La proposta della Commissione europea di rinvio fino a sedici mesi dell’entrata in applicazione delle disposizioni dell’AI Act relative ai sistemi ad alto rischio – cioè per quella fascia di applicazioni che incidono su servizi essenziali, diritti fondamentali, infrastrutture critiche e processi decisionali ad elevato impatto – inserendola in un più ampio pacchetto di “semplificazione digitale” che tocca anche GDPR, disciplina dei cookies e Data Act, si colloca in un momento di evidente torsione del progetto regolatorio europeo sul digitale, in cui la tensione fra ambizione ordinatrice e competitività economica viene esplicitamente tematizzata e, per certi versi, rovesciata.

L’obiettivo dichiarato infatti non è più soltanto quello di costruire un “diritto costituzionale dell’era digitale”, fondato sulla massima tutela dei diritti fondamentali, ma anche quello di alleggerire oneri, modulare tempi, adattare strumenti in funzione di una capacità del tessuto produttivo europeo di reggere la competizione globale, nella consapevolezza che un eccesso di regolazione rischia di trasformarsi in un vantaggio competitivo per ordinamenti meno esigenti sul piano delle garanzie.

Proprio in questa prospettiva, si giustifica quindi il rinvio dell’AI Act da parte della Commissione attraverso l’argomento, formalmente tecnico, della necessità di attendere la piena disponibilità di standard armonizzati, specifiche comuni, linee guida e strumenti di sostegno che rendano effettivamente praticabile la compliance per gli operatori.

Solo quando tali strumenti saranno “toccati con mano”, le nuove regole diverranno applicabili, entro comunque un termine massimo che sposta l’orizzonte verso la fine del 2027 ed oltre per alcune categorie di sistemi, innestando così un differimento legale che si aggiunge ai già lunghi periodi transitori previsti dal regolamento approvato nel 2024.

Tre ordini di questioni sul rinvio dell’AI Act sotto il profilo giuridico

In primo luogo, è il principio di certezza del diritto e di protezione dell’affidamento degli operatori.

Il regolamento, in quanto atto di portata generale e direttamente applicabile, aveva cristallizzato un calendario di entrata in vigore e di progressiva applicazione che costituiva il quadro di riferimento per gli investimenti in compliance e per le strategie industriali.

La decisione di riaprire il calendario attraverso un “omnibus digitale” introduce un elemento di fluidità temporale, in cui la piena operatività delle norme non è più solo una funzione del tempo trascorso dalla loro adozione, ma viene condizionata alla realizzazione di presupposti tecnici e organizzativi che dipendono, in ultima istanza, dall’azione della stessa Commissione e degli organismi di standardizzazione.

Si assiste così a una sorta di “normatività condizionata”, in cui la regola esiste, ma la sua efficacia si comprime e si espande in funzione della maturità degli strumenti di attuazione: una scelta che può apparire ragionevole sul piano funzionale, ma che rischia di erodere la linearità del rapporto fra legislatore e destinatari.

Infatti, sposta il baricentro dall’atto legislativo alla governance tecnica della sua implementazione, con il pericolo di un ampliamento di fatto del potere discrezionale dell’esecutivo europeo nella definizione dei tempi effettivi di tutela dei diritti.

La seconda questione del rinvio dell’AI Act

La dilazione delle regole sull’AI ad alto rischio è da misurare con la luce del principio di non regressione nella protezione dei diritti fondamentali, se è vero che l’AI Act ha costruito un sistema di tutela incentrato sul divieto degli usi “a rischio inaccettabile” e su un rigoroso presidio dei sistemi ad alto rischio, proprio perché ritenuti maggiormente idonei a incidere su dignità, non discriminazione, libertà personale e diritti sociali, il rinvio della loro applicazione pone la questione se, nel periodo di sospensione, non si crei una zona grigia in cui sistemi già oggi oggettivamente critici continuano a operare senza essere pienamente assoggettati ai nuovi requisiti di trasparenza, governance dei dati, gestione del rischio, monitoraggio post-marketing e accountability che il regolamento pretende.

L’argomento della necessità di standard e strumenti di sostegno non può, sul piano assiologico, trasformarsi in un alibi per ritardare la piena operatività di garanzie che il legislatore ha ritenuto costituzionalmente necessarie.

