Il 20 gennaio 2026 il Comitato europeo per la protezione dei dati (“EDPB”) e il Garante europeo della protezione dei dati (“EDPS”) hanno adottato il Parere congiunto 1/2026 sulla proposta di regolamento presentata dalla Commissione europea il 19 novembre 2025, volta a semplificare l’attuazione delle norme armonizzate in materia di intelligenza artificiale, c.d. “Digital Omnibus sull’IA”.
La proposta, come noto, interviene su alcune disposizioni del Regolamento (UE) 2024/1689 (“AI Act”) principalmente al fine di semplificare gli adempimenti per le piccole-medie imprese, migliorare il coordinamento di tale quadro normativo con altri framework legali, tra cui quello in materia di protezione dei dati personali, nonché, proprio sotto tale profilo, facilitare la compliance al Regolamento (UE) 2016/679 (“GDPR”) permettendo ai fornitori e deployer di qualsiasi sistema di IA di trattare dati appartenenti a particolari categorie (di cui all’art. 9, GDPR) per finalità di rilevamento e correzione dei bias. Rispetto a tali punti, in via generale, i Garanti si dimostrano favorevoli nel sostenere l’obiettivo di affrontare le difficoltà emerse nella fase iniziale di implementazione, ma sollevano diverse preoccupazione sulle modifiche proposte che rischiano di abbassare pericolosamente gli standard di protezione dei dati personali. Nel prosieguo verranno dunque analizzate le principali modifiche su cui è intervenuto il parere.
Trattamento di categorie particolari di dati personali per finalità di rilevamento e correzione dei bias dell’IA
Uno dei temi più delicati, come anticipato, riguarda la proposta che mira ad introdurre un nuovo articolo 4 bis, in sostituzione dell’articolo 10, paragrafo 5, che consentirebbe, se necessario, il trattamento di categorie particolari di dati personali da parte dei fornitori e dei deployer di tutti i sistemi e modelli di IA, fatte salve le garanzie appropriate specificate nel progetto di proposta che integrano il GDPR (secondo le proposte di modifica apportate all’art. 9, GDPR, di cui si è parlato nel precedente articolo). Pertanto, la proposta estenderebbe l'ambito di applicazione materiale e soggettivo dell’articolo 10, paragrafo 5, della legge sull’IA a tutti i sistemi e modelli di IA e coprirebbe anche i deployer. Le autorità riconoscono che la possibilità di individuare e correggere distorsioni algoritmiche può contribuire a prevenire effetti discriminatori e a rafforzare la sicurezza dei sistemi. Tuttavia, ricordano che il trattamento di dati sensibili costituisce un’eccezione al regime generale di divieto previsto dal diritto europeo in materia di protezione dei dati, pertanto, EDPB ed EDPS raccomandano di mantenere il requisito della “stretta necessità” e sottolineano la necessità di circoscrivere chiaramente i casi in cui tale trattamento può essere considerato giustificato.
Registrazione e documentazione
Un secondo profilo oggetto di rilievo concerne la proposta di eliminare l’obbligo di registrazione, nella banca dati europea, di alcuni sistemi di intelligenza artificiale che, pur rientrando tra quelli indicati nell’allegato III dell’AI Act, siano qualificati dal fornitore come non ad alto rischio. Secondo le autorità, l’obbligo di registrazione (come previsto dagli articoli 6, paragrafo 3, e 49, paragrafo 2, dell’attuale testo dell’AI Act) rappresenta uno strumento essenziale per garantire trasparenza e accountability, in quanto consente sia al pubblico sia alle autorità competenti di conoscere le valutazioni effettuate dai fornitori e di intervenire tempestivamente qualora emergano criticità. Ad avviso dei Garanti, pertanto, sebbene i fornitori sarebbero comunque tenuti a documentare la loro valutazione per cui l’IA non è ad alto rischio, prima che tale sistema sia immesso sul mercato o messo in servizio, e a mettere la documentazione a disposizione delle autorità nazionali competenti su richiesta, ciò non sarebbe sufficiente se non accompagnato dalla registrazione.
Sandbox normativi a livello europeo
Particolare rilievo è attribuito alla proposta di istituire sandbox normativi per l’intelligenza artificiale anche a livello dell’Unione europea. EDPB ed EDPS accolgono favorevolmente questa iniziativa, riconoscendo che tali strumenti possono contribuire a promuovere l’innovazione e a facilitare lo sviluppo e la sperimentazione di sistemi di IA, anche da parte delle piccole e medie imprese. Le autorità evidenziano, tuttavia, che la proposta, a differenza di quanto previsto per i sandbox nazionali, non chiarisce espressamente il ruolo delle autorità di protezione dei dati nella supervisione dei trattamenti di dati personali effettuati nell’ambito dei sandbox europei. EDPB ed EDPS rilevano inoltre che la proposta non definisce in modo sufficientemente chiaro quale autorità di protezione dei dati debba essere considerata competente nei casi in cui il sandbox coinvolga più Stati membri, né come tale competenza si coordini con il meccanismo di cooperazione previsto dal GDPR. Secondo le autorità, tali aspetti dovrebbero essere chiariti espressamente nella legge, per evitare incertezze giuridiche e garantire un’applicazione coerente della normativa in materia di protezione dei dati personali.
Supervisione e applicazione da parte dell’Ufficio AI
Il parere affronta anche la questione della supervisione dei sistemi basati su modelli di IA per uso generale. La proposta attribuisce all’Ufficio IA una competenza esclusiva su alcune categorie di sistemi, in particolare quando il modello e il sistema sono sviluppati dallo stesso fornitore o quando sono integrati in piattaforme online di grandi dimensioni. EDPB ed EDPS riconoscono i vantaggi di una supervisione centralizzata ma evidenziano la necessità di garantire un adeguato coordinamento con le autorità di protezione dei dati.
Alfabetizzazione AI
Le autorità si soffermano anche sul tema dell’alfabetizzazione in materia di intelligenza artificiale. La proposta prevede di trasformare l’attuale obbligo, in capo ai fornitori e agli utilizzatori, di garantire un adeguato livello di formazione del personale, in un obbligo per la Commissione e per gli Stati membri di “incoraggiare” tali attività. Secondo EDPB ed EDPS, una simile modifica rischierebbe di indebolire significativamente il sistema di garanzie previsto dall’AI Act. L’alfabetizzazione in materia di IA è infatti considerata un elemento fondamentale per assicurare un uso consapevole e responsabile di queste tecnologie e per garantire il rispetto dei diritti fondamentali lungo l’intero ciclo di vita dei sistemi.
Avv. Lorenzo Baudino Bessone e Dott.ssa Giulia Gitto
