Il Digital Omnibus corre veloce: presentato il 19 novembre 2025, sono già in corso i lavori a livello parlamentare; per il versante AI e Digital Omnibus, il relatore principale al Parlamento europeo sarà l’eurodeputato irlandese Michael McNamara, che guiderà i negoziati sulle modifiche all’AI Act.
Tutto bene? Un momento, forse ci stiamo dimenticando la privacy.
In questa corsa (che dovrebbe portare all’approvazione della proposta entro quest’anno) il 21 gennaio è stato pubblicato il parere congiunto 1/2026 dell’European Data Protection Board (EDPB) e dell’European Data Protection Supervisor (EDPS).
L’analisi dei Garanti europei si concentra sui profili più delicati dell’equilibrio tra semplificazione amministrativa e salvaguardia dei diritti fondamentali, in particolare per quanto attiene alle modifiche proposte relativamente all’AI Act. Vediamole in sintesi.
Indice degli argomenti
Cosa cambia nel Digital Omnibus e AI Act sul tema bias e dati sensibili
L’articolo 10, paragrafo 5, dell’AI Act consente, attualmente, ai fornitori di Sistemi AI ad Alto Rischio di trattare eccezionalmente categorie particolari di dati personali (art. 9 GDPR) nella misura strettamente necessaria per garantire il rilevamento e la correzione dei bias, conformemente ai requisiti di cui allo stesso articolo 10 par (2) lett (f) e (g) dell’AI Act.
La proposta del Digital Omnibus introduce invece un nuovo articolo 4a che estenderebbe tale possibilità a tutti i fornitori e utilizzatori di Sistemi e Modelli di IA (non limitandosi quindi ai soli Sistemi ad Alto Rischio). Inoltre il nuovo articolo 4a(1) elimina il riferimento alla stretta necessità, utilizzando il solo termine “necessario”, mentre l’articolo 4a(2) fa riferimento a un trattamento “necessario e proporzionato”.
Il parere Edpb Edps su regole europee AI
EDPB ed EDPS, pur ritenendo appropriata tale estensione della base giuridica, esprimono preoccupazioni significative sui rischi di abuso: chiedono quindi di circoscrivere a situazioni specifiche (quelle sufficientemente gravi) i casi in cui fornitori e utilizzatori possano utilizzare tale base giuridica per sistemi non ad alto rischio.
Nello specifico l’ambito del nuovo articolo 4a(2) dovrebbe rimanere limitato al rilevamento, prevenzione e mitigazione di bias che possano influire sulla salute e sicurezza delle persone, avere impatto negativo sui diritti fondamentali o condurre a discriminazioni vietate dal diritto dell’Unione, come previsto dall’articolo 10(2)(f) e (g) dell’AI Act.
Sandbox UE: come il Digital Omnibus e AI Act incrociano le DPA
Si allargano i sandbox: oggi solo nazionali, domani forse anche comunitari. Il Digital Omnibus propone infatti l’introduzione di un nuovo articolo – il 57 par. 3a – che consente all’AI Office di istituire sandbox a livello comunitario per alcuni Sistemi di IA.
Il problema affrontato dai Garanti Europei riguarda proprio i rapporti con le diverse autorità di protezione dei dati nei singoli Stati membri. Mentre infatti l’attuale articolo 57(10) prevede il coinvolgimento delle DPA nei sandbox nazionali, non esiste disposizione analoga per i sandbox UE. Le Autorità raccomandano di chiarire nell’AI Act che le DPA competenti debbano essere associate ai sandbox UE e coinvolte nella vigilanza del trattamento dati, conformemente agli articoli 55 e seguenti del GDPR.
Rimane poco chiaro come identificare la DPA competente e come ciò si relazioni con il meccanismo di cooperazione GDPR.
Registrazione e documentazione: nel Digital Omnibus e AI Act l’accountability rischia
La proposta prevede l’eliminazione dell’obbligo di registrazione nella banca dati UE per i sistemi ad alto rischio nei casi in cui il fornitore concluda che il sistema – pur essendo menzionato nell’Allegato III dell’AI Act – non sia ad alto rischio ai sensi dell’articolo 6 par. 3 (in forza del quale un sistema di IA dell’Allegato III può essere considerato non ad alto rischio qualora non presenti rischio significativo).
EDPB ed EDPS raccomandano invece, fermamente, di mantenere fermo l’obbligo di registrazione per tutti i provider: ciò in ragione del fatto che tale registrazione garantisce trasparenza e tracciabilità verso il pubblico e le autorità nazionali competenti. Al contrario la soppressione rischierebbe di ridurre significativamente l’accountability dei fornitori e fornirebbe un incentivo indesiderabile a invocare impropriamente l’esenzione senza analisi critica.
Vigilanza dell’AI Office tra Digital Omnibus e AI Act: esclusiva e coordinamento
L’articolo 75 dell’AI Act attribuisce all’AI Office competenza a monitorare e vigilare sui sistemi di IA basati su modelli per finalità generali quando modello e sistema sono sviluppati dallo stesso fornitore. La proposta estende tale competenza esclusiva ai sistemi integrati in piattaforme online di dimensioni molto grandi (VLOP) o motori di ricerca di dimensioni molto grandi (VLOSE) ai sensi del Regolamento (UE) 2022/2065 (Digital Services Act).
EDPB ed EDPS accolgono favorevolmente il requisito di cooperazione attiva tra autorità coinvolte nell’applicazione dell’AI Act previsto dall’articolo 75(1), ultimo comma: tuttavia, evidenziano che tale disposizione potrebbe non essere sufficiente a garantire alle autorità nazionali la possibilità di avviare azioni qualora l’AI Office non abbia agito (data l’esclusività dell’autorità conferita).
