Il panorama normativo digitale europeo, da anni considerato il baluardo globale della protezione dei dati personali, è sull’orlo di una profonda e controversa trasformazione. Sull’onda di notizie riguardanti un parziale ritardo nell’implementazione dell’AI Act, a seguito di presunte pressioni esercitate da figure politiche statunitensi e dalle Big Tech, emerge ora la clamorosa ipotesi di una vasta revisione del Regolamento generale sulla protezione dei dati (GDPR), la legge sulla privacy di maggiore influenza al mondo. Questo potenziale dietrofront normativo è alimentato dal timore che l’eccessiva rigidità europea stia soffocando l’innovazione e la competitività dell’Unione Europea nel cruciale settore dell’Intelligenza Artificiale.
Secondo una bozza del cosiddetto “pacchetto omnibus digitale” dell’UE, ottenuta e riportata da Politico, la Commissione Europea starebbe pianificando ampie modifiche al GDPR orientate a favore degli sviluppatori di intelligenza artificiale. L’annuncio del pacchetto, atteso entro la fine del mese, è ufficialmente motivato dalla necessità di “ridurre la ridondanza attraverso revisioni mirate” e semplificare la legislazione tecnologica. Tuttavia, la bozza rivela disposizioni che, di fatto, minano alcuni degli aspetti più fondamentali e apprezzati del GDPR, il tutto per facilitare ai developer di IA l’apprendimento e l’addestramento dei modelli tramite l’uso dei dati.
Il punto focale di questa revisione è l’introduzione di una nuova esenzione per le aziende di intelligenza artificiale. Se approvata, questa deroga consentirebbe a tali aziende di utilizzare legalmente categorie speciali di dati — informazioni estremamente sensibili come le convinzioni religiose o politiche, l’etnia o i dati sanitari degli individui — per addestrare e gestire i loro modelli di IA. Non solo, ma il pacchetto prevederebbe una ridefinizione della stessa nozione di “dati personali”, estendendo al contempo l’ambito delle categorie speciali di dati. Tra le proposte più controverse vi è l’affermazione esplicita che i dati anonimizzati non godrebbero della protezione del GDPR, e si sta persino discutendo l’aggiunta di nuove regole sui cookie che potrebbero potenzialmente giustificare il tracciamento degli utenti senza il loro esplicito consenso.
Questo scenario si inserisce in una tendenza più ampia di deregulation che sembra percorrere i corridoi del potere europeo. Le voci di un “Pacchetto di semplificazione” con allentamenti e rinvii di alcune disposizioni normative digitali avevano già fatto pensare a un cedimento alle pressioni esercitate dal governo e dalle potenti aziende statunitensi. Tuttavia, la revisione del GDPR, che è il cuore pulsante della politica tecnologica dell’UE, rischia di scatenare una vera e propria tempesta politica.
Le reazioni immediate da parte dei difensori della privacy sono state dure e allarmate. Jan Philipp Albrecht, ex membro del Parlamento europeo e uno dei principali architetti del GDPR, ha espresso un netto dissenso, chiedendosi se questa sia “la fine della protezione dei dati e della privacy nell’UE” e intimando che la Commissione debba essere pienamente consapevole di “compromettere seriamente gli standard europei”. Similmente, Max Schrems, fondatore del gruppo per la privacy Noyb e attivista di spicco, ha bollato il piano come “mal concepito e frettoloso in un ambito molto complesso e delicato”.
Tuttavia, il motore di questo cambiamento risiede nella crescente preoccupazione che le politiche tecnologiche dell’UE stiano ostacolando la sua competitività globale nel campo dell’IA. Personalità autorevoli come l’ex Primo Ministro italiano Mario Draghi hanno sottolineato, in un rapporto sulla competitività, che il GDPR si è rivelato un ostacolo all’innovazione. Le sanzioni per violazioni del GDPR, che possono raggiungere cifre esorbitanti come 20 milioni di euro o il 4% del fatturato annuo globale, hanno ripetutamente frenato l’azione delle Big Tech. Aziende di primo piano come Meta e X hanno dovuto ritardare o posticipare il lancio dei loro prodotti di IA nell’Unione, un chiaro segnale di come la conformità normativa sia diventata un onere significativo.
La stesura originale del GDPR, avvenuta tra il 2012 e il 2016, fu il risultato della più grande campagna di lobbying nella storia, il che spiega la riluttanza dell’UE a modificarla dopo l’entrata in vigore nel 2018. Sebbene i funzionari dell’UE abbiano tentato di placare gli animi negando una revisione radicale e insistendo sul mantenimento dei principi fondamentali, l’imminente pubblicazione della bozza, prevista per il 19 del mese, ha già polarizzato l’opinione pubblica. La sua successiva approvazione richiederà il consenso degli Stati membri e dei parlamentari dell’UE, preannunciando un aspro scontro politico tra la necessità di protezione dei cittadini e l’urgenza di promuovere l’innovazione nell’era dell’Intelligenza Artificiale.