Lo scorso 10 febbraio 2026, l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS), con il parere congiunto n. 2/2026, si sono espressi sulla proposta di regolamento relativa alla semplificazione del quadro legislativo digitale (Digital Omnibus), presentata dalla Commissione Europea a novembre 2025, di cui abbiamo già parlato su IusLetter.
In particolare, il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) sostengono l’obiettivo della Proposta di semplificare la conformità al quadro normativo digitale, rafforzare l’effettivo esercizio dei diritti individuali e promuovere la competitività dell’UE. Essi sottolineano, inoltre, l’importanza che le semplificazioni proposte chiariscano gli obblighi e garantiscano certezza giuridica, mantenendo al contempo la fiducia e un elevato livello di tutela dei diritti e delle libertà individuali.
Con specifico riguardo al capitolo riservato all’intelligenza artificiale, contenente previsioni normative che intervengono sull’AI Act, per renderne l’attuazione più semplice e sostenibile, l’EDPB e l’EDPS sostengono l’obiettivo di fondo della Proposta, pur ritenendo necessari alcuni miglioramenti in relazione alle seguenti tematiche:
Uso del legittimo interesse nel contesto dei modelli e sistemi di AI
Richiamando il loro precedente parere n. 28/2024 sui modelli di IA, forniscono suggerimenti specifici al legislatore in merito alla valutazione del legittimo interesse e al diritto di opposizione.
Nello specifico, l’EDPB e l’EDPS concordano sul fatto che, come indicato nel primo comma del proposto articolo 88c del GDPR, il legittimo interesse possa essere utilizzato, in alcuni casi, quale base giuridica del trattamento nel contesto dello sviluppo e dell’impiego di modelli o sistemi di IA. In merito a tale norme del GDPR, l’EDPB e l’EDPS raccomandano, tuttavia, al legislatore, al fine di conseguire pienamente l’obiettivo di garantire certezza giuridica e condizioni applicabili chiare per i titolari del trattamento, di chiarire ulteriormente alcuni aspetti, ad esempio con riguardo alle misure di mitigazione da adottare: l’EDPB e l’EDPS accolgono con favore il riferimento a un diritto di opposizione incondizionato che dovrebbe essere inserito nell’articolo 21 del GDPR, con specifico riguardo all’ipotesi in cui il trattamento si fonda sul legittimo interesse nel contesto dello sviluppo e dell’operatività dell’IA; L’EDPB e l’EDPS raccomandano inoltre di chiarire che tale diritto dovrebbe essere portato all’attenzione degli interessati, ove possibile e con sufficiente anticipo rispetto al trattamento dei loro dati personali nel contesto dello sviluppo e dell’operatività dell’IA, al fine di consentirne l’esercizio fin dall’inizio, in quanto potrebbe risultare tecnicamente difficile rimuovere dati personali già incorporati o conservati in un sistema o modello di IA.
Deroga per il trattamento incidentale e residuo di categorie particolari di dati nel contesto dello sviluppo e dell’operatività di un sistema o modello di AI
L’EDPB e l’EDPS apprezzano che il proposto articolo 9, paragrafo 5, del GDPR miri a evitare la raccolta e il trattamento di categorie particolari di dati personali e a introdurre specifiche garanzie qualora tale trattamento non possa essere evitato.
A tale riguardo, l’EDPB e l’EDPS riconoscono che, nella raccolta di dati per l’addestramento, il test e la validazione di determinati sistemi o modelli di IA (ad esempio un modello di IA per finalità generali), non è sempre possibile per i titolari evitare un trattamento residuo e incidentale di categorie particolari di dati.
L’EDPB e l’EDPS accolgono in generale con favore l’obiettivo della Proposta di introdurre una specifica deroga che copra il trattamento incidentale e residuo di categorie particolari di dati nel contesto dello sviluppo e dell’operatività di sistemi o modelli di IA, subordinatamente a determinate condizioni. Tuttavia, al fine di garantire certezza giuridica sia per gli interessati sia per gli sviluppatori e fornitori di determinati sistemi o modelli di IA, e tenendo conto dei rischi derivanti dal trattamento residuo e incidentale di categorie particolari di dati personali, l’EDPB e l’EDPS suggeriscono alcuni miglioramenti all’attuale Proposta, ricordando che il trattamento dei dati personali deve avvenire nel rispetto dei principi stabiliti dal GDPR ed essere necessario e proporzionato rispetto alle finalità del trattamento e raccomandando, per la situazione in cui l’operazione principale di trattamento comporti un trattamento incidentale e residuo di categorie particolari di dati personali, che il riferimento al trattamento “incidentale e residuo” sia inserito nelle disposizioni normative, al fine di garantire la corretta interpretazione del proposto articolo 9, paragrafo 2, lettera k), del GDPR.
Infine, l’EDPB e l’EDPS suggeriscono di sottolineare, nel proposto articolo 9, paragrafo 5, del GDPR, che le garanzie dovrebbero essere attuate lungo l’intero ciclo di vita dello sviluppo dell’IA, al fine di assicurare un’effettiva protezione delle categorie particolari di dati quando la loro cancellazione sia impossibile o comporti uno sforzo sproporzionato. Inoltre, il testo potrebbe chiarire che tale protezione effettiva include anche la necessità di prevenire il riutilizzo di tali dati per finalità diverse.
Le considerazioni di cui sopra vanno inserite in un contesto in cui la proposta di un pacchetto omnibus digitale rappresenta un passo importante per ottimizzare l’applicazione del corpus normativo sul digitale, concentrandosi sulla possibilità di sfruttare le opportunità derivanti dall’uso dei dati, che rappresentano una risorsa fondamentale nell’economia dell’UE, anche al fine di sostenere lo sviluppo e l’utilizzo di soluzioni di intelligenza artificiale affidabili nel mercato dell’Unione.
13.03.2026
