Digital Omnibus: i testi della proposta della Commissione UE

La Commissione UE ha divulgato la propria proposta legislativa denominata “Digital Omnibus”, volta a semplificare e consolidare il quadro normativo digitale UE, intervenendo su un insieme molto articolato di regolamenti e direttive che, nel tempo, hanno generato sovrapposizioni, incoerenze applicative e costi di conformità elevati per imprese e amministrazioni pubbliche.

La Commissione intende in particolare alleggerire gli oneri, mantenendo invariati standard e obiettivi, e rendendo il quadro digitale più coerente, chiaro e favorevole all’innovazione, anche alla luce del crescente peso economico dei dati e dello sviluppo dell’intelligenza artificiale nel mercato unico

Il Consiglio europeo aveva infatti ripetutamente richiesto alla Commissione di riesaminare il diritto UE, per individuare ulteriori ambiti di semplificazione e consolidamento, insistendo sull’importanza di una legislazione fondata sul principio della semplicità “by design”, senza compromettere prevedibilità e tutela degli obiettivi politici fissati dall’Unione.

Inoltre, nell’ambito delle consultazioni relative alla semplificazione normativa, diversi portatori d’interesse hanno chiesto modifiche mirate ad alcune norme digitali, al fine di ridurre i costi di conformità e chiarire le interazioni tra i diversi testi normativi.

Considerato il ruolo cruciale del settore ICT nel guidare la competitività europea, la Commissione ha avviato un esame sistematico del quadro digitale (“digital rulebook”) per verificarne l’idoneità a sostenere innovazione e crescita, proponendo interventi capaci di semplificare e rafforzarne l’efficacia, anche tramite adeguamenti regolamentari, cooperazione tra autorità e strumenti digitali che facilitino la conformità normativa.

Il contenuto della proposta Digital Omnibus

La proposta di regolamento “Digital Omnibus” rappresenta il primo passo di questa strategia, poiché introduce modifiche tecniche a un ampio corpus di legislazione digitale, con l’obiettivo immediato di ridurre costi e complessità per imprese, amministrazioni e cittadini, salvaguardando gli standard esistenti e migliorando la competitività.

La proposta interviene su numerosi atti legislativi, modificandone alcuni ed abrogandone altri, per risolvere criticità ricorrenti emerse nelle consultazioni: duplicazioni di regimi, definizioni non allineate, sovraccarico amministrativo, incertezza giuridica, difficoltà di gestione della compliance tra GDPR, ePrivacy, Data Act e Data Governance Act.

L’obiettivo è garantire che le norme digitali continuino a sostenere competitività e innovazione, evitando che la complessità normativa diventi un ostacolo al mercato unico digitale.

In particolare, vengono modificati:

• il Regolamento (UE) 2016/679 (GDPR), con chiarimenti sulle definizioni, sugli obblighi informativi, sulla disciplina dei data breach e sul trattamento di dati per finalità di addestramento di sistemi di IA
• il Regolamento (UE) 2018/1724 (Single Digital Gateway), per adeguare riferimenti e interazioni con i nuovi regimi di condivisione dei dati
• il Regolamento (UE) 2018/1725 (ovvero la normativa privacy applicabile solo alle istituzioni UE), armonizzandolo con le modifiche al GDPR
• il Regolamento (UE) 2023/2854 (Data Act), profondamente rivisto per integrare e consolidare le disposizioni di tre atti (Reg. 2018/1807, Reg. 2022/868, Dir. 2019/1024), per riformare la disciplina sulla condivisione dei dati pubblici e per calibrare obblighi su trade secrets, smart contracts, switching tra servizi cloud e regole B2G in emergenza
• il Regolamento (UE) 2024/1689 (AI Act), oggetto di modifiche contestuali (in proposta separata – qui allegata – ma parte del pacchetto Digital Omnibus)
• la Direttiva 2002/58/CE (ePrivacy), con un riassetto complessivo del rapporto con il GDPR, per risolvere la frammentazione tra cookie, consenso e trattamento dei dati tratti dai terminali
• la Direttiva (UE) 2022/2555 (NIS2) e la Direttiva (UE) 2022/2557 (CER), adeguate alla creazione dell’unico punto di segnalazione degli incidenti.

Vengono inoltre abrogati, al fine di eliminare stratificazioni normative e ridurre il numero di testi applicabili, consolidando le regole in un quadro più coerente:

• il Regolamento (UE) 2018/1807 (Free Flow of Non-Personal Data)
• il Regolamento (UE) 2019/1150 (P2B), superato da DMA e DSA
• il Regolamento (UE) 2022/868 (Data Governance Act), assorbito nel Data Act
• la Direttiva (UE) 2019/1024 (Open Data Directive), trasposta nel Data Act.

