La semplificazione normativa è una parola chiave ricorrente nel dibattito europeo sull’intelligenza artificiale. Tuttavia, quando si tratta di AI e trattamento dei dati personali, il confine tra semplificazione ed erosione delle garanzie fondamentali è sottile.
È proprio su questo punto che interviene la Joint Opinion di EDPB ed EDPS sulla proposta della Commissione europea di un “Digital Omnibus on AI”, volto a semplificare l’attuazione di alcune disposizioni dell’AI Act.
Indice degli argomenti
Semplificare sì, ma non a costo dei diritti fondamentali
La Joint Opinion dell’EDPB e dell’EDPS nasce in risposta alla Proposta della Commissione europea sul “Digital Omnibus on AI”, presentata il 19 novembre 2025. L’obiettivo della Proposta è semplificare l’applicazione delle norme armonizzate previste dall’AI Act, riducendo gli oneri amministrativi per i fornitori di sistemi di intelligenza artificiale e facilitando l’innovazione, soprattutto per le PMI.
Tuttavia, EDPB ed EDPS evidenziano che la semplificazione non deve compromettere la protezione dei diritti fondamentali, in particolare privacy, protezione dei dati e tutela contro i bias algoritmici.
La Joint Opinion delinea quindi un equilibrio tra efficienza normativa e accountability, suggerendo correzioni e chiarimenti sulle modalità di supervisione, sui trattamenti di categorie particolari di dati, sull’uso dei sandbox regolatori e sulle tempistiche di attuazione delle regole sui sistemi ad alto rischio.
In sostanza, il documento serve a garantire che la semplificazione delle regole AI resti coerente con i principi di trasparenza, responsabilità e tutela dei diritti degli individui, evitando che il “Digital Omnibus” diventi un pretesto per ridurre controlli e obblighi dei provider.
“Innovazione ed efficienza sono fondamentali e possono coesistere con il mantenimento della responsabilità dei fornitori di AI. Accogliamo con favore le sandbox regolatorie a livello UE e le procedure semplificate per promuovere l’innovazione e supportare le PMI in Europa. Tuttavia, le Autorità per la Protezione dei Dati devono mantenere un ruolo centrale nel trattamento dei dati personali degli individui. La cooperazione tra Autorità per la Protezione dei Dati, AI Office e Autorità di Sorveglianza del Mercato è essenziale per garantire certezza giuridica alle organizzazioni e favorire l’innovazione nel rispetto dei diritti fondamentali”.
Anu Talus, Presidente EDPB
“La semplificazione è benvenuta quando chiarisce gli obblighi, responsabilizza le persone e rafforza la fiducia. È necessario mantenere un equilibrio riducendo gli oneri amministrativi dove possibile, senza compromettere la tutela dei diritti fondamentali. Inoltre, dobbiamo assicurarci che il ruolo dell’AI Office sia chiaramente definito e non interferisca con la supervisione indipendente dei sistemi AI utilizzati dalle istituzioni dell’Unione Europea”.
Wojciech Wiewiórowski, Garante Europeo per la Protezione dei Dati
Dati “sensibili” per il bias detection: attenzione all’estensione generalizzata
Uno dei passaggi più delicati riguarda l’estensione della possibilità di trattare categorie particolari di dati personali (come dati sanitari o sull’origine etnica) per finalità di rilevazione e correzione dei bias.
Oggi l’AI Act permette ai fornitori di sistemi ad alto rischio di trattare categorie particolari di dati personali (come dati sulla salute o sull’origine etnica) solo se strettamente necessario per identificare e correggere eventuali bias nei sistemi AI, sempre nel rispetto dei diritti delle persone.
La proposta del “Digital Omnibus on AI” estende questa possibilità a tutti i sistemi e modelli AI, compresi quelli non ad alto rischio, e anche a chi li utilizza (deployer). Lo scopo è facilitare la rilevazione dei bias, ma l’EDPB e l’EDPS ricordano che questa eccezione deve rimanere limitata ed il trattamento è giustificato solo quando il rischio di effetti negativi è reale e significativo.
Le Autorità suggeriscono di mantenere lo standard di “stretta necessità” anche per i sistemi non ad alto rischio e di chiarire quali tipi di bias possano giustificare l’uso di queste categorie particolari di dati, ad esempio quelli che incidono sulla salute, sulla sicurezza o sui diritti fondamentali delle persone.
Infine, viene ribadito che le DPA rimangono le autorità principali di controllo, garantendo che i diritti degli individui restino sempre tutelati, anche con questa estensione delle regole.
Registrazione e documentazione dei sistemi AI
L’EDPB e l’EDPS appoggiano l’obiettivo della Proposta di ridurre gli oneri amministrativi per gli operatori. Tuttavia, sottolineano che l’obbligo di registrare i sistemi AI ad alto rischio nel database UE dovrebbe rimanere anche quando il fornitore ritiene che il sistema – pur essendo citato nell’Allegato III dell’AI Act – non rappresenti un rischio elevato, secondo quanto previsto dall’articolo 6(3) dell’AIA.
La registrazione garantisce trasparenza e tracciabilità, sia verso il pubblico sia verso le autorità nazionali competenti. Permette infatti ai cittadini di sapere su quali basi il fornitore considera che il sistema “non rappresenta un rischio significativo per salute, sicurezza o diritti fondamentali”.
