L’European Data Protection Board e l’European Data Protection Supervisor, con il parere congiunto n. 2/2026, hanno esaminato la proposta di regolamento sulla semplificazione del quadro legislativo digitale nota come Digital Omnibus presentata dalla Commissione europea nel novembre 2025. Tale iniziativa si inserisce nella più ampia operazione di razionalizzazione delle normative digitali dell’Unione, inclusi gli interventi sull’AI Act, di cui si è già dato conto su IusLetter.
La prospettiva delle Autorità europee di protezione dati sulla riforma digitale
EDPB ed EDPS manifestano un generale sostegno agli obiettivi della proposta, che mira a rendere più agevole la conformità agli strumenti normativi in materia digitale, a rendere più effettivo l’esercizio dei diritti degli interessati e a rafforzare la competitività dell’Unione europea. Allo stesso tempo, le due Autorità insistono sulla necessità che ogni semplificazione sia accompagnata da chiarezza degli obblighi giuridici e da un adeguato livello di certezza per gli operatori, preservando la fiducia degli utenti e un elevato standard di tutela dei diritti e delle libertà fondamentali.
Particolare attenzione è rivolta al segmento della proposta che interviene sul regolamento in materia di intelligenza artificiale al fine di rendere più sostenibile l’attuazione delle nuove regole. EDPB ed EDPS esprimono condivisione per la finalità generale di rendere più lineare l’applicazione dell’AI Act, ma indicano la necessità di perfezionare talune disposizioni, in particolare su due fronti considerati centrali: l’impiego della base giuridica del legittimo interesse nel contesto dei sistemi di IA e la gestione del trattamento incidentale e residuo di categorie particolari di dati personali ai sensi del GDPR.
Legittimo interesse e modelli di IA
Riferimento al parere n. 28/2024 e al proposto articolo 88c GDPR
Richiamando il parere n. 28/2024 dedicato ai modelli di intelligenza artificiale, le due Autorità forniscono indicazioni mirate su come declinare, in concreto, il legittimo interesse del titolare e il diritto di opposizione degli interessati nel contesto dello sviluppo e dell’uso di tali tecnologie.
EDPB ed EDPS condividono l’impostazione secondo cui, come previsto dal primo comma del proposto articolo 88c del GDPR, il legittimo interesse possa fungere, in alcune ipotesi, da base giuridica per il trattamento di dati personali connesso allo sviluppo e all’operatività di modelli o sistemi di IA. Tale apertura viene però accompagnata dalla richiesta di un ulteriore affinamento della norma, affinché l’obiettivo dichiarato di garantire certezza giuridica e condizioni applicative trasparenti per i titolari del trattamento sia effettivamente raggiunto.
Diritto di opposizione e misure di mitigazione
Secondo EDPB ed EDPS, il testo in discussione dovrebbe chiarire meglio il contenuto e la portata delle misure di mitigazione da adottare quando il trattamento si fonda sul legittimo interesse in ambito IA. In tale quadro, viene accolto con favore il richiamo a un diritto di opposizione incondizionato che si intende inserire all’interno dell’articolo 21 del GDPR per i trattamenti basati sul legittimo interesse nel contesto dello sviluppo e dell’operatività dell’intelligenza artificiale.
Le due Autorità suggeriscono inoltre che il legislatore specifichi l’obbligo di portare la possibilità di esercitare tale diritto all’attenzione degli interessati con un congruo anticipo rispetto all’avvio del trattamento dei loro dati personali per finalità legate all’IA. L’obiettivo è consentire l’esercizio del diritto di opposizione fin dalle fasi iniziali, considerato che, in un momento successivo, la rimozione dei dati personali già incorporati o conservati in un modello o in un sistema di IA può risultare tecnicamente complessa se non addirittura impraticabile.
Trattamento incidentale e residuo di categorie particolari di dati personali
La nuova deroga nel proposto articolo 9 paragrafo 5 GDPR
Un altro passaggio centrale del parere riguarda la progettata modifica dell’articolo 9 del GDPR. EDPB ed EDPS valutano positivamente l’intento del proposto paragrafo 5 che mira, da un lato, a evitare per quanto possibile la raccolta e il trattamento di categorie particolari di dati personali nel contesto dell’IA e, dall’altro, a introdurre specifiche garanzie nei casi in cui tale trattamento non possa essere integralmente scongiurato.
