Doc. XVIII-bis, n. 82

Pag. 2

DOCUMENTO APPROVATO DALLA COMMISSIONE

La XIV Commissione,

esaminate, ai fini della verifica di conformità con il principio di sussidiarietà, la proposta di regolamento relativa alla semplificazione dell'attuazione di regole armonizzate sull'intelligenza artificiale (di seguito «proposta sull'IA») (COM(2025)836), la proposta di regolamento che semplifica il quadro legislativo del settore digitale (di seguito «proposta sui dati») (COM(2025)837) e la proposta di regolamento che istituisce i portafogli europei delle imprese (COM(2025)838);

tenuto conto degli elementi di conoscenza e di valutazione emersi nel corso delle audizioni svolte nell'ambito dell'esame delle proposte;

premesso che:

le proposte intendono ridurre i costi amministrativi, promuovere l'accesso ai dati di alta qualità e sostenere l'innovazione mediante la semplificazione delle norme in materia di IA, dati e sicurezza informatica, nonché attraverso l'istituzione di portafogli europei delle imprese;

tali obiettivi appaiono condivisibili, ma le misure proposte costituiscono solo un primo passo verso una più organica ed incisiva semplificazione del quadro normativo digitale dell'Unione europea, volta ad assicurare un equilibrio avanzato tra la difesa dei diritti fondamentali delle persone e lo stimolo all'innovazione delle imprese dell'Unione;

le iniziative di semplificazione devono inserirsi in un percorso più ampio di razionalizzazione del quadro normativo europeo, al fine di ridurre quella stratificazione regolatoria che ha già generato un evidente svantaggio competitivo per l'Unione rispetto ai principali concorrenti internazionali, come Stati Uniti e Cina;

per queste ragioni, si accoglie con favore l'avvio – contestualmente alla presentazione delle proposte in esame – di una consultazione pubblica sul controllo dell'adeguatezza digitale (Digital Fitness Check), iniziativa fortemente sostenuta dal Governo italiano, che mira ad agire sul versante della semplificazione normativa e della digitalizzazione dell'attuazione per conciliare l'ambizione regolatoria con la competitività del mercato digitale dell'Unione europea;

considerate in senso positivo, tra le misure previste dal pacchetto:

l'istituzione di un punto di accesso unico per la segnalazione degli incidenti, a condizione che non ne sia compromessa la tempestiva conoscenza da parte delle autorità nazionali competenti: è tuttavia Pag. 3auspicabile una maggiore razionalizzazione degli obblighi e delle tempistiche di segnalazione previste dalla normativa dell'Unione europea in materia di cybersicurezza;

l'accentramento in capo all'Ufficio per l'IA del monitoraggio e della supervisione di determinati sistemi basati su modelli di IA per finalità generali o integrati in piattaforme online e motori di ricerca di dimensioni molto grandi, purché gli Stati membri mantengano un ruolo rilevante nella governance del regolamento sull'IA, in coerenza con il principio di leale cooperazione e con l'assetto multilivello della governance digitale europea;

rilevato, con riferimento al rispetto del principio di attribuzione, che la base giuridica delle proposte è correttamente individuata nell'articolo 114 del Trattato sul funzionamento dell'Unione europea (TFUE) relativo al funzionamento del mercato interno; per la proposta sui dati è altresì richiamato l'articolo 16 TFUE, in coerenza con la disciplina sulla protezione dei dati personali;

ritenute le proposte complessivamente conformi al principio di sussidiarietà, pur rilevando che la motivazione fornita dalla Commissione europea in ordine alla necessità dell'intervento a livello dell'Unione, in particolare per le proposte sull'IA e sui dati, appare in parte tautologica: in particolare, il mero richiamo al fatto che vengono modificati atti legislativi in vigore dell'Unione europea, prescindendo da una considerazione quanto ai contenuti e alla portata delle modifiche proposte, non fornisce una giustificazione piena rispetto al criterio della necessità dell'intervento;

evidenziato che tale impostazione non appare conforme all'articolo 5 del Protocollo n. 2 allegato ai Trattati, ai sensi del quale la Commissione europea dovrebbe sostenere le ragioni che hanno portato a concludere che un obiettivo dell'Unione possa essere meglio conseguito a livello di quest'ultima mediante indicatori qualitativi e quantitativi;

si pone altresì in evidente contrasto con il medesimo articolo 5 la decisione della Commissione europea di non elaborare una valutazione di impatto completa in ragione della presunta natura tecnica e mirata delle proposte: tale scelta non appare adeguatamente motivata poiché impedisce una corretta ponderazione degli impatti economici differenziati a carico dei diversi comparti industriali, categorie di imprese e pubbliche amministrazioni, oltre a non risultare pienamente coerente con il Protocollo n. 2 allegato ai Trattati; la XIV Commissione della Camera dei deputati ha già formulato rilievi critici sull'assenza di valutazioni di impatto nei documenti adottati in esito alla verifica di sussidiarietà su diverse proposte omnibus di semplificazione presentate dalla Commissione europea;

considerate le proposte complessivamente coerenti con il principio di proporzionalità, poiché definiscono un quadro giuridico volto a favorire l'interoperabilità e l'innovazione benché, in riferimento alla proposta che istituisce i portafogli europei delle imprese, non sia sufficientemente chiarito come si intenda garantire il coordinamento, sul piano tecnico e della governance, tra i portafogli delle imprese e Pag. 4quelli di identità digitale e, allo stesso modo, sia necessario prevedere maggiore flessibilità in ordine alla possibilità degli Stati membri di integrare il portafoglio europeo delle imprese all'interno dei propri ecosistemi digitali;

