La Commissione europea ha recentemente presentato l’attesissima proposta legislativa di semplificazione del quadro normativo digitale e dell’AI Act (“Digital Omnibus”), ponendo le basi per una nuova era di governance digitale più flessibile in tutta l’Unione Europea. Secondo la Commissione, l’obiettivo del Digital Omnibus, che fa seguito ad una consultazione pubblica, è consentire alle imprese europee di poter innovare e accrescere la competitività dell’UE in uno scenario meno complesso di conformità normativa.
Il Digital Omnibus è integrato dalla c.d. Data Union Strategy e dalla proposta di European Business Wallet , entrambe volte a semplificare la capacità delle organizzazioni di condurre attività commerciali in tutti gli Stati membri dell’UE. Il Digital Omnibus incide su diverse normative europee, tra le quali il GDPR, la Direttiva E-privacy, la Direttiva del Parlamento europeo e del Consiglio relativa a misure per un elevato livello comune di sicurezza informatica in tutta l’UE (NIS2); il Data Act e Data Governance ACT, l’AI Act e la normativa per l’identità digitale. Di seguito, si segnalano le principali proposte di modifiche e/o integrazioni. Punto unico di segnalazione degli incidenti di sicurezza informatica Una delle proposte chiave del Digital Omnibus è l’introduzione di un punto unico di segnalazione degli incidenti di sicurezza informatica. Attualmente, le aziende che operano nell’UE sono soggette a obblighi sovrapposti nell’ambito di diverse normative, tra cui la NIS2, GDPR e la legge sulla resilienza operativa digitale (DORA), che richiedono ciascuno notifiche separate in caso di incidente informatico. Pertanto, la Commissione propone un’ interfaccia di segnalazione unificata che consente alle imprese di soddisfare tutti i requisiti di notifica degli incidenti attraverso un unico portale sicuro. La Commissione ha dichiarato che l’interfaccia sarà progettata con solide misure di sicurezza e sarà sottoposta a test completi di affidabilità ed efficacia prima del suo lancio. Modifiche al GDPR La Commissione propone modifiche specifiche al GDPR volte, tra cui: estendere il termine per la segnalazione delle violazioni dei dati da 72 a 96 ore; codificare la recente giurisprudenza della Corte di giustizia dell’Unione europea in materia di definizione dei dati personali: le informazioni in possesso di un determinato titolare del trattamento non sono considerati dati personali se quest’ultimo non dispone dei mezzi ragionevolmente idonei a identificare l’individuo; eccezione all’esercizio dei diritti da parte degli interessati : proposta un’esenzione che consente ai titolari del trattamento di rifiutare o addebitare un costo per rispondere alla richiesta di un individuo se “l’interessato abusa dei propri diritti”, ovvero quando tali diritti non vengono utilizzati ai fini della protezione dei dati personali. Non è chiaro in che misura tale esenzione possa essere applicata e se, nella pratica, possa aiutare le organizzazioni ad affrontare i casi in cui le richieste di esercizio dei diritti vengono utilizzate per aggirare le norme sulla riservatezza in caso di contenzioso; informativa privacy : proposta un’esenzione dall’obbligo di fornire informazioni sulla privacy quando i dati sono ottenuti direttamente dall’interessato e vi sono motivi ragionevoli per ritenere che l’interessato sia già in possesso di tali informazioni. Ciò sarebbe soggetto a restrizioni su ciò che il titolare del trattamento può fare con i dati, ad esempio non si applicherebbe al trattamento nell’ambito di un’attività ad alta intensità di dati; modifica articolo 22 GDPR sul trattamento automatizzato di dati personali: chiariscono che le decisioni necessarie per un contratto possono basarsi sull’automazione anche se esiste un’alternativa non automatizzata e l’interessato ha diritto a richiederla. Pertanto, ciò potrebbe ampliare l’uso di strumenti