Da qui sorge la necessità, per il giurista, di interrogarsi se il bilanciamento perseguito dalla Commissione non stia, di fatto, attribuendo un peso eccessivo al valore della competitività rispetto a quello della tutela effettiva dei diritti, soprattutto laddove il rinvio sia accompagnato da una contestuale operazione di “alleggerimento” degli adempimenti per interi segmenti di operatori.

II terzo ordine

L’estensione e la stabilizzazione delle semplificazioni previste per le piccole e medie imprese e per le small mid-caps, con riduzione degli obblighi di documentazione tecnica e una più mite esposizione sanzionatoria, pongono la questione se il diritto europeo stia introducendo, all’interno di un regolamento che nasceva come orizzontalmente uniforme, una sorta di diritto “a geometria variabile”, in cui il livello di presidio dei rischi dipende non solo dalla natura del sistema di intelligenza artificiale, ma anche dalla dimensione e dalla struttura societaria del fornitore, con il rischio di produrre asimmetrie di tutela per gli stessi diritti fondamentali a seconda del soggetto economico coinvolto.

La proposta della Commissione si inserisce peraltro in un disegno più ampio di ricalibrazione del complesso ecosistema normativo digitale.

Il Digital Omnibus interviene infatti non solo sull’ AI Act, ma anche sul GDPR, sulla disciplina dei cookies e sul Data Act, con l’obiettivo dichiarato di ridurre del 25% gli oneri amministrativi complessivi e in misura ancora maggiore per le PMI, mediante una razionalizzazione delle segnalazioni di incidenti di cyber security, l’innalzamento di alcune soglie di notifica delle violazioni dei dati, l’armonizzazione di regole oggi applicate in modo disomogeneo dalle autorità di controllo nazionali e la revisione profonda del regime di consenso per i cookies, così da ridurre il fenomeno della “cookie fatigue” e di quelle interfacce ossessivamente pop-up che hanno, di fatto, svuotato di significato sostanziale il consenso informato degli utenti.

Una manutenzione del sistema o torsione profonda

Da un punto di vista giuridico-costituzionale, ci si deve chiedere pertanto se tale
operazione rappresenti una fisiologica manutenzione del sistema, necessaria per correggere rigidità e inefficienze emerse in fase applicativa, oppure se non segni l’avvio di una torsione più profonda, nella quale il paradigma originario del Regolamento generale sulla protezione dei dati, centrato sulla massima protezione dei dati personali come proiezione giuridica della persona, venga progressivamente rimodulato in chiave di proporzionalità economica, alleggerendo non solo gli adempimenti inutilmente ridondanti, ma anche, potenzialmente, la soglia di controllo esercitabile dagli interessati e dalle autorità.

Gli interventi sul regime dei cookies

La riforma del regime dei cookies è quindi, in questo senso, emblematica.

Se da un lato la riduzione dei banner e la possibilità di memorizzare in maniera più stabile le scelte dell’utente promettono di restituire al consenso una dimensione meno puramente formale, dall’altro lato, l’eventuale ampliamento delle ipotesi in cui il trattamento può fondarsi su basi giuridiche diverse dal consenso, o l’introduzione di presunzioni di legittimità per alcune categorie di tracciamento, potrebbero spostare l’asse verso una maggiore discrezionalità dei titolari, con il rischio di indebolire, nella pratica, i diritti all’informazione, all’opposizione e alla limitazione del trattamento sanciti dagli articoli 13–21 del GDPR e dagli articoli 7 e 8 della Carta dei diritti fondamentali.

Quelli sul Data Act

Analogamente, gli interventi sul Data Act, in particolare laddove si prospettano esenzioni mirate per le PMI e le small mid-caps rispetto ad alcuni obblighi relativi alla portabilità dei dati e alla transizione fra fornitori di servizi cloud, sollevano il problema di come bilanciare l’obiettivo di rimuovere barriere economiche all’adozione di soluzioni cloud con l’esigenza, non meno importante, di costruire un autentico mercato unico dei dati fondato sull’interoperabilità e sulla equa condivisione del valore generato.

