I primi mesi del 2024 sono stati caratterizzati da importanti novità su diversi fronti: dall’Intelligenza Artificiale, alle normative facenti parte della strategia europea in materia di dati (le novità maggiori sono intervenute, segnatamente, con riguardo al Data Act, al Digital Services Act e al Digital Markets Act), alle disposizioni in tema di cybersecurity con la Direttiva NIS2 e il Cyber Resilience Act.
Non meno importanti, alcuni provvedimenti dell’Autorità Garante per la protezione dei dati personali, i quali sono destinati ad aprire dibattiti su tematiche fondamentali.
Intelligenza Artificiale e AI Act
Il 13 marzo 2024, il Parlamento europeo ha approvato l’AI ACT, il quale stabilisce regole armonizzate sull’Intelligenza Artificiale e modifica alcuni atti legislativi dell’Ue, con 523 voti favorevoli, 46 contrari e 49 astensioni.
Attualmente, l’AI Act deve ancora essere sottoposto alla verifica finale dei giuristi-linguisti e dovrebbe essere adottato definitivamente prima della fine della legislatura. Nel frattempo, si rimane in attesa dell’approvazione formale dell’AI Act da parte del Consiglio.
Si ricorda che l’AI Act entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE e inizierà ad applicarsi 24 mesi dopo l’entrata in vigore, salvo per quanto riguarda: i divieti relativi a pratiche vietate, che si applicheranno a partire da sei mesi dopo l’entrata in vigore; i codici di buone pratiche (nove mesi dopo); le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi) e gli obblighi per i sistemi ad alto rischio (36 mesi).
Strategia europea in materia di dati
La Strategia europea in materia di dati rappresenta un passo importante verso la creazione di un mercato unico dei dati, il quale consentirà ai dati stessi di circolare liberamente all’interno dell’UE e in tutti i settori, a vantaggio delle imprese, dei ricercatori e delle amministrazioni pubbliche.
In proposito, si ricorda che il Regolamento (UE) 2023/2854 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo o Data Act è entrato in vigore l’11 gennaio 2024, ma sarà applicabile a partire dal 12 settembre 2025. Pertanto, ci vorrà ancora un po’ di tempo prima di avere contezza degli effetti derivanti da questo nuovo Regolamento Ue.
Sul fronte del Regolamento (UE) 2022/2065 del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE o Digital Services Act, invece, si evidenzia che dal 17 febbraio 2024 si ha la piena applicazione di tale Regolamento; mentre, lato Regolamento (UE) 2022/1925 del 14 settembre 2022 relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (Digital Markets Act), dal 6 marzo 2024, i gatekeeper devono conformarsi agli obblighi previsti da tale Regolamento.
Le novità in tema di cybersecurity
Molto importanti, le novità in arrivo in tema di cybersicurezza. In particolare, è prevista l’abrogazione della Direttiva (UE) 2016/1148 (Direttiva NIS1) con effetto a decorrere dal 18 ottobre 2024.
La Direttiva NIS1 sarà sostituita dalla Direttiva 2022/2555relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (Direttiva NIS2). In tal senso, si attende la legge nazionale di recepimento, la quale dovrebbe giungere presumibilmente entro l’anno.
Con riguardo invece al Regolamento relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica il regolamento (UE) 2019/1020 (Cyber Resilience Act), il 12 marzo scorso, è arrivata l’approvazione da parte del Parlamento europeo.
Le attività dell’Autorità Garante per la protezione dei dati personali
A livello nazionale, degne di nota risultano essere le attività poste in essere dell’Autorità Garante per la protezione dei dati personali su diversi fronti. In primo luogo, è opportuno ricordare che in tema di metadati è stata avviata una consultazione pubblica sulla congruità del termine di conservazione dei metadati degli account dei servizi di posta elettronica dei lavoratori (giorno, ora, mittente, destinatario, oggetto, dimensione dell’e-mail); mentre, sullo spinoso tema di ChatGPT, il Garante ha notificato a OpenAI, società che gestisce la piattaforma di intelligenza artificiale ChatGPT, l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali.
Conclusioni
Come risulta chiaramente dall’analisi di cui sopra, il 2024 risulta già essere un anno denso di novità dal punto di vista non solo della protezione dei dati personali, ma anche con riguardo a tutte le normative orbitanti intorno alla data protection, le quali devono necessariamente fare i conti con un panorama normativo sempre più articolato. In quest’ottica, è fondamentale rimanere sempre aggiornati sulle complesse sfide del digitale, di modo da mettere al primo posto, come sempre, i diritti delle persone fisiche.
