Digital omnibus, la Commissione interviene su dati personali e AI

Regolamento generale sulla protezione dei dati personali e intelligenza artificiale: su questi fronti interviene il digital omnibus, il pacchetto di riforme presentato dalla Commissione europea, che punta alla semplificazione e alla riduzione della burocrazia tecnologia nell’Unione europea.

GDRP e AI Act, l’Ue vuole modifiche

Il digital omnibus è già al centro di valutazioni contrastanti perché interviene sul GDPR , il regolamento sulla protezione dei dati, cambiando il modo in cui si decide se un dato è considerato dato personale.

La proposta della Commissione vuole “chiarire la definizione di dati personali mantenendo il più alto livello di protezione dei dati personali. Incoraggiare lo sviluppo e l’uso di soluzioni di intelligenza artificiale responsabili, fornendo chiarezza giuridica sull’uso dei dati personali per l’intelligenza artificiale. Semplificare determinati obblighi per le aziende e le organizzazioni, ad esempio chiarendo quando devono condurre valutazioni d’impatto sulla protezione dei dati e quando e come notificare le violazioni dei dati alle autorità di vigilanza”.

L’altro tema che viene discusso riguarda l’Intelligenza artificiale. La Commissione europea propone infatti di modificare la legge sull’intelligenza artificiale. Con la parola d’ordine della semplificazione, il digital omnibus prevede una proroga fino a 16 mesi per le norme sull’AI ad alto rischio, per rispettare alcuni obblighi della legge europea sull’intelligenza artificiale, l’AI Act. E nel pacchetto rientra anche la possibilità di usare i contenuti dei social network per addestrare i sistemi di intelligenza artificiale.

Le riforme in nome della semplificazione

La Commissione europea ha presentato nei giorni scorsi il Digital Omnibus, un pacchetto di riforme che “mira a facilitare il rispetto degli sforzi di semplificazione stimati per risparmiare fino a 5 miliardi di euro in costi amministrativi entro il 2029 – spiega Bruxelles in una nota – Inoltre, i portafogli europei delle imprese potrebbero sbloccare altri 150 miliardi di euro di risparmi per le imprese ogni anno”.

Il pacchetto punta a rivedere a le norme in materia di intelligenza artificiale, cybersicurezza e dati personale. Le proposte dovranno poi passare al vaglio del Parlamento europeo e del Consiglio.

“Al centro, – spiega la Commissione – il pacchetto comprende un omnibus digitale che razionalizza le norme in materia di intelligenza artificiale (IA), cybersicurezza e dati, integrato da una strategia per l’Unione dei dati volta a sbloccare dati di alta qualità per l’IA e i portafogli aziendali europei, che offrirà alle imprese un’identità digitale unica per semplificare le pratiche burocratiche e rendere molto più facile svolgere attività commerciali in tutti gli Stati membri dell’UE”.

La protezione dei dati

Per quanto riguarda il Regolamento europeo sulla protezione dei dati, il GDPR, l’omnibus propone di:

• Chiarire la definizione di dati personali “mantenendo il più alto livello di protezione dei dati personali”;
• “Incoraggiare lo sviluppo e l’uso di soluzioni di intelligenza artificiale responsabili, fornendo chiarezza giuridica sull’uso dei dati personali per l’intelligenza artificiale”;
• Semplificare determinati obblighi per le aziende e le organizzazioni, ad esempio chiarendo quando devono condurre valutazioni d’impatto sulla protezione dei dati e quando e come notificare le violazioni dei dati alle autorità di vigilanza.

Il pacchetto digitale prevede inoltre un “punto di ingresso unico” in cui le aziende possono soddisfare tutti gli obblighi di segnalazione degli incidenti di cybersicurezza.

Modifiche alle regole sui cookie

Il pacchetto propone poi di modernizzare le regole sui cookie.  Le modifiche ridurranno il numero di volte in cui i banner dei cookie vengono visualizzati e permetteranno agli utenti di indicare il proprio consenso con un solo clic e salvare le proprie preferenze sui cookie attraverso le impostazioni centrali delle preferenze nei browser e nel sistema operativo. Gli aggiornamenti, second Bruxelles, garantiranno oltre 800 milioni di risparmi per le aziende. Questo porterebbe inoltre a semplificare la navigazione online degli utenti.