Esenzioni e alleggerimenti, infatti, possono tradursi in un breve periodo in risparmi significativi, ma nel lungo periodo potrebbero consolidare rapporti di dipendenza strutturale da pochi grandi fornitori, ostacolando quella stessa libertà di scelta e di circolazione dei dati che il Data Act mirava, in origine, a promuovere.

Il dibattito politico e dottrinale sul Digital Omnibus

Sullo sfondo di queste operazioni tecniche, non può poi essere trascurato il dibattito politico e dottrinale che già si è acceso intorno al Digital Omnibus dato che una parte significativa della dottrina e della società civile ha evocato il rischio di un “massive rollback” delle protezioni digitali, denunciando la tentazione di diluire, sotto il lessico neutro della semplificazione, alcune delle conquiste regolatorie che hanno reso il modello europeo un punto di riferimento globale nella tutela dei dati e dei diritti digitali.

Dall’altra, una parte del mondo imprenditoriale e di alcuni Stati membri rivendica da tempo la necessità di contrastare una deriva regolatoria percepita come ipertrofica sostenendo che senza un intervento di snellimento l’Europa rischia di restare prigioniera di un modello di “over-compliance” che soffoca innovazione e crescita.

La vera posta in gioco sul rinvio dell’AI Act

Il giurista, tuttavia, è chiamato, in questa fase, a tenersi a distanza sia da una apologia acritica della regolazione, sia da un altrettanto acritico elogio della deregolazione che scambia per efficienza ciò che potrebbe rivelarsi, nel medio periodo, una progressiva erosione delle garanzie.

La vera posta in gioco, infatti, non è soltanto la quantità di norme, ma la loro qualità sistemica.

Se il rinvio delle disposizioni sull’AI ad alto rischio, l’alleggerimento di alcuni obblighi GDPR, la riforma dei cookies e le esenzioni dal Data Act sapranno essere accompagnati da un rafforzamento effettivo degli strumenti di enforcement, da una maggiore prevedibilità delle decisioni delle autorità, da standard tecnici chiari e condivisi, allora il Digital Omnibus potrà essere letto come un aggiustamento fisiologico di un impianto normativo estremamente ambizioso.

Al contrario, aw tali interventi si limiteranno a spostare in avanti le scadenze, ridurre gli oneri più visibili e scommettere su un’autoregolazione del mercato, che la stessa esperienza degli ultimi decenni ha mostrato essere incapace di garantire da sola i diritti fondamentali, allora ci troveremo di fronte a una vera e propria “costituzione digitale in revisione”, in cui l’asse del bilanciamento si sposta silenziosamente ma decisamente dal lato della competitività economica.

In questo quadro, il ruolo del Parlamento europeo e del Consiglio sarà cruciale poiché dovranno valutare:

• se accogliere integralmente la proposta della Commissione, eventualmente rafforzandone le misure di salvaguardia;
• oppure se introdurre contrappesi che riaffermino, anche simbolicamente, il primato del paradigma dei diritti nell’architettura digitale europea, al contempo, le imprese sono chiamate a non vivere il rinvio e le semplificazioni come un’occasione per procrastinare gli investimenti in governance, ma come uno spazio temporale in cui consolidare strumenti di risk management, audit algoritmico, accountability interna, affinché l’entrata a regime delle norme trovi un ecosistema già maturo, capace di dimostrare che competitività e tutela dei diritti non sono variabili necessariamente antitetiche.

Conclusioni

In ultima analisi, la scelta odierna di rinviare e semplificare l’AI Act e le altre normative digitali sarà giudicata, sul piano storico e giuridico, non tanto in base ai mesi guadagnati o ai milioni risparmiati, quanto alla capacità dell’ordinamento europeo di preservare, dentro questa fase di aggiustamento, l’idea forte che ha animato la stagione regolatoria degli ultimi anni: che la transizione digitale non è soltanto un fatto tecnologico o economico, ma un processo costituzionale in cui si ridefiniscono rapporti di potere, spazi di autonomia, forme di sorveglianza e strumenti di responsabilità, e in cui ogni “semplificazione” deve essere misurata non solo sulla scala dell’efficienza, ma su quella, ben più esigente, della dignità e della libertà delle persone