Bandiby diShine
Newsletter
digitalizzazioneintelligenza-artificialeguida-praticacybersecurityGDPR PMI 2026adempimenti GDPRprotezione dati aziende

GDPR per le PMI nel 2026: cosa vale oggi e cosa cambia con il Digital Omnibus

12 min di letturaPubblicato 25 maggio 2026Scritto da: Kevin

Il GDPR, il regolamento europeo sulla protezione dei dati personali, è in vigore da anni. Per molte piccole e medie imprese è diventato una specie di rumore di fondo: si sa che esiste, si è fatto qualcosa al tempo, e poi è rimasto lì. Ma nel 2026 il tema torna di attualità per due motivi precisi.

Il primo: l'adozione dell'intelligenza artificiale moltiplica i trattamenti di dati personali, e ogni nuovo strumento adottato dall'impresa va guardato anche dal lato privacy. Il secondo: è in discussione a Bruxelles il Digital Omnibus, un pacchetto di riforme che tocca anche il GDPR e che potrebbe cambiare alcune regole pratiche.

Questa guida fa il punto per le PMI. Spiega cosa il GDPR richiede oggi (perché le regole vigenti restano quelle finché non cambiano davvero) e cosa potrebbe cambiare con il Digital Omnibus, distinguendo con chiarezza ciò che è legge da ciò che è ancora una proposta. Non è una consulenza legale: è un orientamento per capire dove sta l'impresa e cosa chiedere a un professionista.

Il punto fermo: oggi vale il GDPR così com'è

Partiamo dalla cosa più importante, perché intorno al Digital Omnibus c'è parecchia confusione. Le proposte di riforma sono in discussione tra Parlamento e Consiglio europei. Finché non vengono approvate e non entrano in vigore, non cambiano nulla: le regole valide oggi sono quelle del GDPR attuale.

Questo significa che un'impresa non può anticipare alleggerimenti o deroghe che non hanno ancora forza di legge. Chi pensasse "tanto stanno per semplificare, aspetto" commetterebbe un errore: le semplificazioni potrebbero arrivare in forma diversa, più tardi, o in parte non arrivare affatto. La regola operativa è una sola: adeguarsi a ciò che vale oggi, e monitorare l'evoluzione.

Vediamo quindi prima cosa il GDPR chiede a una PMI nel 2026.

Cosa chiede il GDPR a una PMI: gli adempimenti di base

Il GDPR si applica a qualsiasi impresa che tratta dati personali. E praticamente ogni impresa lo fa: dati di clienti, fornitori, dipendenti, contatti commerciali sono tutti dati personali. Ecco i pilastri da presidiare.

Sapere quali dati si trattano. Il primo passo è la consapevolezza: quali dati personali raccoglie l'impresa, da chi, per quale finalità, dove sono conservati, per quanto tempo, chi vi ha accesso. Senza questa mappatura, ogni altro adempimento è costruito sul vuoto.

Avere una base giuridica. Ogni trattamento di dati deve poggiare su una base giuridica valida: il consenso della persona, l'esecuzione di un contratto, un obbligo di legge, il legittimo interesse del titolare. Non si trattano dati "perché servono": serve una ragione che la legge riconosce.

Informare le persone. Clienti, fornitori e dipendenti hanno diritto a un'informativa privacy chiara: cosa viene trattato, perché, da chi, con quali diritti. L'informativa va tenuta aggiornata quando cambiano i trattamenti.

Garantire i diritti degli interessati. Le persone hanno diritto di accedere ai propri dati, correggerli, chiederne la cancellazione, opporsi a certi trattamenti. L'impresa deve essere in grado di rispondere a queste richieste.

Tenere il registro dei trattamenti. È il documento che descrive i trattamenti effettuati dall'impresa. Su questo punto le regole prevedono già oggi alcune semplificazioni per le organizzazioni più piccole, ma il principio di documentare ciò che si fa con i dati resta.