Le modifiche all’AI Act

L’omnibus digitale interviene poi anche sull’uso dei dati personali per l’intelligenza artificiale.

La Commissione europea propone di “fornire chiarezza giuridica e ridurre gli oneri di conformità per le aziende, creando nuove opportunità per creare valore dai dati personali, mantenendo intatti i principi fondamentali del GDPR. Ad esempio, gli emendamenti inquadrano l’uso legittimo dei dati personali per l’addestramento di modelli di intelligenza artificiale, garantendo che gli interessi degli utenti siano attentamente considerati e tutelati. Codificano inoltre la recente giurisprudenza su come i set di dati personali possano essere trasformati in modo sicuro in dati condivisibili con terze parti senza rivelare l’identità degli interessati. Le misure sono accompagnate da solide garanzie per garantire che i dati personali dei cittadini rimangano protetti al massimo livello”.

Proroga dei tempi e dati personali nell’AI Act

Bruxelles propone di modificare la legge sull’intelligenza artificiale in nome della semplificazione. L’AI Act è entrata in vigore il 1° agosto 2024 in modo graduale, con alcune parti già applicabili come alcuni divieti e le norme per i modelli di AI di uso generale. Altre parti entreranno in vigore nel 2026 e nel 2027.

La Commissione, spiega una nota, “propone di collegare l’entrata in applicazione delle norme che disciplinano i sistemi di IA ad alto rischio alla disponibilità di strumenti di sostegno, comprese le norme necessarie”. In pratica le norme si applicheranno, nella previsione di Bruxelles, dopo un periodo di transizione che potrà durare fino a 16 mesi per le norme per l’IA ad alto rischio in settori sensibili come l’occupazione e l’applicazione della legge, e fino a 12 mesi per le norme per l’IA ad alto rischio integrata in prodotti come i dispositivi medici.

Il pacchetto prevede nuove norme sull’uso dei dati personali per l’intelligenza artificiale. Nella proposta, “i dati personali possono essere trattati per i modelli di intelligenza artificiale a condizione che l’utilizzo in una situazione specifica non violi alcuna legge nazionale o dell’UE e che il trattamento sia conforme a tutti i requisiti del GDPR. La proposta sottopone tale trattamento a forti garanzie e garantisce che gli interessati abbiano il diritto incondizionato di opporsi al trattamento dei propri dati personali”.

“Il più grande taglio ai diritti alla privacy degli ultimi anni”

La proposta ha suscitato dibattito. Per le grandi aziende tecnologiche la semplificazione delle norme tecnologiche è solo un primo passo e richiede interventi più decisi.

Le associazioni che difendono i diritti digitali parlano invece di una riduzione per la protezione dei cittadini europei. Secondo l’associazione Noyb le modifiche proposte “sono un regalo alle grandi aziende tecnologiche statunitensi”. Per l’associazione si tratta del “più grande taglio ai diritti alla privacy degli ultimi anni”. Perchè “le lobby dell’industria hanno sfruttato con successo il timore europeo della pressione economica globale per chiedere tagli massicci ai diritti digitali degli europei”.

Fra le criticità segnalata da Noyb, c’è il fatto che si creerebbe una scappatoia al GDPR. “La Commissione propone di restringere significativamente la definizione di “dati personali”, il che comporterebbe la non applicazione del GDPR a molte aziende in vari settori. Ad esempio, i settori che attualmente operano tramite “pseudonimi” o numeri di identificazione casuali, come i broker di dati o il settore pubblicitario, non sarebbero più (pienamente) coperti”.

Altro tema critico è il rischio dell’addestramento dell’AI attraverso i dati personali dell’Ue. “La Commissione ora vuole consentire l’utilizzo di dati altamente personali (come il contenuto di oltre 15 anni di un profilo social) per l’addestramento dell’IA da parte delle Big Tech”, dice Noyb.