Digital Omnibus sull’AI: il parere congiunto di EDPB ed EDPS sulla proposta di semplificazione dell’AI Act

Il 19 novembre 2025, la Commissione Europea ha pubblicato la versione finale delle due proposte di regolamento, COM(2025) 837 e COM(2025) 836, presentate nell’ambito del pacchetto “Digital Omnibus”, che intende razionalizzare il corpo normativo digitale dell’Unione.

Nel quadro delle iniziative volte a semplificare e rendere più coerente la regolazione digitale europea la proposta, denominata “Digital Omnibus” (il nome rievoca proprio la sua ampiezza e trasversalità), si propone di intervenire per razionalizzare strumenti quali il Data Governance Act, la Open Data Directive e il Regolamento sul libero flusso dei dati non personali, prevedendo al contempo una revisione di alcune disposizioni del GDPR e della Direttiva ePrivacy. Tra le novità prospettate rientra anche l’istituzione di un meccanismo europeo unico per la notifica degli incidenti (“single-entry point”).

Accanto a tale iniziativa, la proposta “Digital Omnibus on AI”( COM (2025) 836) introduce modifiche mirate ad armonizzare l’implementazione dell’AI Act, con l’obiettivo di chiarire taluni obblighi di natura tecnica e rendere più agevoli le relative procedure operative.

Su tale proposta si sono espressi con il Parere congiunto n. 1/2026 l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS), che hanno analizzato le principali modifiche prospettate e il loro possibile impatto sulla protezione dei dati personali e sul quadro di governance dell’intelligenza artificiale nell’Unione europea segnalando e raccomandando al legislatore europeo alcune cautele.

Semplificazione normativa ed estensione delle agevolazioni alle SMC

La proposta della Commissione si inserisce nel più ampio processo di attuazione dell’AI Act e mira ad affrontare alcune difficoltà applicative emerse nella fase iniziale di implementazione. In particolare, la proposta intende estendere misure di semplificazione già previste esclusivamente per le PMI.

L’EDPB e l’ EDPS sottolineano come le imprese che superano la definizione di micro, piccole e medie imprese (PMI secondo i criteri europei) – le cosiddette small mid-cap enterprises (SMC) – svolgono un ruolo fondamentale nell’economia dell’Unione. Rispetto alle PMI però le SMC tendono a presentare un ritmo di crescita più elevato, nonché livelli più avanzati di innovazione e digitalizzazione. In ragione di ciò , esse affrontano sfide simili a quelle delle PMI in relazione agli oneri amministrativi. Il regolamento (UE) 2024/1689 prevede attualmente diverse misure destinate ai fornitori di piccole dimensioni, che dovrebbero essere estese, secondo le autorità, anche alle SMC per favorire una transizione agevole delle imprese dal segmento delle PMI a quello delle SMC (definizioni tecniche e soglie consultabili nella raccomandazione della Commissione 2003/361/CE e nell’allegato alla raccomandazione della Commissione 2025/3500/CE).

AI literacy e Formazione

L’articolo 4 del regolamento (UE) 2024/1689 impone attualmente a tutti i fornitori e agli utilizzatori (deployers) di sistemi di IA l’obbligo di garantire un adeguato livello di alfabetizzazione in materia di intelligenza artificiale (AI literacy) del proprio personale. 

Secondo le autorità, l’esperienza condivisa dagli stakeholder ha evidenziato che un approccio uniforme (one-size-fits-all) non risulta adeguato per tutte le tipologie di providers e deployers (definizioni ex art 3 reg. UE 2024/1689) nella promozione dell’alfabetizzazione in materia di IA, rendendo tale obbligo orizzontale poco efficace nel perseguire l’obiettivo della disposizione. Inoltre, tale obbligo genera un ulteriore onere di conformità, in particolare per le imprese di dimensioni minori, mentre l’alfabetizzazione in materia di IA dovrebbe costituire una priorità strategica a prescindere da obblighi normativi e possibili sanzioni.

Alla luce di ciò, secondo l’EDPB e l’EDPS, l’articolo 4 del regolamento (UE) 2024/1689 dovrebbe essere modificato al fine di richiedere agli Stati membri e alla Commissione, fatti salvi i rispettivi ambiti di competenza, di incoraggiare i providers (fornitori) e i deployers (utenti finali) a garantire un livello adeguato di alfabetizzazione in materia di IA del proprio personale e di altri soggetti che, per loro conto, operano o utilizzano sistemi di IA.  

Restando, invece, invariati gli obblighi formativi specifici per gli utilizzatori di sistemi ad alto rischio, che continuano a rappresentare un presupposto essenziale per un uso sicuro e responsabile dell’intelligenza artificiale.

Il trattamento dei dati sensibili per individuare e correggere i bias nelle AI ad alto rischio

Uno dei profili più delicati della proposta riguarda il trattamento delle categorie particolari di dati personali per la rilevazione e la correzione di possibili pregiudizi (c.d. bias) nei sistemi di intelligenza artificiale che possono derivare talvolta da una cattiva qualità dei dati o da un cattivo addestramento del modello. L’individuazione e la correzione dei bias costituisce un rilevante interesse pubblico, poiché protegge le persone fisiche dagli effetti negativi dei pregiudizi radicati nel modello, uno di questi effetti è la discriminazione. 

il regolamento (UE) 2024/1689 già prevede una base giuridica (art 10 par.5) che autorizza per le AI ad “alto rischio” (in base alla classificazione dell’AI act stesso) il trattamento di categorie particolari di dati personali ex art. 9, par. 2, lettera g), del reg.EU 2016/679 (c.d. GDPR) solo in presenza di ulteriori garanzie rispetto a quelle previste dalle normative europee[1] e solo se strettamente necessario per rilevare e correggere biases.