Allo stesso tempo, consente ai deployer di effettuare una due diligence accurata prima di utilizzare il sistema e di gestire correttamente i rischi connessi.
Inoltre, la registrazione fornisce alle autorità nazionali competenti e agli organismi di tutela dei diritti fondamentali (FRAB) informazioni tempestive prima che i sistemi vengano immessi sul mercato o messi in servizio, permettendo loro di richiedere documentazione o attivare eventuali controlli e interventi di enforcement.
Sebbene i fornitori restino obbligati a documentare la propria valutazione sulla classificazione del sistema come “non ad alto rischio”, l’EDPB e l’EDPS ritengono che questa non sia sufficiente senza la registrazione pubblica, perché servono meccanismi di accountability chiari per evitare valutazioni errate o interpretazioni divergenti delle norme.
Infine, le Autorità esprimono preoccupazione per la proposta di semplificare gli obblighi sulla sicurezza dei sistemi AI in base alla dimensione dell’azienda (numero di dipendenti o fatturato). Secondo EDPB ed EDPS, le caratteristiche di scalabilità e autonomia dei sistemi AI rendono la dimensione aziendale un criterio poco affidabile per valutare i rischi effettivi dei sistemi ad alto rischio immessi sul mercato.
Sandbox regolatorie AI a livello UE: cosa chiedono EDPB e EDPS
L’EDPB e l’EDPS accolgono con favore l’idea di creare sandbox regolatorie AI a livello europeo, uno strumento pensato per favorire l’innovazione e aiutare le PMI a sperimentare sistemi AI in un ambiente controllato.
Tuttavia, sottolineano che la Proposta così com’è presenta alcune aree di miglioramento, per garantire trasparenza e rispetto dei diritti fondamentali.
Innanzitutto, è importante chiarire il ruolo delle autorità di protezione dei dati (DPA, Data Protection Authority) nelle sandbox UE. Attualmente la Proposta non specifica come queste autorità dovrebbero partecipare alla supervisione dei trattamenti di dati personali all’interno delle sandbox.
L’EDPB e l’EDPS chiedono, quindi, che le DPA competenti siano associate all’operatività e alla vigilanza, con poteri chiari e modalità operative definite, evitando incertezze legali.
Le Autorità suggeriscono anche di dare all’EDPB un ruolo consultivo per coordinare l’azione delle diverse DPA e garantire coerenza nell’applicazione delle norme sulla protezione dei dati.
Inoltre, l’EDPB dovrebbe ottenere lo status di osservatore presso l’European AI Board, così da poter intervenire in tutte le discussioni relative ai dati personali nelle sandbox UE.
Va chiarita anche la distinzione tra sandbox: quelle destinate alle istituzioni, organi, uffici o agenzie UE – gestite dall’EDPS – devono rimanere separate dalla sandbox UE dell’AI Office, che è limitata a determinati sistemi AI. In questo modo si evita confusione su quale autorità supervisioni ciascun sistema.
Infine, l’EDPB e l’EDPS sottolineano l’importanza di definire come le DPA partecipano concretamente e come coordinare la cooperazione tra autorità nazionali e UE. Senza regole operative chiare, il rischio è di compromettere la tutela dei dati, vanificando il beneficio innovativo delle sandbox.
In sintesi, le sandbox UE rappresentano una grande opportunità per sperimentare e innovare in sicurezza, ma il loro successo dipenderà dalla chiarezza dei ruoli, dalla partecipazione delle DPA e dal coordinamento a livello europeo, così da bilanciare innovazione e protezione dei diritti fondamentali.
AI literacy e tempistiche: due avvertimenti finali
Due elementi meritano una particolare attenzione da parte di chi sviluppa e utilizza sistemi AI.
Primo, l’AI literacy. I provider e i deployer devono continuare a garantire che il loro personale abbia una conoscenza approfondita dei sistemi AI, comprendendo sia i concetti tecnici sia le implicazioni etiche e sociali.
Non si tratta di un obbligo formale sterile, una corretta formazione infatti permette di sviluppare consapevolezza critica, di comprendere i rischi e i benefici della tecnologia e di prendere decisioni informate in ogni fase del ciclo di vita dei sistemi AI.
L’EDPB e l’EDPS sottolineano che eventuali iniziative pubbliche o linee guida della Commissione possono solo affiancare questa responsabilità, ma non sostituirla. In altre parole, l’impegno reale resta dei fornitori e dei deployer.
Secondo, le tempistiche di applicazione delle regole per i sistemi ad alto rischio. La Proposta prevede un rinvio delle scadenze fino a dicembre 2027 o agosto 2028, ma le Autorità evidenziano il rischio che questi ritardi possano compromettere la tutela dei diritti fondamentali, considerando la rapidissima evoluzione della tecnologia AI.
Alcune regole essenziali, come quelle relative alla trasparenza dei sistemi, dovrebbero entrare in vigore senza slittamenti, per garantire che cittadini, istituzioni e operatori abbiano subito chiari strumenti di controllo e responsabilità.
L’EDPB e l’EDPS invitano quindi a valutare caso per caso quali obblighi possano rispettare le tempistiche originarie e a prevedere azioni coordinate della Commissione e degli stakeholder per minimizzare eventuali ritardi.