Proteggere i dati con misure adeguate. Misure tecniche e organizzative proporzionate al rischio: controllo degli accessi, backup, aggiornamenti, formazione del personale. La sicurezza dei dati non è un adempimento formale, è sostanza.

Gestire i rapporti con i fornitori. Quando un fornitore tratta dati per conto dell'impresa (il gestionale, il servizio di email, il consulente paghe), va inquadrato come responsabile del trattamento, con un contratto apposito.

Sapere cosa fare in caso di violazione. Se si verifica una violazione dei dati (un data breach), l'impresa deve sapere come reagire e, nei casi previsti, notificarla all'autorità entro i termini di legge.

Il Responsabile della protezione dei dati: serve alla mia impresa?

Una domanda frequente. La figura del Responsabile della protezione dei dati (DPO) non è obbligatoria per tutte le imprese. È obbligatoria in casi specifici, legati al tipo di trattamenti effettuati: per esempio, quando l'attività principale comporta un monitoraggio regolare e sistematico delle persone su larga scala, o il trattamento su larga scala di categorie particolari di dati.

Molte PMI con attività ordinarie non rientrano nell'obbligo. Ma la valutazione va fatta sul caso concreto, non per sentito dire: è una delle verifiche da affrontare con un professionista.

GDPR e intelligenza artificiale: il punto critico del 2026

Ecco la ragione per cui il GDPR torna centrale proprio adesso. Ogni volta che un'impresa adotta uno strumento di AI, mette in moto un trattamento di dati personali da valutare.

Le domande da porsi prima di adottare uno strumento di AI:

  • Quali dati personali verranno trattati dallo strumento?
  • Dove vengono elaborati e conservati questi dati? In quale ambiente, in quale Paese?
  • I dati immessi vengono usati per addestrare il modello? Con quali conseguenze?
  • Su quale base giuridica poggia questo trattamento?
  • Le persone interessate sono informate?

Un esempio concreto: caricare in uno strumento di AI generativo un elenco di clienti con i loro dati, per farne un'analisi, è un trattamento di dati personali a tutti gli effetti. Va fatto sapendo dove finiscono quei dati e con quale base giuridica.

Questo si collega direttamente all'AI Act, il regolamento europeo sull'intelligenza artificiale: AI Act e GDPR sono normative distinte ma intrecciate. Per il quadro AI, vedi AI Act 2026: cosa cambia per le PMI italiane dopo il Digital Omnibus e AI Act per le PMI: adempimenti e opportunità.

Per le imprese che hanno un sito o un'app, c'è un fronte specifico: cookie e strumenti di tracciamento. Le regole attuali richiedono, per i cookie non strettamente necessari, un consenso valido dell'utente, raccolto tramite un banner conforme. Il consenso deve essere libero, informato e revocabile.

È uno degli ambiti su cui il Digital Omnibus interviene, come vediamo tra poco. Ma, di nuovo: finché la riforma non è approvata, valgono le regole attuali, e il banner cookie del sito deve esservi conforme.

Il Digital Omnibus: cosa potrebbe cambiare

Veniamo alla parte in evoluzione. Il Digital Omnibus è un pacchetto di proposte presentato dalla Commissione europea a fine 2025, che punta a semplificare il quadro normativo digitale (GDPR, AI Act, Data Act e altro) riducendo gli oneri amministrativi per le imprese, soprattutto le più piccole.

Attenzione: si tratta di proposte in discussione, non di norme in vigore. Il percorso legislativo è in corso e alcune modifiche sono oggetto di un dibattito acceso. Ecco le principali che riguardano il GDPR e le PMI.

Semplificazioni documentali per le imprese più piccole. Tra le proposte c'è un alleggerimento di alcuni obblighi documentali, come la tenuta del registro dei trattamenti, per le imprese sotto una certa soglia dimensionale, a condizione che i trattamenti non siano ad alto rischio. Verrebbe inoltre introdotta una nuova categoria, le piccole imprese a media capitalizzazione, per estendere le semplificazioni anche a realtà intermedie.