Le riforme sono volte, in estrema sintesi, a:

• chiarire le regole sul trattamento dei dati e sul loro riutilizzo, fino alla creazione di un unico quadro normativo per i dati pubblici e protetti
• semplificare il regime dei cookie e delle interazioni fra GDPR ed ePrivacy
• ridurre i costi derivanti da obblighi duplicati di incident reporting, sostituiti da un single-entry point
• fornire maggiore protezione alle imprese rispetto alla divulgazione di segreti commerciali in contesti di data sharing
• garantire un miglior coordinamento fra norme su IA, dati e cybersicurezza
• sostenere PMI e small mid-caps attraverso esenzioni o regimi più leggeri.

L’intero pacchetto ha carattere tecnico ma rappresenta una riforma sostanziale, perché consolida la struttura del diritto digitale europeo e apre la strada al più ampio “Digital Fitness Check”.

Le proposte di modifica all’AI Act

La Commissione UE, nell’ambito della proposta Digital Omnibus, propone inoltre specifiche misure di semplificazione nell’ambito dell’AI Act, al fine di garantire un’attuazione tempestiva, fluida e proporzionata di alcune disposizioni del regolamento, tra cui:

• collegare i tempi di attuazione delle norme ad alto rischio alla disponibilità di standard o altri strumenti di supporto
• estendere le semplificazioni normative concesse alle piccole e medie imprese (PMI) alle piccole imprese a media capitalizzazione (SMC), inclusi requisiti semplificati in materia di documentazione tecnica e una particolare attenzione nell’applicazione delle sanzioni
• richiedere alla Commissione e agli Stati membri di promuovere l’alfabetizzazione in materia di IA, anziché imporre obblighi non specificati a fornitori e utilizzatori di sistemi di IA in questo ambito, mentre rimangono gli obblighi di formazione per gli utilizzatori ad alto rischio
• offrire maggiore flessibilità nel monitoraggio post-commercializzazione, eliminando la prescrizione di un piano di monitoraggio post-commercializzazione armonizzato
• ridurre l’onere di registrazione per i fornitori di sistemi di IA utilizzati in aree ad alto rischio, ma per i quali il fornitore ha concluso che non sono ad alto rischio in quanto utilizzati solo per compiti specifici o procedurali
• centralizzare la supervisione su un gran numero di sistemi di IA basati su modelli di IA generici o integrati in piattaforme online e motori di ricerca di grandi dimensioni presso l’Ufficio per l’IA
• facilitare il rispetto delle leggi sulla protezione dei dati consentendo ai fornitori e agli utilizzatori di tutti i sistemi e modelli di IA di elaborare categorie speciali di dati personali, per garantire il rilevamento e la correzione di pregiudizi, con le opportune garanzie
• un uso più ampio di sandbox normative per l’IA e di test in condizioni reali, che andranno a beneficio di settori chiave europei come l’industria automobilistica, e facilitando una sandbox normativa per l’IA a livello UE, che l’Ufficio per l’IA istituirà a partire dal 2028
• modifiche mirate che chiariscano l’interazione tra la legge sull’IA e altre normative dell’UE e adeguino le procedure della legge sull’IA per migliorarne l’attuazione e il funzionamento complessivi.

La Commissione ricorda, inoltre, che sta adottando ulteriori misure per facilitare il rispetto della legge sull’IA e rispondere alle preoccupazioni sollevate dalle parti interessate: sono in preparazione, in particolare, ulteriori orientamenti, incentrati sull’offerta di istruzioni chiare e pratiche per l’applicazione della legge sull’IA parallelamente ad altre normative dell’UE.

Tra questi figurano:

• Orientamenti sull’applicazione pratica della classificazione ad alto rischio dei sistemi di IA
• Orientamenti sull’applicazione pratica degli obblighi di trasparenza previsti dall’art. 50 della legge sull’IA
• Orientamenti sulla segnalazione di incidenti gravi da parte dei fornitori di sistemi di IA ad alto rischio
• Orientamenti sull’applicazione pratica dei requisiti ad alto rischio
• Orientamenti sull’applicazione pratica degli obblighi per i fornitori e gli utilizzatori di sistemi di IA ad alto rischio
• Orientamenti con un modello per la valutazione d’impatto sui diritti fondamentali
• Orientamenti sull’applicazione pratica delle norme in materia di responsabilità lungo la catena del valore dell’IA
• Orientamenti sull’applicazione pratica delle disposizioni relative alle modifiche sostanziali
• Orientamenti sul monitoraggio post-commercializzazione dei sistemi di IA ad alto rischio
• Linee guida sugli elementi del sistema di gestione della qualità a cui le PMI possono conformarsi in modo semplificato
• Linee guida sull’interazione della legge sull’intelligenza artificiale con altre normative UE, come:
  • linee guida congiunte della Commissione e dell’EDPB sull‘interazione della legge sull’intelligenza artificiale e del GDPR
  • linee guida sull’interazione tra la legge sull’intelligenza artificiale e il Cyber ​​Resilience Act
  • linee guida sull’interazione tra la legge sull’intelligenza artificiale e il regolamento macchine
  • linee guida sulle competenze e sulla procedura di designazione degli organismi di valutazione della conformità (da designare ai sensi dell’AI Act).