Il 19 novembre 2025 la Commissione Europea ha pubblicato il Digital Omnibus Package, una proposta che punta a semplificare le norme digitali europee e a rimettere ordine nel sistema dei cookie banner.
Per ora è una proposta di regolamento. Deve ancora passare da Parlamento e Consiglio, e durante l’iter le norme possono cambiare anche in modo significativo. Ma se gestisci un sito aziendale, campagne digitali o tracciamenti analytics, vale la pena capire cosa potrebbe succedere.
In questo articolo ti spiego cosa prevede il pacchetto, quali sono gli impatti pratici su consenso, analytics e advertising, e cosa ha senso fare oggi per arrivare pronti all’eventuale entrata in vigore.
Le due aree di intervento del pacchetto
Il Digital Omnibus si muove su due piani paralleli. Il primo è orizzontale e tocca contemporaneamente GDPR, Direttiva ePrivacy, NIS2 e Data Act. L’obiettivo dichiarato è ridurre le sovrapposizioni normative che oggi rendono la compliance un esercizio costoso e a volte contraddittorio.
Il secondo intervento è verticale e riguarda l’AI Act. La proposta prova a renderlo più chiaro e applicabile, soprattutto per le aziende che stanno integrando sistemi di intelligenza artificiale nei processi. Per chi lavora con web analytics e marketing digitale, la parte più rilevante resta la prima: il nuovo approccio a cookie e consenso.
Cookie e consenso: cosa potrebbe cambiare
La proposta prova a snellire un sistema che oggi appesantisce i siti e rende la navigazione frustrante per gli utenti. L’idea di fondo è spostare parte della gestione del consenso fuori dai singoli siti, riducendo il numero di interazioni richieste.
Le modifiche principali sul tavolo sono queste:
- Un solo click per accettare o rifiutare tutti i cookie, senza i percorsi a ostacoli attuali.
- Preferenze privacy impostabili a livello centralizzato, ad esempio direttamente dal browser.
- Durata minima delle preferenze di almeno 6 mesi, per ridurre la frequenza dei banner.
- Whitelist per statistiche e misurazioni aggregate dell’audience, esentate dal consenso.
- Allineamento più stretto tra GDPR e Direttiva ePrivacy sulla gestione dei tracciamenti.
Se queste regole venissero approvate nella forma attuale, cambierebbe il modo in cui progettiamo l’esperienza di consenso. Non basterebbe più aggiornare il banner: andrebbero ripensati i flussi di raccolta dati e l’integrazione con eventuali segnali centralizzati provenienti dal browser dell’utente.
L’impatto sui tracciamenti analytics
Il punto più interessante per chi lavora con i dati è la proposta di esentare dal consenso le misurazioni aggregate dell’audience. In pratica, raccogliere statistiche anonime su come viene usato un sito potrebbe non richiedere più il consenso esplicito, a patto che i dati restino aggregati e non riconducibili al singolo utente.
Questo approccio avvicina la normativa a strumenti già pensati in ottica privacy-first: GA4 in modalità cookieless, Piwik Pro, Matomo con anonimizzazione attiva. Per chi gestisce siti aziendali significa più margine di azione sui dati di traffico e comportamento, senza la perdita di volumi che oggi deriva dai rifiuti del banner.
Cosa cambia sul fronte advertising
Sul marketing la situazione è più delicata. Il consenso single-click, le preferenze centralizzate da browser e la durata di 6 mesi rischiano di ridurre il volume di utenti tracciabili per remarketing e attribuzione delle conversioni.
In questo scenario, le soluzioni server-side e i modelli di conversione basati su dati aggregati diventano ancora più strategici. Il Consent Mode v2 avanzato, ad esempio, consente di modellare le conversioni anche in assenza di consenso, mantenendo affidabile la lettura delle campagne. Chi non lo ha ancora implementato correttamente parte svantaggiato.
Cosa ha senso fare già oggi
Il Digital Omnibus non è legge e potrebbe cambiare. Ma alcune verifiche conviene farle subito, perché riguardano il GDPR attualmente in vigore e prepararsi non costa nulla. Il rischio peggiore è scoprire, al momento dell’approvazione, di avere un’infrastruttura di tracciamento che richiede mesi di lavoro per essere allineata.
Le aree da controllare sono quattro: conformità del cookie banner al GDPR vigente, corretta implementazione dell’Advanced Consent Mode v2, configurazione privacy-first degli strumenti analytics, monitoraggio dell’iter legislativo europeo. Avere un banner sul sito non basta: quello che conta è che i tracciamenti rispondano davvero ai segnali di consenso ricevuti.
Domande frequenti
Quando entrerà in vigore il Digital Omnibus?
Non c’è ancora una data certa. La proposta è stata pubblicata dalla Commissione Europea il 19 novembre 2025 e deve passare dal Parlamento e dal Consiglio Europeo. L’iter legislativo europeo richiede in genere diversi mesi, spesso più di un anno, e il testo può subire modifiche significative durante il percorso. Conviene monitorare gli aggiornamenti senza aspettare l’approvazione finale per iniziare a verificare la propria infrastruttura.
Le misurazioni analytics saranno davvero esentate dal consenso?
La proposta prevede una whitelist per statistiche e misurazioni aggregate dell’audience, ma solo se i dati restano anonimi e non riconducibili al singolo utente. Strumenti come GA4 in modalità cookieless, Matomo con anonimizzazione o Piwik Pro vanno già in questa direzione. Le configurazioni più aggressive, che identificano l’utente o lo seguono su più sessioni, continueranno a richiedere il consenso esplicito.
Cosa rischia chi non si adegua al GDPR attuale?
Le sanzioni del GDPR possono arrivare fino al 4% del fatturato annuo globale o 20 milioni di euro, con il valore più alto tra i due. Oltre alle multe, ci sono i rischi reputazionali e le possibili richieste di risarcimento da parte degli utenti. Il Garante italiano ha già sanzionato diverse aziende per cookie banner non conformi o tracciamenti attivati prima del consenso.
Il Consent Mode v2 basta a essere a norma?
Il Consent Mode v2 è uno strumento utile, ma non sostituisce una corretta gestione del consenso. Serve a comunicare a Google lo stato del consenso e a modellare le conversioni in assenza di esso, ma funziona solo se il cookie banner a monte è conforme e se i tag sono configurati per rispettare davvero le scelte dell’utente. È un pezzo del sistema, non la soluzione completa.
Conviene aspettare l’approvazione prima di intervenire?
No. Il Digital Omnibus riguarda il futuro, ma il GDPR e la Direttiva ePrivacy sono già pienamente in vigore. Molti siti hanno banner non conformi o tracciamenti che si attivano prima del consenso, e questo è un rischio concreto oggi. Lavorare ora sulla compliance attuale significa anche arrivare al nuovo regolamento con un’infrastruttura solida, evitando interventi di emergenza al momento dell’entrata in vigore.
Verifichiamo insieme i tuoi tracciamenti
Se gestisci un sito aziendale con traffico significativo o campagne digitali attive, vale la pena capire se la tua infrastruttura di tracciamento è davvero allineata al GDPR e pronta per quello che potrebbe arrivare con il Digital Omnibus.
Nella mia esperienza, la maggior parte dei siti ha un cookie banner installato ma una configurazione tag che non rispetta davvero il consenso, o un Consent Mode implementato in modo parziale.
Un primo confronto serve a capire dove sei oggi e se ha senso un audit dedicato. Se vuoi parlarne, scrivimi dalla pagina contatti e organizziamo una chiamata.