Notifica dei data breach più gestibile. Si discute di portare il termine per notificare una violazione dei dati da 72 a 96 ore, e di limitare l'obbligo alle violazioni che presentano un rischio concreto, filtrando gli incidenti minori. È prevista anche l'istituzione di un punto unico di notifica europeo: un'impresa soggetta a più obblighi di segnalazione (GDPR, NIS2 e altri) potrebbe adempierli attraverso un'unica piattaforma. Questa razionalizzazione, se confermata, ridurrebbe davvero la complessità.

Cookie e "consent fatigue". La proposta interviene sui banner cookie, con l'obiettivo di ridurre la stanchezza da consenso: meccanismi più semplici per accettare o rifiutare, e regole sulla durata della scelta dell'utente, per non riproporre il pop-up a ogni visita.

AI e uso dei dati. Alcune proposte mirano a chiarire le basi giuridiche per l'uso dei dati nello sviluppo e nel funzionamento dei sistemi di AI. È una delle aree più delicate e discusse.

La definizione di dato personale. La proposta più controversa riguarda la stessa nozione di "dato personale". È il punto su cui il dibattito è più acceso e l'esito più incerto: le autorità europee per la protezione dei dati si sono espresse criticamente. È esattamente il tipo di modifica su cui non si può fare alcun affidamento finché non è legge.

Cosa deve fare una PMI, in concreto

Messo insieme il quadro, ecco l'indicazione operativa.

1. Adeguati a ciò che vale oggi. Il GDPR attuale è la norma in vigore. Se ci sono lacune (informativa non aggiornata, mappatura dei dati mai fatta, banner cookie non conforme) vanno colmate ora, non rimandate in attesa della riforma.

2. Non anticipare le semplificazioni. Le proposte del Digital Omnibus non sono diritto vigente. Costruire la compliance su deroghe non ancora approvate è un rischio.

3. Tratta l'AI come un tema privacy. Ogni nuovo strumento di AI va valutato anche sotto il profilo della protezione dei dati, prima di adottarlo.

4. Affronta la compliance in modo integrato. GDPR, AI Act e NIS2 si intrecciano. Conviene una mappa unica di cosa si applica all'impresa: vedi la checklist compliance 2026 per le PMI per il quadro d'insieme.

5. Monitora l'evoluzione. Il Digital Omnibus va seguito: quando e se sarà approvato, alcune semplificazioni potranno alleggerire concretamente il carico. Ma è un monitoraggio, non un'attesa passiva.

6. Coinvolgi le competenze giuste. La valutazione su DPO, basi giuridiche, casi di notifica richiede un supporto specialistico. La guida serve a sapere cosa chiedere.

Per orientarsi tra GDPR, AI Act e NIS2, il playbook gratuito di compliance.dishine.it raccoglie indicazioni pratiche pensate per le PMI. Un assessment della maturità digitale dell'impresa, anche sul fronte della gestione dei dati, aiuta a individuare le priorità: la scorecard gratuita di digital-map.dishine.it è un punto di partenza.

Compliance come investimento, non solo come costo

Un'osservazione per chiudere. Mettersi in regola con la protezione dei dati non è solo un adempimento. Una gestione ordinata dei dati significa processi più chiari, meno rischi di incidenti, maggiore fiducia da parte di clienti e partner. In un'epoca in cui le imprese si scambiano dati e in cui un incidente informatico può fermare l'attività, avere i dati sotto controllo è un fattore di solidità.

E gli investimenti collegati (sicurezza informatica, strumenti di gestione, formazione del personale) sono in molti casi finanziabili. Vedi i bandi e voucher per la digitalizzazione delle PMI e il voucher per cloud e cybersecurity: la compliance fatta bene può appoggiarsi a risorse pubbliche.

FAQ

Il GDPR si applica alla mia piccola impresa?

