Introduzione
Il 20 gennaio 2026, le autorità europee per la protezione dei dati hanno lanciato un avvertimento chiaro alla Commissione europea: semplificare l’AI Act è legittimo, ma non può avvenire a scapito dei diritti fondamentali. Il Parere Congiunto EDPB-EDPS 1/2026 si esprime sulla proposta di Digital Omnibus on AI, un pacchetto di modifiche volto a facilitare l’implementazione del Regolamento sull’intelligenza artificiale, sollevando questioni centrali sull’equilibrio tra innovazione, accountability e protezione dei dati personali.
Perché serve una semplificazione
L’AI Act, primo quadro normativo organico al mondo dedicato all’intelligenza artificiale, si è rivelato complesso nella sua applicazione pratica. Gli Stati membri incontrano difficoltà nella designazione delle autorità competenti, gli standard armonizzati tardano ad arrivare e molte imprese – in particolare le PMI – faticano a orientarsi tra obblighi, scadenze e classificazioni di rischio.
La Commissione europea ha quindi proposto una serie di interventi correttivi per alleggerire gli oneri burocratici e accelerare l’operatività del sistema. Un’esigenza reale che, secondo EDPB ed EDPS, non può però tradursi in un indebolimento delle garanzie costruite dal legislatore europeo.
Dati sensibili e bias algoritmici: il nodo critico
Uno dei punti più delicati riguarda il trattamento dei dati sensibili per individuare e correggere i bias algoritmici. Nella versione attuale dell’AI Act, solo i fornitori di sistemi ad alto rischio possono trattare eccezionalmente tali dati, nella misura “strettamente necessaria”.
La proposta di semplificazione estenderebbe questa possibilità a tutti i sistemi di IA e a tutti i fornitori e deployer, abbassando lo standard da “strettamente necessario” a semplicemente “necessario”.
EDPB ed EDPS accolgono positivamente l’estensione in linea di principio, riconoscendo che i bias non sono esclusivi dei sistemi ad alto rischio. Tuttavia, evidenziano tre criticità:
- l’abbassamento dello standard di necessità rischia di erodere una tutela fondamentale contro abusi nel trattamento di dati particolarmente delicati;
- la deroga deve essere circoscritta a situazioni in cui il rischio di discriminazione sia effettivamente grave;
- la formulazione proposta genera incertezza giuridica, non chiarendo se si tratti di un obbligo o di una mera facoltà.
La lotta ai bias algoritmici è essenziale, ma non può trasformarsi in un lasciapassare generalizzato per il trattamento di dati sensibili senza adeguate garanzie.
La questione della trasparenza e dell’obbligo di registrazione
Altro punto di forte frizione riguarda l’obbligo di registrazione. Attualmente, quando un fornitore ritiene che il proprio sistema non sia ad alto rischio pur essendo incluso nell’Allegato III, deve documentare tale valutazione e registrarla pubblicamente.
La proposta di Digital Omnibus vorrebbe eliminare la registrazione pubblica, mantenendo solo la documentazione disponibile su richiesta delle autorità.
EDPB ed EDPS si oppongono fermamente a questa modifica, sottolineando che la registrazione pubblica:
- consente al pubblico e ai potenziali utilizzatori di verificare le valutazioni dei fornitori;
- permette alle autorità di intervenire in via preventiva;
- introduce una pressione reputazionale che incentiva valutazioni accurate.
Il risparmio stimato di circa 148.500 euro annui a livello europeo è ritenuto del tutto sproporzionato rispetto alla perdita di trasparenza e accountability.
Sandbox europei: innovazione sotto supervisione
La creazione di sandbox regolamentari a livello UE è valutata positivamente come strumento per favorire la sperimentazione, soprattutto per start-up e PMI. Tuttavia, il Parere evidenzia una lacuna rilevante: manca una previsione esplicita sul coinvolgimento delle autorità di protezione dei dati nei sandbox europei.
Mentre nei sandbox nazionali è espressamente previsto il ruolo delle DPA, per quelli europei tale garanzia non è chiara. Le autorità chiedono quindi:
- il coinvolgimento esplicito delle DPA nella supervisione dei sandbox UE;
- la chiarificazione della competenza in scenari transfrontalieri;
- il coordinamento con i meccanismi di cooperazione del GDPR.
In assenza di tali precisazioni, il rischio è quello di creare zone grigie di responsabilità e supervisione.
La competenza dell’AI Office e il ruolo delle DPA
L’estensione della competenza esclusiva dell’AI Office europeo sui sistemi integrati in piattaforme molto grandi può garantire uniformità applicativa, ma solleva interrogativi critici. In particolare, cosa accade se l’AI Office non interviene mentre un’autorità nazionale per la protezione dei dati rileva gravi violazioni del GDPR?
EDPB ed EDPS chiedono che la cooperazione con le DPA non sia lasciata alla prassi, ma sancita come obbligo giuridico, preservando la possibilità di intervento delle autorità nazionali quando necessario.
AI literacy: la formazione come presidio essenziale
Tra le proposte più criticate vi è la trasformazione dell’obbligo di formazione sull’IA da dovere diretto delle organizzazioni a semplice incoraggiamento da parte della Commissione.
Secondo le autorità, l’AI literacy non è un onere burocratico ma un elemento culturale fondamentale. Personale formato significa sistemi migliori, minori errori, maggiore consapevolezza etica. Eliminare l’obbligo equivarrebbe a deresponsabilizzare proprio i soggetti meglio posizionati per garantire un uso corretto dell’intelligenza artificiale.
Il rinvio dell’applicazione delle regole sui sistemi ad alto rischio
Particolarmente problematica è la proposta di rinviare di sei-dodici mesi l’applicazione delle regole sui sistemi ad alto rischio, combinata con l’estensione dell’esenzione per i sistemi già immessi sul mercato.
Le autorità riconoscono le difficoltà operative, ma esprimono forte preoccupazione: ogni mese di ritardo significa più sistemi potenzialmente non conformi in circolazione, in un contesto tecnologico che evolve rapidamente.
Propongono almeno di mantenere la tempistica originaria per gli obblighi di trasparenza, ritenuti meno onerosi ma essenziali per garantire scrutinio pubblico e supervisione.
Conclusioni
Il Parere EDPB-EDPS 1/2026 non rappresenta una chiusura ideologica alla semplificazione, ma una richiesta di equilibrio. Le semplificazioni sono accettabili quando agevolano la compliance senza intaccare i pilastri del sistema: trasparenza, accountability, supervisione indipendente e protezione dei dati sensibili.
Per le imprese, il messaggio è duplice: da un lato, le autorità difenderanno con fermezza diritti fondamentali e competenze istituzionali; dall’altro, esiste l’opportunità di posizionarsi come attori responsabili, investendo in una compliance proattiva e non attendista.
L’AI Act, anche in una versione semplificata, resta il pilastro di un’intelligenza artificiale al servizio dell’umanità. Non esiste vera innovazione senza responsabilità, né competitività sostenibile senza rispetto dei diritti fondamentali.