Ne consegue che l’AI Office dovrebbe coordinarsi strettamente con i Garanti quando i sistemi presentano rischi per privacy e protezione dati, in conformità all’articolo 8(3) della Carta e all’articolo 2(7) dell’AI Act.
Alfabetizzazione: perché nel Digital Omnibus e AI Act l’obbligo va preservato
Questo è, a parer mio, un tema decisamente delicato, sul quale mi associo in toto alla posizione delle autorità EDPB e EDPS. Mentre ora infatti l’alfabetizzazione è un diretto obbligo legislativo in capo a provider e deployer, la proposta sposterebbe tale obbligo solo in capo alla Commissione e agli Stati membri, i quali sarebbero poi chiamati ad “incoraggiare” provider e deployer a svolgere l’alfabetizzazione stessa.
Si passa cioè da un obbligo di alfabetizzazione a un adempimento quasi volontario. EDPB ed EDPS raccomandano invece di mantenere ferma l’attuale disciplina. L’alfabetizzazione in materia di IA garantisce comprensione dei concetti di IA e sensibilizzazione etica e sociale su benefici e rischi, svolgendo altresì un ruolo chiave nel responsabilizzare chi sviluppa, utilizza o lavora con sistemi di IA, consentendo pensiero critico e processo decisionale informato.
Io concordo: non potremo mai avere una “buona AI” se non capiamo cosa stiamo facendo.
Cooperazione tra autorità: nel Digital Omnibus e AI Act il nodo MSA e FRABs
Veniamo ora alla collaborazione tra autorità (tasto decisamente dolente in questo proliferare di norme). Come noto l’AI Act distingue tra autorità di vigilanza sui Sistemi AI (art. 74 AI Act – c.d. MSA) e autorità che vigilano sui diritti fondamentali (art. 77 AI Act – c.d. FRABs). Nello specifico l’articolo 77 dell’AI Act consente attualmente agli organismi FRABs di richiedere direttamente la documentazione necessaria per la vigilanza agli utilizzatori o fornitori.
La modifica proposta propone di identificare le autorità di vigilanza del mercato (MSA) come intermediari. EDPB ed EDPS sostengono questa proposta a patto di chiarire bene la cooperazione tra MSA e FRABs: più esattamente raccomandano di evidenziare che il ruolo delle MSA sia solo quello amministrativo per esecuzione e trasmissione di richieste, senza alcuna valutazione di necessità o proporzionalità.
La proposta dovrebbe inoltre chiarire che le modifiche non incidono sull’indipendenza e poteri dei Garanti, in particolare sui poteri di ottenere dal titolare e responsabile del trattamento l’accesso a tutte le informazioni necessarie ai sensi dell’articolo 58(1)(e) GDPR e dell’articolo 47(1) della Direttiva (UE) 2016/680.
Tempistiche di attuazione: cosa prevede il Digital Omnibus e AI Act
Da ultimo le tempistiche dell’AI Act. Come sappiamo oggi sono efficaci solo le regole sui Modelli per finalità generali (e comunque ancora con un approccio molto soft). Per i Sistemi di AI ad Alto Rischio l’attuale articolo 113 dell’AI Act stabilisce le seguenti date:
- le disposizioni sui sistemi ad alto rischio dell’Allegato III – 2 agosto 2026
- le disposizioni per i Sistemi Alto Rischio Allegato I – 2 agosto 2027
La proposta passa da termini fissi a termini molto più mobili. Più esattamente per il Digital Omnibus le prescrizioni dell’AI Act troverebbero applicazione 6 o 12 mesi dopo l’emanazione da parte della Commissione di misure adeguate per supportare la conformità dei Sistemi, stabilendo come date limite:
- 2 dicembre 2027 per i sistemi ad alto rischio dell’Allegato III
- 2 agosto 2028 per i sistemi ad alto rischio dell’Allegato I
La Commissione giustifica questo posticipo evidenziando i ritardi nella designazione delle autorità competenti nonché la mancanza di norme armonizzate e strumenti di conformità.
Sebbene l’EDPB e l’EDPS riconoscano che alcuni motivi del ritardo possano essere considerati “almeno parzialmente oggettivi” e non del tutto controllabili dalla Commissione, esprimono sincera preoccupazione per la protezione dei diritti fondamentali in un panorama dell’IA in rapida evoluzione.
In alternativa i due Garanti invitano i co-legislatori a valutare se sia possibile mantenere l’attuale tempistica per alcuni obblighi specifici, come quelli sulla trasparenza, data la diversa natura degli obblighi previsti. Se poi il rinvio dovesse essere effettivamente adottato, l’EDPB e l’EDPS chiedono azioni concertate da parte di tutte le parti interessate, in particolare la Commissione, per ridurre al minimo possibile questo ritardo.
Conclusioni: il punto di equilibrio tra semplificazione e diritti
Il parere congiunto EDPB-EDPS è molto interessante: si accoglie infatti chiaramente la necessità di semplificare suggerendo però soluzioni diverse, ritenute più congrue per la tutela dei diritti fondamentali.
È un messaggio molto importante perché un maggior bilanciamento tra semplificazione e garanzie sostanziali è ciò che chiede il Rapporto Draghi 2024 ed è forse l’unica strada che abbiamo per coniugare diritti e competitività. È un “nuovo” modello che il legislatore europeo e i legislatori nazionali farebbero bene a seguire nell’attuazione definitiva dell’AI Act: infatti solo se riusciamo ad avere un approccio che coniughi efficienza operativa e tutela robusta dei diritti fondamentali sarà possibile realizzare l’ambizione dell’Unione di guidare lo sviluppo di un’intelligenza artificiale antropocentrica.
