-market multi-entità
Sovranità dei dati svizzera
Tutto il trattamento dei dati rimane all'interno dell'infrastruttura svizzera. La Svizzera dispone di una decisione di adeguatezza dell'UE, il che significa che i vostri dati di conformità non toccano mai una giurisdizione con rischi di sorveglianza di massa.
Decisione di adeguatezza della CE per la Svizzera ai sensi dell'art. 45 GDPR
Prezzi prevedibili
Un unico prezzo basato sul numero di aziende e sulle dimensioni organizzative. Nessuna tariffa per utente, nessun addebito per modulo, nessuna sorpresa di espansione al rinnovo.
Operativo in settimane
Progettato per team privacy snelli. Un costruttore aeronautico è passato dai fogli di calcolo manuali alla ricertificazione automatizzata del registro dei trattamenti nei primi 6 mesi, riducendo del 60% il tempo di amministrazione della conformità.
Costruttore aeronautico, primi 6 mesi di implementazione
Piattaforma all-in-one
Registro dei trattamenti, DPIA/TIA, rischio fornitori, gestione degli incidenti, gestione delle richieste degli interessati, mappatura dei dati, registro IA e dashboard di conformità in un'unica piattaforma. Nessun pacchetto di moduli da assemblare.
Assistito dall'IA, controllato dalle persone
L'IA assiste nella stesura delle DPIA, nella valutazione del rischio e nella mappatura normativa. Ogni output viene riesaminato prima di diventare un record di conformità. Nessun dato dei clienti viene utilizzato per l'addestramento dei modelli.
Tipica piattaforma enterprise
Pensata per acquirenti Fortune 500
Hosting dei dati negli Stati Uniti
Il rischio di trasferimento transfrontaliero resta una preoccupazione attuale. Il Data Privacy Framework UE-USA è oggetto di contestazioni legali in corso e all'orizzonte si profila una potenziale sfida "Schrems III".
DLA Piper GDPR Fines and Data Breach Survey, gennaio 2026
Prezzi opachi e modulari
Ogni modulo è fatturato secondo la propria metrica e i costi possono crescere in direzioni inaspettate con l'aumentare dei team o dell'impronta dei dati. I soli costi di implementazione possono aggiungere da 10'000 a 50'000 USD ai costi del primo anno.
Analisi prezzi Vendr, febbraio 2026; ricerca di mercato Enzuzo, marzo 2026
Configurazione da settimane a mesi
Gli utenti citano di frequente la necessità di periodi di configurazione prolungati. Un recensore mid-market ha riferito di aver trascorso "diverse settimane solo per configurare i flussi di lavoro e mappare i nostri dati" prima del go-live.
Recensioni verificate G2, 2025
Architettura basata su moduli
Cinque linee di prodotto separate, ciascuna con un prezzo indipendente. Configurare e mantenere la piattaforma richiede tempo e impegno significativi, soprattutto per i team più piccoli che gestiscono la privacy tra più entità.
Recensioni verificate Capterra, 2025
UX ampia ma soverchiante
Set di funzionalità completo, ma diversi recensori notano che l'interfaccia può apparire affollata. La ripida curva di apprendimento e la complessità aggiungono carico per i team privacy che non dispongono di amministratori dedicati della piattaforma.
Recensioni aggregate G2 e Capterra, 2025
Cosa non copriamo (e perché è un pregio)
Priverion non include reportistica ESG, linee etiche o gestione del consenso ai cookie. Ci concentriamo interamente sulla gestione dei programmi di privacy per le organizzazioni che operano tra più entità e giurisdizioni. Se avete bisogno di una piattaforma di privacy che svolga un solo compito in modo eccezionale per l'intero gruppo, è esattamente ciò che abbiamo costruito.
Ci integriamo in profondità con i sistemi che contano per i flussi di lavoro della privacy, tra cui HR, approvvigionamento e gestione degli asset IT, anziché offrire 200 connettori superficiali che generano oneri di manutenzione.
Curiosi di sapere come funziona davvero il passaggio?
Scopri come un costruttore aeronautico è passato da 47 fogli di calcolo a una gestione della privacy automatizzata a livello di gruppo.
