Il Comitato europeo per la protezione dei dati personali (EDPB) e il Supervisore Europeo per i Dati Personali (EDPS) hanno adottato la Joint Opinion 1/2026 sulla proposta di “Digital Omnibus sull'IA” della Commissione UE.

Il Comitato europeo per la protezione dei dati personali (EDPB) e il Supervisore Europeo per i Dati Personali (EDPS) hanno adottato la Joint Opinion 1/2026 sulla proposta della Commissione (19 novembre 2025) di “Digital Omnibus on AI”, che interviene sul Regolamento (UE) 2024/1689 (AI Act) con l’obiettivo di semplificarne l’attuazione. 

Le Autorità condividono l’obiettivo di ridurre alcune frizioni applicative, ma avvertono che la semplificazione non deve tradursi in un arretramento della tutela dei diritti fondamentali e della protezione dei dati.

 

Tra i punti principali i due enti segnalano:

• Trattamento dei dati di particolare natura per rilevazione e correzione di discriminazioni (bias): EDPB/EDPS sostengono in linea di principio l’estensione della base che consente, in via eccezionale, l’uso di categorie particolari di dati per individuare e correggere bias anche oltre l’alto rischio, ma chiedono che l’ambito sia chiaramente circoscritto e riservato a casi in cui il rischio di effetti avversi sia sufficientemente serio; inoltre raccomandano di mantenere lo standard di “stretta necessità” (non un generico “necessario”) e di evitare formulazioni che creino incertezza giuridica.

• Registrazione e documentazione: pur apprezzando la riduzione degli oneri, le Autorità raccomandano di mantenere la registrazione nel database UE anche quando un sistema ricompreso in Allegato III viene “autovalutato” come non ad alto rischio, evidenziando che l’eliminazione dell’obbligo ridurrebbe l’accountability e creerebbe incentivi distorsivi.

• Sandbox UE e supervisione: supporto all’idea di sandbox a livello UE, ma con richieste di chiarimento sulla competenza delle Autorità privacy e sul coordinamento; in particolare, viene suggerito un ruolo di consulenza dell’EDPB su aspetti data protection e uno status di osservatore nel Board europeo IA, nonché una delimitazione più chiara dei casi di competenza esclusiva dell’AI Office e una cooperazione stretta con le Autorità privacy quando vi sono rischi per diritti e libertà fondamentali.

• Obblighi di alfabetizzazione in materia di IA (AI literacy): EDPB/EDPS segnalano la propria contrarietà a trasformare un obbligo in una semplice linea di indirizzo: se si introduce un dovere di promozione da parte di Commissione e Stati membri, dovrebbe essere aggiuntivo e non sostitutivo dell’obbligo in capo a fornitori e deployer.

• Scadenze per la piena applicabilità delle norme sui sistemi IA “ ad alto rischio”: EDPB/EDPS segnalano una forte cautela sulla proposta di rinvio (fino al 2 Dicembre 2027 come termine ultimo) e sulla logica della “scadenza mobile” (sei mesi a partire dalla adozione della Decisione UE) per possibili effetti su certezza del diritto e protezione dei diritti fondamentali.