Invertendo la sua posizione dura sull’applicazione digitale, la Commissione europea ha presentato oggi un’ampia proposta”Digital Omnibus”che ritarderebbe le scadenze chiave della legge sull’intelligenza artificiale e allenterebbe le norme sulla privacy del GDPR per stimolare la competitività industriale.
Il pacchetto, che mira a far risparmiare alle imprese 5 miliardi di euro in costi di conformità, di fatto annulla l’impegno della Commissione di luglio di applicare senza indugio le norme sull’intelligenza artificiale ad alto rischio.
Collegando la conformità dell’IA ai futuri standard tecnici e codificando”interesse legittimo”per il trattamento dei dati, Bruxelles segnala una svolta importante dalla protezione dei diritti fondamentali alla priorità del settore tecnologico in ritardo del blocco contro i rivali statunitensi e cinesi.
Spinta dai timori di stagnazione economica e di un crescente divario di innovazione, la Commissione ha formalmente riconosciuto che il suo attuale quadro normativo sta soffocando la crescita. Il vicepresidente esecutivo Henna Virkkunen ha definito l’iniziativa come una missione di salvataggio per l’industria europea, sottolineando che le aziende sono attualmente”trattenute da strati di regole rigide”.
Questa ammissione fa seguito alle intense pressioni dei leader del settore e al recente rapporto sulla competitività di Draghi, che ha avvertito che l’Europa si sta regolamentando fino a diventare irrilevante.
Si prevede che gli oneri amministrativi diminuiranno di circa 5 miliardi di euro all’anno entro il 2029 secondo il nuovo piano. Un pilastro centrale di questa strategia economica è il”Portafoglio aziendale europeo”, uno strumento di identità digitale unificato destinato a semplificare le operazioni transfrontaliere.
Le proiezioni suggeriscono che questo sistema di portafoglio digitale potrebbe sbloccare fino a 150 miliardi di euro di risparmi annuali se l’adozione raggiungesse la massa critica nei 27 Stati membri. Valdis Dombrovskis, commissario per l’Economia e la produttività, ha sottolineato che”colmare il divario di innovazione e ridurre la burocrazia”sono ora i principali motori della politica dell’UE.
Segnando un netto cambiamento ideologico, la proposta si allontana dall’approccio”i diritti fondamentali al primo posto”del mandato precedente verso un pragmatismo”business first”. Si rivolge esplicitamente al problema dello”scale-up”, con l’obiettivo di creare un ambiente in cui le startup europee possano crescere senza trasferirsi immediatamente in giurisdizioni più permissive.
Documenti trapelati all’inizio di questo mese accennavano a questa deregolamentazione, ma l’annuncio ufficiale conferma la portata dell’inversione.
Riscrivere il regolamento: ritardi condizionali e scappatoie legali
Il più dirompente tra i cambiamenti è l’efficace ritardo degli obblighi ad alto rischio della legge sull’AI, originariamente fissati con un calendario rigoroso. Secondo la nuova proposta, l’applicazione delle norme ad alto rischio non è più fissata a una data ma è subordinata alla disponibilità di standard tecnici armonizzati e strumenti di supporto.
Tale meccanismo crea una sequenza temporale variabile che potrebbe posticipare l’applicazione alla fine del 2027, in netto contrasto con la posizione assunta dalla Commissione a luglio.
Solo mesi fa, ha insistito il portavoce Thomas Regnier,”vorrei essere il più chiaro possibile, non c’è modo di fermare l’orologio. Esiste no periodo di grazia Non c’è pausa”, un impegno che ora è stato di fatto abbandonato.
Legando la conformità al completamento degli standard tecnici, la Commissione ha introdotto una variabile che i lobbisti del settore possono potenzialmente sfruttare per estendere ulteriormente il periodo di grazia.
Sul fronte della privacy, Omnibus introduce una clausola di”interesse legittimo”specifica per la formazione dei modelli di intelligenza artificiale, consentendo agli sviluppatori di elaborare i dati personali senza il consenso esplicito dell’utente.
Tale cambiamento codifica una pratica apprezzata dalle aziende. Meta ha tentato di utilizzare, legalizzando di fatto lo scraping dei dati degli utenti per il”miglioramento del servizio”e la formazione del modello.
Sepolta all’interno delle modifiche tecniche c’è una ridefinizione dei dati sensibili che esclude tratti dedotti, una mossa che gli analisti legali suggeriscono potrebbe consentire alle aziende di profilano gli utenti in base al comportamento senza attivare protezioni GDPR più severe.
Anche le normative sui cookie stanno affrontando una revisione completa, con la Commissione che propone un meccanismo”con un solo clic”per sostituire gli onnipresenti banner di consenso. Basandosi su segnali automatizzati del browser per comunicare le preferenze dell’utente, il nuovo sistema eliminerebbe teoricamente la necessità di pop-up ripetitivi su ogni sito web.
Sebbene in apparenza sia facile per i consumatori, i sostenitori della privacy temono che questo centralizzerà la gestione del consenso nelle mani di fornitori di browser come Google e Apple.
Omnibus digitale della Commissione Europea sulla proposta di regolamentazione dell’intelligenza artificiale
Il contraccolpo: i sostenitori della privacy mettono in guardia da una”palla da demolizione”
Gli osservatori della privacy hanno reagito con immediata ostilità, accusando la Commissione di sacrificare i valori europei per comodità aziendale.
Max Schrems, fondatore di NOYB, ha definito la mossa un’operazione segreta, affermando che”una parte della Commissione europea sta segretamente cercando di sopraffare tutti gli altri”a Bruxelles.
La principale preoccupazione è che la scappatoia del”legittimo interesse”consentirà a Big Tech di elaborare dati sensibili dedotti, come opinioni politiche o orientamento sessuale derivati dal comportamento, senza alcun consenso.
Jan Philipp Albrecht, uno dei principali artefici del GDPR originale, ha messo in dubbio la legalità della mossa, chiedendosi se ciò segnali”la fine della protezione dei dati e della privacy”come sancito dai trattati dell’UE.
I critici sostengono che, sebbene il pacchetto sia concepito come un aiuto per le PMI, i principali beneficiari del cambiamento dell'”interesse legittimo”sono gli hyperscaler statunitensi con vasti fossati di dati.
Lungi dall’essere un semplice aggiornamento amministrativo, la proposta rappresenta una riscrittura fondamentale del contratto sociale relativo alla privacy digitale in Europa.
Lukasz Olejnik, un ricercatore indipendente sulla privacy, ha previsto una feroce battaglia legislativa, definendo i prossimi negoziati”i Giochi Olimpici del lobbismo”. L’approvazione della proposta richiede l’approvazione del Parlamento europeo e del Consiglio, dove deve affrontare l’opposizione degli stati membri intransigenti sulla privacy e dei gruppi per le libertà civili.
Gli analisti legali avvertono che ridefinire i”dati sensibili”per escludere tratti dedotti mina la filosofia fondamentale del GDPR, innescando potenzialmente sfide alla Corte di giustizia europea.