automatizzati nelle relazioni commerciali quotidiane; spostate nel GDPR le norme della direttiva e-privacy : nuovo articolo 88 bis, in base al quale, nella maggior parte dei casi i siti web potrebbero fare affidamento su basi giuridiche più ampie (tra cui il legittimo interesse) piuttosto che sul consenso. Ciò sposta il modello dall’opt-in all’opt-out, con il tracciamento abilitato a meno che gli utenti non si oppongano; chiarire le norme sull’uso dei dati personali per finalità di AI training : sarà possibile avvalersi del legittimo interesse quale base giuridica per l’allenamenti dei sistemi/modelli AI tranne che altre leggi non richiedano il consenso o i diritti degli interessati prevalgano sull’interesse del titolare del trattamento e, in ogni caso, in presenza delle seguenti misure di sicurezza: rispetto del principio di minimizzazione dei dati nell’approvvigionamento, nella formazione e nel collaudo dei sistemi AI; protezione contro il rischio di divulgazione dei dati; maggiore trasparenza; diritto incondizionato di opposizione per gli interessati; sarà permesso il trattamento di dati di categoria particolare per il rilevamento dei c.d. bias in tutti i sistemi AI: i titolari del trattamento possono trattare dati di categorie particolari per il rilevamento e la correzione dei bias nel rispetto di rigorose garanzie (i.e. pseudonimizzazione, cancellazione); semplificare alcuni obblighi amministrativi per le imprese, come l’obbligo di effettuare valutazioni d’impatto sulla protezione dei dati e/o esonero dalla tenuta dei registri del trattamento in alcuni casi. Modifiche alla Direttiva e-privacy, con riferimento ai cookie e altri strumenti di tracciamento La Commissione propone di modernizzare le norme sul consenso ai cookie riducendo la frequenza dei banner sui cookie e consentendo agli utenti di fornire e gestire il consenso attraverso meccanismi con un solo clic e preferenze centralizzate del browser o del sistema operativo (introdotto nel nuovo articolo 88 ter del GDPR). I siti web dovranno riconoscere le preferenze privacy una volta sviluppati gli standard tecnici. Alcuni servizi di media sarebbero esentati dal rispetto di tali segnali per due anni dopo l’entrata in vigore di tali standard. Ove l’utente non presti il proprio consenso al tracciamento tramite cookies, il titolare del trattamento non potrà richiederlo prima che siano trascorsi almeno 6 mesi. Sono previste eccezioni al consenso per il tracciamento tramite cookies: non sarà necessario avvalersi del consenso per finalità strettamente necessarie e a basso rischio, quali ad esempio, la misurazione aggregata dell’audience. Migliore accesso ai dati La Commissione ha annunciato che il Digital Omnibus migliorerà l'accesso ai dati, in particolare semplificando le norme in materia di dati attraverso: consolidamento delle norme dell’UE sui dati tramite il Data Act: il Digital Omnibus consolida le norme dell’UE sui dati tramite il Data Act, fondendo quattro atti legislativi per una maggiore chiarezza giuridica; esenzioni per le PMI e le Small mid caps (SMC): le esenzioni mirate da alcune norme sul cloud switching dovrebbero consentire un risparmio una tantum di 1,5 miliardi di euro; condizioni contrattuali tipo e clausole standard : saranno fornite nuove linee guida per la conformità al Data Act attraverso condizioni contrattuali tipo per l’accesso e l’utilizzo dei dati e clausole contrattuali standard per i contratti di cloud computing; promuovere l’innovazione nell’AI : un migliore accesso a set di dati aggiornati e di alta qualità sosterrà la crescita delle aziende europee che operano nel settore AI e rafforzerà il potenziale di innovazione a livello dell’UE. Modifiche all’AI ACT Il testo impatta anche l’AI ACT, con l’obiettivo di promuovere l’innovazione responsabile proteggendo al contempo la società, la sicurezza e i diritti fondamentali. Le modifiche mirate