Digital Omnibus on AI: governance, controlli e diritti fondamentali

4. Le competenze dell’AI Office: centralizzare senza creare zone d’ombra

La proposta amplia le competenze dell’AI Office, attribuendogli un ruolo di supervisione esclusiva su alcuni sistemi basati su modelli di intelligenza artificiale generali, incluse categorie rilevanti come le Very Large Online Platforms (VLOP) e i Very Large Online Search Engines (VLOSE).

EDPB ed EDPS riconoscono che la centralizzazione della vigilanza può avere senso in presenza di modelli complessi e transfrontalieri.
Allo stesso tempo, avvertono che questa esclusività potrebbe ridurre la capacità delle autorità nazionali di intervenire tempestivamente in presenza di rischi significativi per i diritti fondamentali. Chiedono quindi che la norma delimiti con chiarezza l’ambito della competenza esclusiva dell’AI Office, evitando un accentramento eccessivo.

Un’ulteriore criticità riguarda i sistemi sviluppati o utilizzati dalle istituzioni europee: sebbene un considerando chiarisca che tali sistemi resterebbero sotto la supervisione dell’EDPS, questa indicazione non è riportata nell’articolato, con il rischio di creare incertezza giuridica. Le Autorità chiedono che la precisazione venga inserita esplicitamente nel testo normativo.

5. Cooperazione tra autorità: semplificare senza rallentare

Il Digital Omnibus propone una revisione del sistema di cooperazione tra le Market Surveillance Authorities (MSA) e gli organismi responsabili della tutela dei diritti fondamentali (FRAB), introducendo un punto di contatto centralizzato.

In teoria, questa soluzione potrebbe rendere i processi più efficienti. In pratica, però, EDPB ed EDPS temono che l’obbligatorietà della mediazione possa introdurre passaggi ulteriori, rallentando lo scambio di informazioni e riducendo l’efficacia dell’azione di vigilanza.

Le Autorità ritengono quindi essenziale che il ruolo delle MSA sia chiaramente definito come puramente amministrativo, senza margini di valutazione sulle richieste dei FRAB, e che la riforma non incida sui poteri delle Autorità privacy, che devono poter accedere direttamente alle informazioni necessarie per il controllo del rispetto del GDPR.

6. AI literacy: da obbligo a invito?

Un altro elemento critico riguarda la proposta di trasformare l’obbligo, oggi previsto per provider e deployer, di garantire un adeguato livello di alfabetizzazione in materia di AI in un semplice invito a promuovere tale alfabetizzazione.

Per EDPB ed EDPS si tratterebbe di un arretramento non giustificato. L’AI literacy non è un requisito formale, ma uno strumento essenziale per assicurare che chi sviluppa o utilizza sistemi di intelligenza artificiale sia consapevole dei rischi, delle implicazioni etiche e delle responsabilità giuridiche.
Sostituire un obbligo con un incoraggiamento rischierebbe di indebolire l’efficacia complessiva dell’AI Act. Più opportuno sarebbe mantenere l’obbligo previsto dall’articolo 4, eventualmente affiancandolo da misure di promozione.

7. Rinvio delle norme sugli high risk systems: un equilibrio delicato

La proposta introduce anche uno slittamento dei termini di applicazione delle disposizioni sui sistemi ad alto rischio.
La Commissione giustifica questa scelta con le difficoltà operative incontrate dagli Stati membri e dalle autorità competenti.

Le Autorità europee, pur comprendendo le motivazioni tecniche, esprimono preoccupazione per l’impatto sui diritti fondamentali, soprattutto considerando la rapidità dell’evoluzione tecnologica. Evidenziano inoltre che una “scadenza mobile” potrebbe compromettere la certezza del diritto.
Invocano quindi una valutazione più ponderata e suggeriscono di mantenere invariati almeno alcuni obblighi fondamentali, come quelli in materia di trasparenza.

Conclusioni

Il parere congiunto EDPB–EDPS restituisce un messaggio chiaro: molte delle modifiche proposte dal Digital Omnibus on AI, pur orientate alla semplificazione dell’AI Act, rischiano di indebolire il livello di tutela dei diritti fondamentali.

Le Autorità non mettono in discussione la necessità di rendere la normativa più efficiente e applicabile, ma ribadiscono che ogni intervento di semplificazione deve evitare compromessi sulla protezione delle persone, in particolare quando sono coinvolti trattamenti di dati particolari, sistemi ad alto rischio e processi decisionali automatizzati.