La Commissione europea ha presentato il suo nuovo pacchetto per il digitale: al centro l’Omnibus Digitale (regolamento), che mira a razionalizzare le norme in materia di intelligenza artificiale, cybersicurezza e dati, una Data union strategy (comunicazione) per sbloccare dati di alta qualità per l’IA, e gli European Business Wallets (regolamento), che intendono offrire alle imprese un’identità digitale unica in tutti gli Stati membri dell’UE. Il pacchetto è pensato per facilitare la conformità, con misure di semplificazione che si stima possano far risparmiare fino a 5 miliardi di euro in costi amministrativi entro il 2029, cui aggiungere altri 150 miliardi di euro di risparmi per le imprese ogni anno grazie agli European Business Wallets, secondo la Commissione.
Omnibus Digitale. Con l’omnibus digitale presentato, la Commissione propone di semplificare le norme esistenti in materia di intelligenza artificiale, cybersicurezza e dati favorendo l’innovazione, con particolare attenzione alla piccole e medie imprese, alle società small mid cap (Smc). In particolare, la Commissione prevede di rinviare di 16 mesi le norme sui sistemi di intelligenza artificiale ad alto rischio, di semplificare la segnalazione degli incidenti informatici e di alleggerire le norme sulla protezione dei dati per facilitare l’addestramento dei modelli AI. Le modifiche inoltre ridurranno il numero di volte in cui saranno visualizzati i banner sui cookie consentendo agli utenti di indicare il consenso con un solo click. Si segnala in inoltre: il rafforzamento dei poteri dell’Ai office e la centralizzazione della vigilanza sui sistemi di Ia basati su modelli IA di uso generale; la semplificazione della segnalazione in materia di cybersicurezza (punto di accesso unificato per le imprese per assolvere tutti gli obblighi di segnalazione degli incidenti attraverso un’ interfaccia unica per diverse normative (fra cui Nis2, Gdpr e il Regolamento sulla resilienza operativa digitale, Dora).
AI Act, nuove scadenze. La Commissione propone di collegare l’entrata in applicazione delle norme che disciplinano i sistemi di IA ad alto rischio alla disponibilità di strumenti di supporto, compresi gli standard necessari, da essere valutati dalla Commissione, con rinvio dell’applicazione fino a un massimo di 16 mesi.
DAL Q&A
La proposta riconosce la difficoltà che i ritardi negli standard e in altri strumenti di supporto comportano per l’attuazione dell’AI Act.
La tempistica per le norme relative all’IA ad alto rischio è allineata alla disponibilità degli standard e degli altri strumenti di supporto. Una volta che la Commissione confermerà che tali strumenti sono sufficientemente disponibili, le norme inizieranno ad applicarsi dopo un periodo di transizione.
Questa flessibilità ha una data limite: le norme per l’IA ad alto rischio in ambiti sensibili come l’occupazione e l’applicazione della legge (Allegato III) si applicheranno comunque al massimo 16 mesi più tardi rispetto a quanto inizialmente previsto; le norme per l’IA ad alto rischio integrata in prodotti come i dispositivi medici (Allegato I) si applicheranno al massimo 12 mesi più tardi.
Questo rallentamento a uno dei capitoli più importanti relativo ai “sistemi ad alto rischio” (fra cui quelli con un potenziale danno per salute, sicurezza, diritti, ambiente e democrazia) fa sì che norme non saranno pienamente applicabili il prossimo anno, ma alla fine del 2027. L’AI Act era entrato in vigore poco più di un anno fa, slitta alla fine del 2027.
GDPR, one-click per i cookies e dati personali per addestrare l’IA. Nell’Omnibus Digitale è stato anche previsto un intervento sulla protezione dei dati personali (GDPR): le società digitali potranno avvalersi dell’interesse legittimo per usarli senza chiedere il consenso espresso degli utenti e sono implementate misure per l la anonimizzazione dei dati.
DAL Q&A
Per quanto riguarda il GDPR, l’Omnibus propone di:
Modernizzare le “regole sui cookie”: gli utenti continueranno a controllare chi può accedere ai loro dispositivi, grazie a un consenso con un solo clic e a impostazioni centralizzate delle preferenze su come desiderano che i loro dati siano condivisi e trattati. Gli aggiornamenti alle “regole sui cookie” ridurranno l’affaticamento da banner
Fornire certezza giuridica e ridurre gli oneri di conformità per le imprese, creando nuove opportunità per generare valore a partire dai dati personali, pur mantenendo intatti i principi fondamentali del GDPR. Le modifiche definiscono l’uso legittimo dei dati personali per l’addestramento dei modelli di IA, garantendo che gli interessi degli utenti siano pienamente considerati e protetti. Inoltre, codificano la giurisprudenza recente su come i set di dati personali possano essere trasformati in dati condivisibili con terze parti senza rivelare l’identità degli interessati.
Le proposte legislative sull’Omnibus Digitale saranno ora presentate al Parlamento europeo e al Consiglio per l’adozione. La Commissione ha inoltre avviato la seconda fase dell’agenda per la semplificazione, con un’ampia consultazione sul controllo dell’adeguatezza digitale aperta fino all’11 marzo 2026.
Secondo alcuni osservatori, l’intervento della Commissione agevolerà troppo i modelli AI delle big tech americane, rendendo più difficile la protezione dei dati personali.