Poiché però la discriminazione può derivare anche “ereditandola” da altri sistemi e modelli di IA non classificati come “ad alto rischio”, è opportuno, secondo le autorità, che il regolamento (UE) 2024/1689 preveda una base giuridica per il trattamento delle categorie particolari di dati personali anche da parte dei providers e dei deployers di altri sistemi e modelli di IA diversi da quello ad “alto rischio”. 

Questa conclusione dell’EDPB e dell’EDPS fa riferimento, ad esempio, alla fase di addestramento del modello laddove ciò avviene con l’ausilio di ulteriori sistemi AI, un bias contenuto in questi ulteriori sistemi verrà recepito immediatamente anche dal sistema ad alto rischio se non “corretto” tempestivamente.

Per questo motivo raccomandano di mantenere un criterio di stretta necessità e di garantire adeguate salvaguardie per i diritti e le libertà degli interessati.

Trasparenza e registrazione dei sistemi di intelligenza artificiale

Per i sistemi che ricadono nella classificazione “ad alto rischio” ai sensi dell’art. 6 par.3 dell’AI Act la proposta omnibus elimina l’obbligo di registrazione nella banca dati europea, pur preservando l’obbligo per i provider di documentare il processo valutativo che ha condotto a escludere la classificazione formale come “ad alto rischio”. 

Contestualmente, la proposta sopprimerebbe anche l’obbligo, originariamente previsto dall’AI Act, di registrare nella banca dati europea i sistemi non classificati come ad alto rischio, riducendo così in modo significativo il carico amministrativo per i provider e allineando tali obblighi al principio di proporzionalità.

EDPB ed EDPS sono del parere che sia essenziale mantenere l’obbligo di registrazione anche nei casi in cui un provider ritenga che un sistema, pur rientrando nelle categorie individuate dall’AI Act, non debba essere considerato ad alto rischio. 

A tal proposito, le due autorità ricordano come la registrazione dell’AI nella banca dati europea svolge una funzione pubblica che consente agli utilizzatori (deployers) di effettuare un’adeguata analisi prima di decidere se avvalersi o meno del sistema di IA. Tale registrazione persegue anche l’obiettivo di informare le autorità nazionali competenti e le autorità o gli organismi pubblici nazionali che vigilano o assicurano il rispetto degli obblighi previsti dal diritto dell’Unione a tutela dei diritti fondamentali (Fundamental Rights Authorities and Bodies, FRABs) prima che tali sistemi siano immessi sul mercato o messi in servizio. Ciò può, a sua volta, indurre tali autorità a richiedere la relativa documentazione e, se del caso, ad avviare attività di vigilanza o di enforcement.

L’obbligo di registrazione consente quindi una risposta tempestiva da parte delle autorità nazionali competenti e delle FRABs al fine di mitigare i rischi.

Le sandbox regolatorie e il ruolo delle autorità di controllo

La proposta introduce inoltre la possibilità di istituire sandbox regolatorie a livello europeo, strumenti destinati a favorire la sperimentazione e lo sviluppo di soluzioni innovative nel settore dell’intelligenza artificiale, in particolare da parte delle PMI.

Le autorità di protezione dei dati accolgono positivamente questa iniziativa, sottolineando tuttavia la necessità che le autorità nazionali competenti in materia di protezione dei dati siano coinvolte nella supervisione delle attività svolte all’interno delle sandbox, soprattutto quando tali attività comportino il trattamento di dati personali.

Secondo EDPB ed EDPS, una cooperazione efficace tra le diverse autorità coinvolte rappresenta un elemento essenziale per garantire che lo sviluppo e la sperimentazione di sistemi di intelligenza artificiale avvengano nel rispetto del quadro normativo europeo.

Conclusioni

Nel loro parere congiunto, EDPB ed EDPS esprimono quindi un sostegno generale all’obiettivo della proposta, riconoscendo la necessità di facilitare l’applicazione delle nuove regole. Allo stesso tempo, sottolineano che la riduzione degli oneri amministrativi non deve comportare un indebolimento delle garanzie previste per la tutela dei diritti fondamentali, in particolare del diritto alla protezione dei dati personali disciplinato dal Regolamento generale sulla protezione dei dati (GDPR).

Evidenziano quindi l’importanza di mantenere un equilibrio tra semplificazione normativa e adeguata protezione dei diritti degli individui, in particolare per quanto riguarda la protezione dei dati personali e la prevenzione di discriminazioni algoritmiche.

Un ulteriore aspetto rilevante riguarda il calendario di applicazione delle norme sui sistemi di intelligenza artificiale ad alto rischio. Secondo la disciplina attuale dell’AI Act, tali disposizioni dovrebbero entrare in vigore a partire dal 2 agosto 2026 per i sistemi elencati nell’Allegato III e dal 2 agosto 2027 per quelli disciplinati dall’Allegato I.

La proposta di modifica prevede invece un possibile rinvio dell’applicazione, con nuove scadenze che potrebbero arrivare fino al 2 dicembre 2027 e al 2 agosto 2028, in relazione alla disponibilità di strumenti e standard necessari per l’attuazione del regolamento.

Alla luce di tali elementi, il parere invita i co-legislatori europei a valutare attentamente l’impatto delle modifiche proposte, al fine di garantire un’applicazione efficace del quadro normativo sull’intelligenza artificiale senza compromettere la tutela dei diritti e delle libertà fondamentali.

[1] regolamenti (UE) 2016/679 e (UE) 2018/1725 e alla direttiva (UE) 2016/680