ritenuto che, pur condivisibili negli obiettivi generali, alcune modifiche prospettate dalla proposta sui dati in relazione al regolamento generale sulla protezione dei dati (GDPR) potrebbero generare criticità in ordine alla loro interpretazione; in particolare:

la modifica prospettata dall'articolo 3, paragrafo 1, che chiarisce la definizione di dato personale relativizzandola in base alla riconducibilità effettiva del dato al suo titolare, introduce un criterio soggettivo che potrebbe generare incertezza giuridica;

analoga incertezza potrebbe derivare dalla previsione introdotta dall'articolo 3, paragrafo 3, secondo cui, qualora la rimozione di categorie particolari di dati personali utilizzati per l'addestramento di un sistema di IA richieda uno sforzo sproporzionato, il titolare del trattamento può limitarne l'impiego impedendone l'utilizzo per la produzione di output o la divulgazione a terzi, in luogo della loro effettiva eliminazione: tale soluzione, pur ispirata a criteri di ragionevolezza operativa, rischia di generare margini di incertezza applicativa; appare pertanto opportuno individuare parametri chiari e oggettivi per la valutazione della sproporzione, al fine di evitare interpretazioni disomogenee e garantire uniformità nell'attuazione della disciplina;

la previsione dell'articolo 41-bis, prospettata dall'articolo 3, paragrafo 10, della proposta, attribuisce alla Commissione europea la facoltà di adottare atti di esecuzione per specificare i mezzi e i criteri utili a determinare se i dati risultanti dalla pseudonimizzazione non costituiscano dati personali, con possibile incidenza sull'ambito oggettivo di applicazione del GDPR: ciò consentirebbe alla Commissione europea, con un atto non legislativo, di incidere in misura rilevante sull'ambito di attuazione oggettivo in materia di protezione dei dati, come sostenuto anche dal parere congiunto del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati dell'11 febbraio 2026; tale disposizione non appare pertanto in linea con l'articolo 291 del TFUE;

sono formulate in termini eccessivamente generici le deroghe, di cui al nuovo articolo 88-bis, paragrafo 3, all'obbligo di ricevere il consenso per il mantenimento dei dati personali nelle apparecchiature terminali e il successivo trattamento qualora le finalità presentino un rischio limitato per i diritti o le libertà degli interessati;

solleva rilevanti problemi di applicabilità tecnica la previsione di cui al successivo paragrafo 4, per cui l'interessato dovrebbe poter respingere le richieste di consenso con un solo click e, nel caso di rifiuto, non sarebbe possibile presentare una nuova richiesta per le stesse finalità per un periodo di almeno 6 mesi;

analogamente, la previsione del nuovo articolo 88-ter, secondo cui gli interessati dovrebbero poter ricorrere a indicazioni automatizzate e leggibili da dispositivo automatico della loro scelta di accettare o rifiutare una richiesta di consenso o di opporsi al trattamento dei Pag. 5dati, non appare tecnicamente praticabile nei diversi ambienti applicativi digitali, oltre a sollevare dubbi di coerenza con il requisito del consenso informato previsto dal GDPR;

l'articolo 88-quater prevede, in determinate condizioni, che il legittimo interesse possa costituire base giuridica per l'addestramento di modelli di IA, tuttavia la facoltà riconosciuta agli Stati membri di richiedere espressamente il consenso dell'interessato rischia di determinare divergenze applicative e, conseguentemente, una situazione di incertezza giuridica e di incompleta armonizzazione; inoltre, nella valutazione che il titolare del trattamento è chiamato a svolgere circa l'idoneità del legittimo interesse quale fondamento del trattamento, dovrebbe essere espressamente considerato anche l'interesse sociale; andrebbe altresì chiarito che gli obblighi di trasparenza ed il diritto incondizionato di opposizione si aggiungono a quelli già previsti dagli articoli 13, 14 e 21 del GDPR, senza sostituirli o attenuarli;

rilevata la necessità di valutare con maggiore attenzione, nel corso del negoziato interistituzionale, la possibilità di:

estendere il periodo di transizione di sei mesi previsto dall'articolo 1, paragrafo 30, della proposta sull'IA in relazione agli obblighi di rilevazione ed etichettatura dei contenuti sintetici previsto dall'articolo 50, paragrafo 2, del regolamento sull'IA, per i fornitori di sistemi di IA immessi sul mercato prima del 2 agosto 2026;

modificare l'articolo 1, paragrafo 31, della proposta sull'IA per fornire maggiore certezza giuridica riguardo all'applicazione degli obblighi relativi ai sistemi di IA ad alto rischio, stabilendo una data fissa uniforme e limitando la discrezionalità della Commissione europea nel determinare la disponibilità di misure di sostegno alla conformità alle suddette norme;

rafforzare ulteriormente la possibilità di rifiutare la condivisione di dati che potrebbero divulgare segreti commerciali disposta dall'articolo 3, paragrafo 1, della proposta sui dati;

introdurre, in ciascuna delle proposte, riferimenti espliciti al tema dell'open source, in linea con la strategia dell'Unione dei dati pubblicata contestualmente alle proposte;

rilevata l'esigenza che il presente documento sia trasmesso al Parlamento europeo, al Consiglio e alla Commissione europea, nell'ambito del dialogo politico,

VALUTA CONFORMI

le proposte al principio di sussidiarietà di cui all'articolo 5 del Trattato sull'Unione europea.