Sì. Il GDPR si applica a qualsiasi impresa che tratta dati personali, e praticamente ogni impresa lo fa: dati di clienti, fornitori, dipendenti e contatti commerciali sono tutti dati personali. La dimensione dell'impresa incide su alcune semplificazioni, non sull'applicabilità della normativa.

Il Digital Omnibus ha già cambiato il GDPR?

No. Il Digital Omnibus è un pacchetto di proposte in discussione tra Parlamento e Consiglio europei. Finché non viene approvato e non entra in vigore, le regole valide restano quelle del GDPR attuale. Non si possono anticipare alleggerimenti che non hanno ancora forza di legge.

Quali sono gli adempimenti GDPR di base per una PMI?

Mappare quali dati si trattano, avere una base giuridica per ogni trattamento, fornire un'informativa privacy chiara, garantire i diritti degli interessati, tenere il registro dei trattamenti, proteggere i dati con misure adeguate, inquadrare correttamente i fornitori che trattano dati, sapere come gestire un'eventuale violazione.

La mia impresa deve nominare un DPO?

Non tutte le imprese sono obbligate. Il Responsabile della protezione dei dati è obbligatorio in casi specifici legati al tipo di trattamenti, per esempio il monitoraggio sistematico su larga scala o il trattamento su larga scala di dati particolari. Molte PMI con attività ordinarie non rientrano nell'obbligo, ma la valutazione va fatta caso per caso.

Usare strumenti di AI comporta obblighi GDPR?

Sì. Ogni strumento di AI che tratta dati personali mette in moto un trattamento da valutare: quali dati, dove vengono elaborati e conservati, se sono usati per addestrare il modello, su quale base giuridica, con quale informazione alle persone. L'AI va valutata anche come tema di protezione dei dati. La proposta punta a ridurre la "consent fatigue": meccanismi più semplici per accettare o rifiutare i cookie e regole sulla durata della scelta dell'utente, per non riproporre il banner a ogni visita. Sono però proposte: finché non sono approvate, valgono le regole attuali sul consenso ai cookie.

Cambierà il termine per notificare un data breach?

È in discussione. Tra le proposte del Digital Omnibus c'è l'innalzamento del termine da 72 a 96 ore e la limitazione dell'obbligo alle violazioni con rischio concreto, oltre a un punto unico di notifica europeo. Ma finché la riforma non è approvata, vale il termine attuale di 72 ore.

Devo aspettare il Digital Omnibus prima di adeguarmi?

No. Aspettare è un errore. Le regole in vigore vanno rispettate ora, e le eventuali semplificazioni potrebbero arrivare in forma diversa, più tardi, o solo in parte. L'approccio corretto è adeguarsi a ciò che vale oggi e monitorare l'evoluzione della riforma.

GDPR, AI Act e NIS2 sono normative separate?

Sono normative distinte ma intrecciate. Una sola decisione, come adottare uno strumento di AI, può toccarle tutte: tratta dati personali (GDPR), è un sistema di AI (AI Act) e, per i soggetti obbligati, è un elemento di sicurezza informatica (NIS2). Conviene affrontare la compliance in modo integrato.

Fonti istituzionali di riferimento

  • Regolamento generale sulla protezione dei dati (GDPR, Reg. UE 2016/679)
  • Garante per la protezione dei dati personali
  • Comitato europeo per la protezione dei dati (EDPB)
  • Commissione europea - proposte Digital Omnibus
  • Parlamento europeo e Consiglio dell'UE - stato dell'iter legislativo

Questo articolo ha finalità informative e di orientamento. Non sostituisce una valutazione di compliance da parte di professionisti qualificati. Il quadro normativo del Digital Omnibus è in evoluzione: le proposte descritte non sono diritto vigente e vanno verificate sui canali ufficiali. Ultimo aggiornamento: maggio 2026.

Condividi questa guida

Aiuta altri a scoprirlo. Niente tracking.

WhatsApp LinkedIn Post Email
Kevin Escoda, autore

Scritto e verificato da Kevin

diShine · consulenza PMI e trasformazione digitale. Ogni guida è basata su fonti ufficiali (GU, MIMIT, Regioni, INVITALIA).