all’AI ACT includono: tempistica di attuazione collegata agli strumenti di supporto : l’applicazione delle norme sui sistemi di AI ad alto rischio sarà legata alla disponibilità degli standard e degli strumenti di supporto necessari, garantendo che le aziende dispongano delle risorse necessarie per la conformità. Il calendario per l’applicazione di queste norme è fissato a un massimo di 16 mesi e avrà inizio solo dopo che la Commissione avrà confermato che gli strumenti necessari sono disponibili. Una volta che la Commissione avrà preso tale decisione, le organizzazioni avranno sei mesi di tempo per conformarsi. In ogni caso, le norme si applicheranno entro e non oltre il 2 dicembre 2027. Le norme relative ai sistemi ad alto rischio di cui all’Allegato I dovrebbero attualmente applicarsi il 2 agosto 2027 ma il Digital Omnibus concede a tali sistemi, una proroga di un anno dalla data di conferma della disponibilità delle misure di sostegno per la conformità, che inizieranno ad applicarsi entro il 2 agosto 2028 se le proposte saranno accettate; conformità semplificata per le PMI e le SMC : le semplificazioni attualmente disponibili per le PMI saranno estese alle SMC, compresi requisiti di documentazione tecnica semplificati e considerazioni speciali nell’applicazione delle sanzioni; trattamento di dati di categorie particolari : ai fornitori e agli utilizzatori di tutti i sistemi e modelli di IA sarà consentito trattare categorie particolari di dati personali ai fini dell’individuazione e della correzione dei bias, a condizione che siano attuate adeguate misure di salvaguardia, facilitando in tal modo il rispetto delle leggi sulla protezione dei dati; promuovere l’alfabetizzazione AI (c.d. AI literacy) : anziché imporre obblighi vaghi ai fornitori e agli utilizzatori di sistemi AI, la Commissione e gli Stati membri si assumeranno la responsabilità di promuovere l’AI literacy, mantenendo al contempo obblighi di formazione mirati per gli utilizzatori di sistemi di AI ad alto rischio; monitoraggio post-commercializzazione flessibile : ai fornitori sarà offerta una maggiore flessibilità nel monitoraggio post-commercializzazione, eliminando l’obbligo di un piano di monitoraggio post-commercializzazione armonizzato; riduzione degli oneri di registrazione per i fornitori in settori ad alto rischio : i fornitori di sistemi di sistemi AI utilizzati in settori ad alto rischio, ma che vengono implementati solo per compiti limitati o procedurali, beneficeranno di requisiti di registrazione ridotti; supervisione centralizzata dei modelli di AI per finalità generali : l’Ufficio AI rafforzerà i propri poteri e centralizzerà la supervisione su un’ampia gamma di sistemi AI, in particolare quelli basati su modelli AI per finalità generali o integrati in piattaforme online e motori di ricerca di grandi dimensioni, riducendo la frammentazione della governance; ampliamento dei sandbox normativi : le modifiche introducono maggiori opportunità per i sandbox normativi e i test nel mondo reale. L’Ufficio AI istituirà un sandbox normativo UE per l’AI, che sarà disponibile a partire dal 2028; chiarimento dell’interazione legislativa e delle procedure : modifiche mirate chiariranno il rapporto tra l’AI ACT e altre normative UE e adegueranno le procedure previste dalla legge per migliorarne l’attuazione e il funzionamento complessivo.Inizio moduloFine modulo A tal riguardo, si segnala che la Commissione e il Comitato Europeo per la protezione dei dati personali (“EDPB”) stanno lavorando congiuntamente a delle linee guida sul rapporto tra AI ACT e GDPR entro il primo quadrimestre del 2026. Il Digital Omnibus, insieme alla strategia Data Union e all’European Business Wallet, sarà presentato al Parlamento europeo e al Consiglio Europeo per un’ulteriore valutazione e adozione, che potrebbe quindi portare ad eventuali variazioni e/o ulteriori modifiche.