Introduzione
La Commissione Europea ha presentato il Digital Package on Simplification, un’iniziativa ambiziosa che punta a semplificare e razionalizzare l’intero sistema di regolamenti digitali dell’Unione Europea. Questo progetto si compone di due proposte principali: il Digital Omnibus for the digital acquis, focalizzato sulla governance dei dati, e il Digital Omnibus on AI Act, dedicato all’intelligenza artificiale.
L’obiettivo? Ridurre la complessità normativa che negli ultimi anni si è stratificata attraverso l’adozione di GDPR, Data Act, AI Act e numerose altre normative, creando sovrapposizioni e oneri spesso insostenibili, soprattutto per le piccole e medie imprese.
Perché Serve una Semplificazione?
Negli ultimi anni, l’Unione Europea ha costruito un sistema normativo digitale all’avanguardia, ma estremamente complesso. Le aziende si trovano a dover gestire molteplici obblighi derivanti da regolamenti diversi: notifiche multiple per lo stesso incidente, definizioni non uniformi degli stessi concetti, procedure burocratiche duplicate. Questa frammentazione genera incertezza giuridica e costi elevati, penalizzando in particolare le imprese più piccole.
Le Principali Novità
Consolidamento Normativo
Una delle innovazioni più significative è l’integrazione di tre atti normativi (Data Governance Act, Regolamento sulla Libera Circolazione dei Dati e Direttiva sui Dati Aperti) in un unico testo: il Data Act. Questo consolidamento elimina sovrapposizioni e garantisce maggiore coerenza nell’applicazione delle norme sul riutilizzo dei dati pubblici.
Single Entry Point: Un Unico Punto di Accesso
L’istituzione del Single Entry Point (SEP), gestito dall’Agenzia Europea per la Cibersicurezza (ENISA), rappresenta una rivoluzione nella gestione delle notifiche. Il principio è semplice: “report once, share many“. Le aziende potranno effettuare un’unica notifica di incidente attraverso una piattaforma centralizzata, che provvederà automaticamente a inoltrarla alle autorità competenti (GDPR, NIS2, DORA, eIDAS).
Questo meccanismo eliminerà la necessità di notifiche separate a diverse autorità, riducendo drasticamente gli oneri amministrativi.
Modifiche al GDPR
Chiarimenti sulle Definizioni
Il Digital Omnibus chiarisce due concetti fondamentali:
- Dato personale: un’informazione è considerata dato personale solo se l’entità che la detiene dispone di “mezzi ragionevolmente utilizzabili” per identificare la persona. Questo introduce un elemento di proporzionalità nella valutazione.
- Dati relativi alla salute: rientrano in questa categoria solo i dati che rivelano “direttamente” informazioni specifiche sullo stato di salute, escludendo informazioni con implicazioni solo indirette.
Data Breach: Soglia Più Alta
Una delle modifiche più rilevanti riguarda la notifica delle violazioni di dati. Attualmente, il GDPR richiede la notifica quando la violazione è “suscettibile di presentare un rischio” per i diritti delle persone. La nuova proposta eleva questa soglia a “rischio elevato“, allineandola alla comunicazione agli interessati. Inoltre, il termine per la notifica passa da 72 a 96 ore.
Questa modifica alleggerirà il carico delle autorità di controllo, permettendo loro di concentrarsi sulle violazioni più gravi, ma solleva preoccupazioni sulla trasparenza per gli incidenti di minore gravità.
Cookie e Tracciamento
Il Digital Omnibus rivoluziona la gestione dei cookie, trasferendo le regole dalla Direttiva ePrivacy direttamente al GDPR. Le novità principali:
- Possibilità di esprimere preferenze attraverso impostazioni automatiche del browser
- Durata massima del consenso di 6 mesi, dopo i quali non serve richiederlo nuovamente
- Possibilità di usare il legittimo interesse per il marketing diretto, con diritto di opposizione semplificato
Articolo 9: Dati Sensibili e Intelligenza Artificiale
Le modifiche all’Articolo 9 sul trattamento delle categorie particolari di dati (origine etnica, salute, orientamento sessuale, ecc.) sono tra le più controverse:
- Il divieto si applica solo ai dati che rivelano “direttamente” attributi sensibili
- Nuova deroga per il “trattamento residuale” di dati sensibili nello sviluppo di sistemi di IA, purché non necessari allo scopo principale
- Possibilità di trattare dati sensibili per il rilevamento e la correzione dei bias algoritmici
Queste disposizioni sollevano preoccupazioni: il concetto di “trattamento residuale” appare vago e potrebbe legittimare trattamenti invasivi senza adeguate garanzie.
Intelligenza Artificiale
Il Digital Omnibus introduce importanti semplificazioni per l’AI Act:
- Estensione dei privilegi: le agevolazioni già previste per le PMI vengono estese alle Small Mid-Cap (imprese con 250-499 dipendenti)
- Base giuridica chiara: il legittimo interesse viene riconosciuto esplicitamente come base giuridica appropriata per l’addestramento di sistemi di IA, con diritto incondizionato di opposizione per gli interessati
- Riduzione degli obblighi: eliminazione dell’obbligo di registrazione per i sistemi classificati ad alto rischio ma esclusi per compiti procedurali limitati
Questioni Aperte e Criticità
Il Bilanciamento Difficile
Il Digital Omnibus si trova a dover bilanciare due esigenze contrapposte: ridurre gli oneri burocratici per favorire l’innovazione, mantenendo al contempo elevati standard di protezione dei diritti fondamentali.
Diverse disposizioni sollevano interrogativi:
- La restrizione dell’Articolo 9 tramite il criterio della “rivelazione diretta” potrebbe escludere dalla protezione speciale trattamenti basati su inferenze algoritmiche
- La deroga per il trattamento residuale di dati sensibili nell’IA appare eccessivamente ampia
- L’innalzamento della soglia per i data breach potrebbe ridurre la trasparenza
La Dimensione Geopolitica
Il Digital Omnibus può essere interpretato anche come risposta alle pressioni internazionali, soprattutto statunitensi, che criticano l’approccio europeo come eccessivamente rigido. La sfida per l’Europa è mantenere la propria leadership nella definizione di standard globali di protezione dei diritti, senza compromettere la competitività delle proprie imprese.
Conclusioni
Il Digital Omnibus Package rappresenta un momento cruciale per il diritto digitale europeo. Se da un lato le semplificazioni proposte (consolidamento normativo, Single Entry Point, chiarimenti interpretativi) rispondono a esigenze reali e giustificate, dall’altro alcune modifiche rischiano di indebolire le garanzie per gli interessati.
Il successo di questa riforma dipenderà dalla capacità del legislatore di preservare l’equilibrio tra innovazione e tutela dei diritti. Nei prossimi mesi, il dibattito in Parlamento Europeo e Consiglio sarà determinante per definire se l’Unione Europea riuscirà a mantenere il proprio modello di regolazione digitale, fondato sulla tutela rigorosa dei diritti fondamentali, oppure convergerà verso approcci meno protettivi e più orientati alle esigenze dell’industria tecnologica.
Le scelte che verranno compiute in questa fase segneranno il futuro della protezione dei dati personali e dello sviluppo dell’intelligenza artificiale in Europa per gli anni a venire.