Le due Autorità riconoscono infatti che, nelle attività di raccolta dati finalizzate all’addestramento, al test e alla validazione di determinati sistemi o modelli di intelligenza artificiale, come ad esempio i modelli di IA per finalità generali, non è realisticamente sempre possibile escludere un trattamento residuo e incidentale di dati rientranti nelle categorie particolari di cui all’articolo 9 del GDPR.
Ambito della deroga e coordinamento con l’articolo 9 paragrafo 2 lettera k) GDPR
EDPB ed EDPS accolgono, in linea generale, l’obiettivo della proposta di introdurre una specifica deroga che copra proprio il trattamento incidentale e residuo di categorie particolari di dati nel contesto dello sviluppo e dell’operatività di sistemi o modelli di IA, purché il ricorso a tale deroga sia sottoposto a condizioni stringenti. Il testo viene tuttavia ritenuto suscettibile di diversi perfezionamenti al fine di fornire un quadro più chiaro agli interessati, ai soggetti che sviluppano i modelli e ai fornitori di sistemi di IA.
Tenendo presenti i rischi connessi a qualunque trattamento, ancorché non intenzionale, di categorie particolari di dati personali, le due Autorità richiamano l’esigenza di rispettare integralmente i principi generali del GDPR, compreso il requisito di necessità e proporzionalità rispetto alle finalità perseguite. Viene in particolare raccomandato che, quando l’operazione principale di trattamento comporta anche un trattamento incidentale e residuo di tali dati, il riferimento espressamente limitato a un uso incidentale e residuo sia incorporato nelle disposizioni normative rilevanti, in modo da orientare correttamente l’interpretazione del proposto articolo 9 paragrafo 2 lettera k) del GDPR.
Garanzie lungo l’intero ciclo di vita dei sistemi di IA
Un ulteriore profilo evidenziato da EDPB ed EDPS riguarda la continuità delle misure di protezione nel tempo. Le Autorità suggeriscono infatti di esplicitare, nel proposto articolo 9 paragrafo 5 del GDPR, che le garanzie relative alle categorie particolari di dati devono essere applicate lungo tutto il ciclo di vita dello sviluppo e dell’uso dell’intelligenza artificiale.
Ciò assume rilevanza in particolare nelle situazioni in cui la cancellazione dei dati non sia possibile o richieda uno sforzo sproporzionato: in tali casi, è necessario che le misure di tutela operate dai titolari garantiscano un livello di protezione effettivo per l’intera durata di vita del sistema o del modello di IA. EDPB ed EDPS suggeriscono inoltre di chiarire che questa protezione effettiva implica anche la prevenzione del riutilizzo dei dati per finalità ulteriori e non compatibili rispetto a quelle originarie.
Digital Omnibus e AI Act nel più ampio ecosistema digitale dell’Unione
Le indicazioni contenute nel parere congiunto n. 2/2026 si inseriscono in un contesto regolamentare in rapido consolidamento, in cui il pacchetto Digital Omnibus è concepito come un tassello strategico per rendere più coerente ed efficiente l’applicazione del corpus normativo europeo in materia digitale. La proposta mira a facilitare l’uso responsabile dei dati come fattore decisivo dell’economia dell’Unione e come leva per la diffusione di soluzioni di intelligenza artificiale affidabili nel mercato interno.
In questa prospettiva, il contributo di EDPB ed EDPS fornisce alla Commissione e al legislatore europeo una serie di parametri interpretativi per calibrare al meglio gli interventi sull’AI Act e sul GDPR. L’equilibrio tra semplificazione degli adempimenti e salvaguardia dei diritti fondamentali passa, secondo le due Autorità, attraverso un affinamento tecnico delle basi giuridiche di trattamento e delle deroghe applicabili ai dati particolarmente sensibili, così da rendere l’innovazione digitale compatibile con un solido presidio delle libertà degli interessati.