Il 18 luglio 2024, Ursula von der Leyen ha anche reso noti i primi “Orientamenti politici della Commissione Europea per il quinquennio 2024-2029”, che costituiranno la “bussola” da tradurre in un programma di lavoro concreto nei prossimi mesi.
Il Think-Tank “Centers for European Policies Network” (Cep) ha recentemente pubblicato una propria prima analisi di alcune parti di questi orientamenti, alcuni dei quali riguardanti aspetti dell’innovazione in ambito digitale, fornendo delle proposte di misure concrete che possono essere utilizzate per attuare le linee guida illustrate dalla von der Leyen, in modo da raggiungere gli obiettivi preposti attraverso interventi specifici e dettagliati.
La proposta di un programma di “consolidamento giuridico“
Riguardo all’obiettivo di “sottoporre a stress test l’intero acquis dell’UE” e, sulla base di questo, “presentare proposte per semplificare, consolidare e codificare la legislazione per eliminare eventuali sovrapposizioni e contraddizioni, mantenendo al contempo standard elevati”, il Cep propone di istituire un “programma di consolidamento giuridico” per trasformare il complesso, non trasparente e parzialmente sovrapposto apparato normativo dell’Unione in un quadro giuridico semplice, comprensibile, prevedibile e coerente.
In particolare, andrebbero riviste le leggi in materia digitale dell’UE adottate negli ultimi anni, poiché alcune di esse si sovrappongono in modo spesso non trasparente, contengono duplicazioni o obblighi molto simili, in un settore in cui la certezza del diritto, la trasparenza e la comprensibilità sono fondamentali per avere efficienza e regolarità.
Le necessarie indicazioni sulla gestione delle sinergie normative
Inoltre, secondo il Cep si dovrebbero fornire alle imprese e alle autorità indicazioni su come sfruttare le sinergie per adempiere a obblighi simili o che si sovrappongono, come ad esempio la gestione del rischio ai sensi del regolamento generale sulla protezione dei dati (GDPR), della direttiva NIS 2 e della legge sull’intelligenza artificiale (AI Act), – gli obblighi di informazione ai sensi del GDPR e dell’AI Act, – gli obblighi di segnalazione degli incidenti ai sensi del GDPR, della direttiva NIS 2 e della legge sulla resilienza informatica (Cyber Resilience Act), e – gli obblighi di portabilità previsti dal GDPR e dalla legge sui dati.
La riduzione delle incertezze giuridiche
Sarebbero inoltre necessarie proposte concrete per eliminare tempestivamente o almeno ridurre significativamente, le incertezze giuridiche in relazione al GDPR ed all’intelligenza artificiale, contrastando così la minaccia di svantaggi competitivi per le aziende europee, con la Commissione chiamata a non limitarsi a fare riferimento alle linee guida delle autorità di protezione dei dati, ma a proporre essa stessa misure concrete.
Semplificazione per le piccole e medie imprese
Riguardo all’obiettivo della riduzione degli gli oneri e della burocrazia per le piccole e medie imprese (PMI), lo studio Cep invita la Commissione a riesaminare l’efficacia delle esenzioni normative e delle altre semplificazioni per le PMI, e ad adeguarle ove necessario, in quanto alcune legislazioni dell’UE contengono semplificazioni de jure per le PMI, che però non hanno quasi alcun effetto de facto.
È il caso del GDPR, rispetto al quale le aziende con meno di 250 dipendenti sono esentate dall’obbligo di tenere un registro delle attività di trattamento: un’esenzione che tuttavia si applica solo se il trattamento dei dati effettuato non comporta rischi per i diritti e le libertà degli interessati, il trattamento è solo occasionale e non vengono trattate categorie particolari di dati, ma poiché la maggior parte delle aziende con meno di 250 dipendenti non soddisfa questi requisiti, anche queste finiscono per essere obbligate a creare un registro delle attività di trattamento.
