La semplificazione delle regole europee sull’intelligenza artificiale è possibile, ma non può trasformarsi in un arretramento nella tutela dei diritti fondamentali. È questo il messaggio centrale del Parere congiunto adottato il 21 gennaio 2026 da EDPB e EDPS sulla proposta della Commissione europea relativa al Digital Omnibus sull’IA, il pacchetto pensato per semplificare e rendere più fluida l’attuazione dell’AI Act.
Il parere si colloca in un passaggio delicato della strategia digitale europea. L’AI Act è entrato in una fase operativa complessa, in cui le imprese – soprattutto PMI e startup – chiedono certezze, tempi chiari e riduzione degli oneri amministrativi. Ma proprio in questa fase, avvertono le Autorità della privacy, il rischio è che la semplificazione venga usata come scorciatoia per indebolire i presidi di responsabilità.
Semplificare sì, ma senza svuotare le garanzie
EDPB ed EDPS riconoscono apertamente che l’attuazione dell’AI Act presenta difficoltà concrete. Il quadro normativo è articolato, il panorama tecnologico evolve rapidamente e molte organizzazioni faticano a orientarsi tra obblighi, classificazioni di rischio e procedure di conformità.
Per questo le Autorità guardano con favore all’obiettivo dichiarato del Digital Omnibus: alleggerire i carichi amministrativi e rendere più efficace l’applicazione delle regole. Ma pongono una linea rossa chiara: la semplificazione non può tradursi in una riduzione della protezione degli individui, soprattutto quando i sistemi di IA incidono su diritti, libertà e opportunità delle persone.
Come ha sottolineato la presidente dell’EDPB Anu Talus, innovazione ed efficienza possono convivere con la responsabilità dei fornitori di IA, a patto che le Autorità per la protezione dei dati restino centrali nella supervisione dell’uso dei dati personali.
Dati sensibili e bias: una soglia da definire meglio
Uno dei passaggi più critici riguarda l’estensione della possibilità di trattare categorie particolari di dati personali – come quelli relativi alla salute o all’origine etnica – per individuare e correggere i bias nei sistemi di IA.
La proposta della Commissione amplia questa facoltà a fornitori e utilizzatori di qualsiasi sistema o modello di IA, purché siano previste adeguate salvaguardie. EDPB ed EDPS chiedono però un chiarimento decisivo: l’uso di questi dati deve essere limitato a situazioni circoscritte, in cui il rischio di effetti discriminatori sia realmente grave e dimostrabile.
Il punto è politico prima ancora che tecnico. Senza confini chiari, la lotta ai bias rischia di diventare una giustificazione generale per ampliare il trattamento di dati estremamente sensibili, con conseguenze difficili da controllare sul piano dei diritti fondamentali.
Registrazione dei sistemi ad alto rischio: perché toglierla è un errore
Altro nodo centrale è la proposta di eliminare l’obbligo di registrazione per i sistemi di IA che rientrano formalmente nelle categorie ad alto rischio, ma che i fornitori ritengono di fatto “non ad alto rischio”.
Secondo EDPB ed EDPS, questa modifica comprometterebbe uno dei pilastri dell’AI Act: la responsabilità e la trasparenza. Consentire ai fornitori di auto-escludersi dalla registrazione creerebbe un incentivo perverso a chiedere esenzioni eccessive, riducendo il controllo pubblico e la possibilità di vigilanza effettiva.
In un sistema fondato sul rischio, ricordano le Autorità, la classificazione non può diventare un esercizio discrezionale privo di verifiche esterne.
Sandbox europei: opportunità, ma con supervisione forte
Il parere è invece positivo sulla creazione di sandbox regolatori sull’IA a livello UE, pensati per favorire la sperimentazione e sostenere l’innovazione, in particolare per PMI e startup.
Ma anche qui, il sostegno è condizionato. Per garantire certezza giuridica e fiducia, le Autorità per la protezione dei dati devono essere coinvolte direttamente nella supervisione dei trattamenti di dati personali all’interno delle sandbox. Inoltre, l’EDPB dovrebbe avere un ruolo consultivo e lo status di osservatore nel futuro Consiglio europeo per l’Intelligenza artificiale, così da assicurare coerenza tra sperimentazione e tutela dei diritti.
Un altro punto sensibile riguarda il ruolo dell’Ufficio IA: secondo EDPB ed EDPS, le sue competenze sui sistemi basati su modelli di IA a uso generale devono essere chiaramente delimitate, evitando sovrapposizioni con la supervisione indipendente dell’EDPS quando sono coinvolte istituzioni e agenzie dell’Unione.
Cooperazione tra autorità: efficienza senza sacrificare l’indipendenza
La proposta di snellire la cooperazione tra autorità per i diritti fondamentali e Autorità di sorveglianza del mercato viene accolta con favore, soprattutto l’idea di un punto di contatto centrale per migliorare l’efficienza.
Tuttavia, le Autorità privacy chiedono di chiarire che le Market Surveillance Authorities svolgano un ruolo amministrativo di raccordo, senza interferire con l’indipendenza e i poteri delle Autorità per la protezione dei dati. Anche qui il messaggio è netto: coordinare non significa subordinare.
Alfabetizzazione all’IA: responsabilità che restano alle organizzazioni
Un passaggio meno visibile ma strategico riguarda l’alfabetizzazione all’IA. EDPB ed EDPS raccomandano di mantenere l’obbligo per fornitori e deployer di garantire che il proprio personale abbia competenze adeguate sui sistemi utilizzati.
Eventuali iniziative della Commissione o degli Stati membri per promuovere l’AI literacy sono utili, ma non possono sostituire la responsabilità diretta di chi sviluppa e utilizza i sistemi. La cultura dell’IA, secondo le Autorità, non è un adempimento formale ma una condizione di sicurezza e responsabilità.
I tempi dell’AI Act: attenzione ai rinvii
Infine, il parere esprime una preoccupazione chiara sul possibile rinvio di alcune disposizioni fondamentali per i sistemi di IA ad alto rischio. In un contesto tecnologico che evolve rapidamente, ritardare obblighi chiave – come quelli di trasparenza – rischia di creare vuoti normativi proprio nella fase più delicata.
EDPB ed EDPS invitano quindi i co-legislatori a valutare se la tempistica originaria possa essere mantenuta almeno per alcuni obblighi essenziali, riducendo al minimo i rinvii.
Un equilibrio ancora da costruire
Il Parere congiunto non è un no alla semplificazione, ma un richiamo alla coerenza del progetto europeo sull’IA. L’Unione vuole essere un laboratorio di innovazione regolata, capace di attrarre investimenti e al tempo stesso proteggere diritti e libertà.
Il Digital Omnibus sull’IA, alla luce delle osservazioni di EDPB ed EDPS, diventa così un banco di prova politico: dimostrare che semplificare non significa deregolare, e che la fiducia nell’intelligenza artificiale passa, inevitabilmente, dalla solidità delle garanzie che la accompagnano.
