Nel mese di ottobre 2025, il Parlamento europeo ha pubblicato uno studio, commissionato dalla Commissione per l’industria, la ricerca e l’energia (ITRE) del Parlamento europeo, sull’interazione tra l’AI Act e il framework digitale normativo europeo.
Secondo quanto riportato nel documento, lo studio esplora come l’AI Act si rapporti con vari altri testi normativi della legislazione digitale dell’UE. In particolare, sono analizzate le seguenti normative:
- GDPR,
- Data Act,
- Data Governance Act (DGA),
- Digital Services Act (DSA),
- Digital Markets Act (DMA),
- Cybersecurity Act (CSA),
- Cyber Resilience Act (CRA),
- Direttiva NIS 2.
Lo studio valuta possibili sovrapposizioni e lacune tra i diversi atti normativi e l’AI Act e dimostra che la loro interazione crea una significativa complessità regolamentare. Infine, fornisce anche riflessioni e suggerimenti per possibili evoluzioni dell’AI Act e della legislazione digitale dell’UE nel suo complesso, tenendo presente l’obiettivo di garantire che l’Europa possa sviluppare un’industria dell’IA competitiva.
Indice degli argomenti
Le domande chiave e l’ambito di analisi dello studio Ue
Lo scopo dichiarato dello studio è, pertanto, quello di rispondere alle seguenti domande:
• in che modo i requisiti normativi e i meccanismi di enforcement dell’AI Act interagiscono con quelli della legislazione digitale UE?
• in quali modi le sovrapposizioni e le incoerenze esistenti tra l’AI Act e altre normative digitali UE ostacolano lo sviluppo industriale e l’adozione di tecnologie IA emergenti? Come si manifestano tali barriere nei vari settori e lungo i cicli di vita dello sviluppo, dell’implementazione e dell’applicazione?
• quali raccomandazioni specifiche e azioni politiche possono essere proposte per armonizzare l’AI Act con il più ampio quadro legislativo digitale UE?
Nel presente articolo, senza pretesa di esaustività, ci soffermeremo su alcuni aspetti critici relativi all’interazione tra l’AI Act e le seguenti normative: GDPR, Data Act e DGA.
Convergenze e duplicazioni tra AI Act e Gdpr
Rispetto all’interazione con il GDPR, secondo lo studio sono presenti tre dinamiche distinte:
(i) aree di sovrapposizione, dove i due regimi impongono obblighi paralleli o simili (ad esempio, valutazioni ex ante, obblighi di trasparenza e requisiti di sicurezza);
(ii) aree di incoerenza, dove gli obblighi divergono o si ricalibrino a vicenda; e
(iii) lacune, dove nessuno dei due regimi fornisce sufficiente chiarezza su come gli obblighi debbano essere riconciliati nella pratica.
Sovrapposizioni su trasparenza e sicurezza
Ad esempio, quando si tratta di trasparenza e sorveglianza umana, il GDPR impone ai titolari del trattamento di informare gli interessati in merito alla raccolta e all’utilizzo dei loro dati personali, e prevede garanzie nel caso di decisioni basate esclusivamente sul trattamento automatizzato; inoltre, gli interessati hanno la possibilità di esercitare il diritto di accesso. L’AI Act, a sua volta, secondo quanto indicato nello studio, definisce obblighi di informazione e, in casi specifici, attribuisce alle persone interessate sottoposte a decisione adottata dal deployer sulla base dell’output di un sistema di IA il diritto di richiedere determinate informazioni.
Un altro esempio di punto di contatto tra le normative riguarda la sicurezza; infatti, l’articolo 32 del GDPR impone ai titolari del trattamento e ai responsabili del trattamento di implementare misure tecniche e organizzative appropriate per garantire la sicurezza, incluse integrità, riservatezza; l’AI Act, dal canto suo, rispecchia questi obblighi attraverso una prospettiva di sicurezza dei prodotti.
Secondo lo studio del Parlamento europeo, queste disposizioni convergono nell’obiettivo di garantire responsabilizzazione e verificabilità, ma rischiano anche di creare duplicazioni, poiché le organizzazioni devono mantenere strutture parallele di documentazione e registrazione per soddisfare entrambi i regimi.
Le implicazioni del Data Act per i sistemi di IA
Il Data Act e il Data Governance Act mirano a sbloccare il potenziale economico dei dati, e, poiché i sistemi di IA si basano sui dati, possono assumere rilevanza sotto diversi punti di vista.
Rispetto al Data Act, è importante osservare che i sistemi di IA sono intrinsecamente basati sui dati e, quando incorporati in prodotti connessi o servizi correlati, richiedono il rispetto di entrambe le normative.
Ad esempio, una macchina agricola dotata di IA genera dati dei sensori durante l’uso, sui quali l’agricoltore ha diritti di accesso e portabilità ai sensi del Data Act, mentre il produttore deve conformarsi agli obblighi dell’AI Act per garantire la robustezza, l’accuratezza e la tracciabilità degli algoritmi che elaborano tali dati.
L’accesso eccezionale ai dati e i conflitti normativi
Un ulteriore punto di interazione, che potrebbe essere critico, si pone in relazione all’accesso ai dati di enti pubblici sulla base di necessità eccezionali. Ai sensi del Data Act, gli enti pubblici (e alcune istituzioni dell’Unione) possono richiedere l’accesso ai dati detenuti da privati, subordinatamente a rigorosi requisiti di necessità e garanzie, con protezione rafforzata per i segreti commerciali e limiti all’uso. Dall’altra parte, ai sensi dell’AI Act, le autorità di sorveglianza del mercato possono richiedere ai fornitori di consegnare documentazione e, ove appropriato, i dataset di addestramento, validazione, test ai fini della valutazione della conformità e dell’applicazione della normativa.
Lo studio del Parlamento europeo evidenzia che qualora lo stesso operatore sia un “titolare dei dati” ai sensi del Data Act e un “fornitore di sistemi di IA” ai sensi dell’AI Act, le richieste concorrenti potrebbero dover essere riconciliate per rispettare entrambe le normative. La difficoltà consiste nel fatto che, in assenza di coordinamento, gli operatori potrebbero trovarsi ad affrontare obblighi duplicati o persino in contrasto; ad esempio, essere tenuti a condividere lo stesso dataset ai sensi del Data Act con rigorosi limiti al riutilizzo, fornendolo al contempo integralmente a un’autorità di uno Stato membro ai sensi dell’AI Act per verifiche di conformità.
Il ruolo del Data Governance Act nell’ecosistema IA
Rispetto ad una possibile interazione con il DGA, questa potrebbe esserci, in via indiretta, nel caso in cui per rispettare gli obblighi dell’AI Act e usare dati pertinenti, sufficientemente rappresentativi e, nella misura massima possibile, privi di errori e completi in considerazione della finalità prevista del sistema, gli operatori potrebbero valutare di ricorrere a servizi di intermediazione dei dati, disciplinati dal DGA.
Questi sono solo alcuni dei punti trattati nello studio ma che forniscono già alcune indicazioni importanti sull’approccio da adottare quando si affrontato le normative digitali dell’UE.
Verso un approccio coordinato alla regolazione dell’intelligenza artificiale
Come abbiamo riportato sopra, lo studio tocca diversi punti di intersezione tra l’AI Act e le diverse normative digitali dell’UE. Seppur alcune valutazioni e intersezioni evidenziate nello studio possano essere oggetto di critica, il tentativo è utile perché evidenzia la necessità di uno sguardo a 360 gradi per avere contezza degli obblighi della propria organizzazione, evitare duplicazioni e ottimizzare, ove possibile, le azioni per rispettare le normative.