Aggiornato 21 maggio 2026 Chi siamo Segnala una correzione
Hub guide Tutti i bandi

I bandi di questa guida

Gli strumenti principali analizzati in questo articolo. Verifica scadenze e requisiti.

Aperto
garanzia

Fondo di Garanzia PMI

MIMIT-MCCNazionale

Il Fondo di Garanzia PMI offre una garanzia pubblica per facilitare l'accesso al credito di micro, piccole e medie imprese, startup e professionisti. Copre fino all'80% dei finanziamenti per investimenti e fino al 50% per liquidità, con un importo massimo garantito di 5 milioni di euro. Le domande sono aperte e gestite tramite banche e confidi convenzionati, senza una data di chiusura prefissata.

Importo max
€5 M
Contributo
50% per liquidità, 80% per investimenti e altre categorie
Sempre aperto (sportello)Verifica idoneità →
Micro impresaLavoratori autonomiStartup
Aperto
Finanziamento agevolato

Beni strumentali Nuova Sabatini

MIMITNazionale

La Nuova Sabatini è un'agevolazione del MIMIT che facilita l'accesso al credito per le PMI che investono in beni strumentali nuovi, inclusi macchinari, impianti, hardware e software. Prevede un contributo in conto impianti calcolato su un finanziamento bancario o leasing, con tassi agevolati differenziati per investimenti ordinari, 4.0, green e processi di capitalizzazione. L'importo finanziabile va da 20.000€ a 4.000.000€, con domande gestite a sportello tramite la piattaforma dedicata.

Importo max
€4 M
da €20k
Contributo
2,75% per investimenti ordinari, 3,575% per investimenti 4.0 e green…
Sempre aperto (sportello)Verifica idoneità →
Micro impresaMedia impresaPiccola impresa
Aperto
Voucher

Voucher Cloud & Cybersecurity per PMI

MIMITNazionale

Voucher a fondo perduto del 50% per PMI e lavoratori autonomi che investono in servizi e prodotti di cloud computing e cybersecurity. L'importo massimo del contributo è di 20.000 euro, con un piano di spesa minimo di 4.000 euro. La scadenza per la registrazione dei fornitori è il 27 maggio 2026; i termini per le domande delle imprese saranno definiti con successivo provvedimento.

Importo max
€20k
da €4k
Contributo
50% delle spese ammissibili, fino a un massimo di 20.000€
Sempre aperto (sportello)Verifica idoneità →
Micro impresaLavoratori autonomiMedia impresa

Continua con le altre guide

Approfondisci con le guide collegate, scritte e aggiornate dalla redazione.

Errori da evitare quando una PMI introduce l'AI

I 10 errori più comuni che una PMI fa quando introduce l'intelligenza artificiale, e cosa fare invece. La guida pratica per adottare l'AI senza sprecare risorse.

Leggi guida

La mia azienda è in regola? Checklist compliance 2026 per le PMI

Checklist pratica di compliance per le PMI su NIS2, AI Act e GDPR: cosa si applica, le scadenze e come muoversi. La tua azienda è in regola nel 2026?

Leggi guida

AI Act 2026 dopo il Digital Omnibus: cosa cambia davvero per le PMI italiane

Digital Omnibus approvato il 26 marzo 2026: rinvio AI Act sistemi alto rischio fino al 2027-2028, ma divieti e trasparenza restano al 2 agosto 2026. Cosa fare adesso.

Leggi guida

Prossimo passo

Hai capito quali bandi fanno per te?

Trasforma la lettura in azione: verifica l'idoneità in 60 secondi o ricevi i bandi giusti via email.

Wizard idoneità

4 domande. Verdetto motivato sul bando specifico o match sul catalogo completo.

Verifica idoneità

Bandi nuovi ogni settimana

Selezione redazionale, solo bandi rilevanti. Niente spam, disiscrizione con un click.