Completamento del mercato unico
Un’altra priorità riguarda la volontà di favorire “un nuovo slancio per completare il mercato unico in settori come i servizi, l’energia, la difesa, la finanza, le comunicazioni elettroniche e il digitale”: un obiettivo necessario ma impegnativo, per il quale secondo il Cep la Commissione dovrebbe estendere il mercato unico a settori normativi non ancora integrati, poiché attualmente esso è incompleto in particolare nei settori dei servizi finanziari, dell’energia e delle telecomunicazioni. Inoltre, la Commissione dovrebbe aiutare gli Stati membri ad abolire le norme protezionistiche esistenti, e a non adottarne di nuove, in quanto un mercato interno incompleto riduce la competitività delle imprese europee e il potere (geo)politico dell’UE.
Dare piena attuazione e rispetto delle leggi digitali
Altro obiettivo considerato nello studio Cep è quello di dare piena attuazione e garantire il rispetto delle leggi digitali dell’UE. Qui le misure proposte suggeriscono alla Commissione innanzi tutto di fornire alle aziende e agli altri utenti, ma anche alle autorità, una migliore panoramica della nuova legislazione digitale, rendendo pubblico un “Compendio di diritto digitale” che riassuma e differenzi le principali leggi digitali dell’UE, in particolare la legge sull’intelligenza artificiale, la legge sui dati, gli spazi di dati previsti – come il proposto spazio europeo dei dati sanitari – la legge sulla governance dei dati, la legge sui mercati digitali, la legge sui servizi digitali, la legge sulla cyber-sicurezza, la direttiva NIS II e le altre leggi dell’UE sulla cyber-sicurezza, spiegandone più dettagliatamente lo scopo e il contenuto.
Andrebbe anche spiegata l’interazione tra le norme digitali dell’UE, come la legge sui dati, con lo Spazio europeo dei dati sanitari e il GDPR. In secondo luogo, la Commissione dovrebbe sostenere maggiormente Stati membri ed aziende nell’attuazione, esecuzione e applicazione corretta e uniforme del nuovo regolamento digitale dell’UE. In terzo luogo, la Commissione dovrebbe organizzare programmi di formazione per le imprese e il personale delle autorità pubbliche per aiutarli a comprendere meglio le nuove leggi digitali dell’UE e le loro interazioni, ad applicarle più rapidamente e con maggiore precisione e a garantirne un’applicazione coerente.
Unione europea dei dati: assistenza sulle basi giuridiche
Riguardo alla strategia di un’Unione Europea dei dati, da basarsi secondo von der Leyen “sulle norme esistenti in materia di dati per garantire un quadro giuridico semplificato, chiaro e coerente che consenta alle imprese e alle amministrazioni di condividere i dati senza soluzione di continuità e su scala, nel rispetto di elevati standard di privacy e sicurezza”, il Cep auspica che venga fornita assistenza su quali basi giuridiche ai sensi della legge sulla protezione dei dati – diverse dal consenso – si possano basare il trasferimento e l’utilizzo dei dati e come può essere organizzato in modo sicuro.
L’UE ha già introdotto numerose norme per rafforzare lo scambio di dati attraverso la legislazione settoriale, le regole sulla governance dei dati e il concetto di spazi di dati europei, e anche il Data Act contiene già disposizioni intersettoriali complete per promuovere l’accesso e l’uso dei dati generati da prodotti in rete come elettrodomestici intelligenti e macchine industriali, nonché servizi connessi (App): tuttavia, l’auspicato mercato unico dei dati è ancora ostacolato, tra l’altro, dalla mancanza di interoperabilità e dalle incertezze giuridiche in materia di protezione dei dati, per cui sarebbe fondamentale, anche al fine di rafforzare lo scambio di dati e lo sviluppo di modelli di business e di IA basati sui dati all’interno dell’UE, che la Commissione adotti misure per eliminare rapidamente le incertezze giuridiche in relazione al GDPR, in particolare, risolvendo con certezza giuridica il conflitto tra il principio della minimizzazione dei dati e i “big data”, determinando il punto in cui i dati sono considerati anonimi e chiarendo le questioni relative alla responsabilità in caso di possibile successiva re-identificazione.