Prenota una dimostrazione di 30 minutiCosa chiedono i responsabili della protezione dei dati e i responsabili della conformità sul Digital Omnibus
Quando entreranno effettivamente in vigore queste modifiche al GDPR?
La proposta di Digital Omnibus deve attraversare la procedura legislativa ordinaria, compresi l'esame in commissione del Parlamento europeo, i negoziati del Consiglio e il trilogo. L'adozione definitiva è prevista intorno alla metà del 2027 nel migliore dei casi, con un periodo di attuazione successivo. Oggi nulla cambia nei vostri obblighi giuridici, ma il momento di preparare il vostro programma è adesso, non dopo la pubblicazione del testo finale.
Analisi del calendario legislativo Bird & Bird, nov. 2025
Il nostro gruppo ha filiali sia sopra sia sotto i 750 dipendenti. Cosa succede al nostro registro dei trattamenti?
In base alle modifiche proposte, le filiali sotto i 750 dipendenti avrebbero bisogno di un registro dei trattamenti solo per le attività di trattamento ad alto rischio. Le filiali più grandi mantengono gli obblighi completi del registro dei trattamenti. Ciò crea uno standard di conformità diviso all'interno di un unico gruppo. Priverion vi consente di configurare i requisiti del registro dei trattamenti per ciascuna entità, così da gestire entrambi gli standard da un'unica piattaforma senza duplicare il lavoro o perdere visibilità.
Analisi di Considerati sulla modifica proposta all'articolo 30 GDPR, 2025
Abbiamo già predisposto playbook di notifica delle violazioni a 72 ore. Dobbiamo ricostruirli?
Se adottato, il termine esteso di 96 ore e la soglia più alta di "rischio elevato" richiederanno la ricalibrazione di ogni flusso di lavoro relativo agli incidenti, matrice di escalation e modello di segnalazione alle autorità di protezione dei dati. Il modulo di gestione degli incidenti di Priverion vi consente di aggiornarli centralmente e propagare le modifiche a ogni entità, così riconfigurate una volta sola anziché ricostruire i playbook filiale per filiale.
Parere congiunto EDPB ed EDPS sul Digital Omnibus, feb. 2026
In che modo la modifica proposta alla "definizione di dato personale" incide sui nostri inventari dei dati?
L'approccio dell'identificabilità relativa significa che un set di dati potrebbe essere "dato personale" per un'entità del vostro gruppo ma non per un'altra, a seconda dei mezzi di identificazione di ciascuna entità. Ciò richiede di rivalutare gli inventari dei dati entità per entità e di documentarne la motivazione. La mappatura dei dati cross-entità di Priverion fornisce la visibilità per farlo in modo sistematico e genera pacchetti di evidenze pronti per l'audit.
Dichiarazione EDPB/EDPS sul Digital Omnibus, feb. 2026
Priverion può scalare fino a oltre 50 entità tra più giurisdizioni?
Sì. Priverion è progettato per i gruppi multi-entità. Serviamo organizzazioni con oltre 50 entità tra più giurisdizioni, con mappatura dei dati cross-entità, ricertificazione automatizzata del registro dei trattamenti e dashboard di conformità centralizzate. La piattaforma è operativa in settimane, non mesi. Un costruttore aeronautico è passato da 47 fogli di calcolo a una gestione della privacy automatizzata a livello di gruppo nei primi 6 mesi.
Costruttore aeronautico, primi 6 mesi su Priverion
L'IA di Priverion è sicura per il lavoro di conformità?
Tutti i dati vengono trattati all'interno dell'infrastruttura svizzera. L'IA assiste nella stesura delle DPIA, nella valutazione del rischio e nella mappatura normativa, ma ogni output viene riesaminato da una persona prima di diventare un record di conformità. Nessun dato dei clienti viene utilizzato per l'addestramento dei modelli. L'IA assiste, le persone decidono.
Il briefing del RPD: cosa significa il Digital Omnibus per il vostro programma di privacy
La proposta di Digital Omnibus della Commissione europea introduce le modifiche più significative al GDPR dal 2018, con un'adozione prevista intorno alla metà del 2027. Questa guida in linguaggio chiaro taglia la complessità giuridica e vi dice esattamente a quali cambiamenti prepararvi tra le entità del vostro gruppo.
All'interno della guida troverete:
- 1. Un'analisi di ogni modifica proposta al GDPR: dalla nuova esenzione dal registro dei trattamenti per le organizzazioni con meno di 750 dipendenti, ai requisiti DPIA semplificati e al punto di accesso unico per la segnalazione delle violazioni
- 2. Cosa il parere congiunto EDPB ed EDPS segnala come "preoccupazioni significative", comprese le modifiche proposte alla definizione di dato personale che le autorità di regolamentazione esortano i colegislatori a non adottare
- 3. Una checklist di preparazione multi-entità che copre la migrazione del consenso ai cookie dalla direttiva ePrivacy al GDPR, le nuove deroghe per i trattamenti legati all'IA e le modifiche di armonizzazione transfrontaliera
- 4. Un calendario legislativo realistico per sapere quando agire, non solo cosa monitorare, con i negoziati a tre e le potenziali tappe di adozione delineati
Tratto dalla proposta ufficiale della Commissione europea e dal parere congiunto EDPB/EDPS (febbraio 2026).
Scarica la tua copia gratuita
Ottieni la guida che sta già aiutando i responsabili della protezione dei dati di tutta Europa a prepararsi alle modifiche del Digital Omnibus.
PDF gratuito. Nessuna dimostrazione richiesta. Lo invieremo alla tua casella di posta.
Perché è importante ora
La Commissione punta a ridurre la burocrazia del 25% complessivamente e del 35% per le PMI. Quasi 38'000 aziende dell'UE rientrano nella nuova categoria delle piccole mid-cap.
Commissione europea, pacchetto di semplificazione (maggio 2025)
Dal caos dei fogli di calcolo al lavoro strategico sulla privacy
"Siamo passati dal dedicare gran parte del nostro tempo di amministrazione della conformità agli aggiornamenti manuali del registro dei trattamenti — rincorrendo le unità aziendali tra più filiali — alla ricertificazione completamente automatizzata. Il nostro RPD ora si concentra sul lavoro strategico sulla privacy anziché sulla manutenzione dei fogli di calcolo."
Costruttore aeronautico
Riduzione del 60% del tempo di amministrazione della conformità, primi 6 mesi
"Priverion ci ha dato piena visibilità sul rischio fornitori in ogni entità. Abbiamo raggiunto una copertura del 100% nelle valutazioni del rischio fornitori, qualcosa che con i fogli di calcolo avrebbe richiesto mesi di lavoro manuale."
Un operatore sanitario
Copertura del 100% nelle valutazioni del rischio fornitori in tutte le entità
Smetti di gestire la conformità nei fogli di calcolo
Il vostro RPD ha cose migliori da fare che rincorrere gli aggiornamenti del registro dei trattamenti su 47 fogli di calcolo
Con le sanzioni GDPR cumulative che ora superano i 7,1 miliardi di EUR e le autorità di regolamentazione che ricevono oltre 443 notifiche di violazione al giorno, i processi di conformità manuali sono una passività. Le organizzazioni multi-entità hanno bisogno di una piattaforma che cresca con loro, non contro di loro.
Fonti: DLA Piper GDPR Fines and Data Breach Survey, gennaio 2026; CMS GDPR Enforcement Tracker
60%
riduzione del tempo di amministrazione della conformità
Costruttore aeronautico, primi 6 mesi
200+
ore risparmiate nella preparazione ISO 27001
Un'azienda di tecnologia medica
100%
ricertificazione del registro dei trattamenti, completamente automatizzata
Un assicuratore svizzero
Sviluppato e ospitato in Svizzera
Assistito dall'IA, controllato dalle persone
Prezzi prevedibili, senza trappole per utente
Nessuna proposta commerciale. Vedi Priverion all'opera con il tuo caso d'uso. Operativo in settimane, non mesi.
The Privacy Compliance Briefing
Approfondimenti mensili sull'applicazione del GDPR, la nLPD svizzera


