Digital Omnibus e revisione del GDPR, tutto pro-Coud provider Usa e disastro per l’Europa? Questa l’opinione di molti esperti che hanno fatto il punto sulla proposta di Digital Omnibus appena pubblicata dalla Ue, un insieme di provvedimenti disegnato ufficialmente per semplificare il quadro normativo digitale europeo ed eliminare parte dell’eccessiva complessità che si è venuta a creare in seguito al GDPR, entrato in vigore nel 2018, e a d altre norme fra cui l’AI Act.
L’aggiornamento del 19 novembre è stato ribattezzato “pacchetto semplificazione” e comprende modifiche fondamentali che avranno conseguenze dirette sul modo in cui possono essere usati i dati, il modo in cui potranno essere addestrati, e come le imprese che si occupano di advertising, media e tech potranno operare.
“La Commissione ha definito un percorso per semplificare le norme UE e rendere l’economia dell’UE più competitiva e prospera, semplificando, riducendo i costi e rendendo più efficienti le attività commerciali nell’UE”, si legge in una nota dell’organo esecutivo. “La Commissione ha un obiettivo chiaro: realizzare uno sforzo di semplificazione senza precedenti, ottenendo una riduzione di almeno il 25% degli oneri amministrativi e di almeno il 35% per le PMI entro la fine del 2029”.
Il documento di 153 pagine ha diversi risvolti. La Commissione deve ora discutere la sua proposta con il Parlamento e con il Consiglio.
Cosa si propone di risolvere
La regolamentazione digitale dell’UE è diventata caotica. Esistono norme sovrapposte in materia di privacy (GDPR ed ePrivacy), condivisione dei dati (Data Act e Data Governance Act), sicurezza informatica (NIS2, DORA, CRA), governance delle piattaforme (DSA e DMA) e nuove normative come l’AI Act. Leggi diverse utilizzano definizioni diverse, prevedono obblighi di rendicontazione diversi e talvolta si contraddicono a vicenda.
La Commissione afferma che l’Omnibus ridurrà gli “oneri amministrativi”, “aumenterà la chiarezza giuridica” e renderà più facile per le imprese, soprattutto quelle di piccole dimensioni, conformarsi alle normative. Mira inoltre a rendere l’UE più attraente per lo sviluppo dell’IA e dei prodotti basati sui dati, che la Commissione ritiene importanti per la competitività dell’Europa.
Proposte chiave Omnibus
Una definizione più precisa e ristretta di “dati personali”
La proposta recepisce le attuali linee guida dei tribunali e chiarisce quando i dati pseudonimizzati debbano essere considerati personali. Ad esempio, gli identificatori che non possono essere ricondotti a un individuo senza informazioni aggiuntive, come alcuni ID hash o segnali di modellazione, potrebbero non essere più trattati come dati personali completi in tutti i contesti. Di fatto, secondo gli “ottimisti” del settore pubblicitario, alcuni tipi di identificatori potrebbero non essere più soggetti ai più severi requisiti del GDPR.
Chi ne sarà interessato:
Il personale legale di inserzionisti, agenzie, piattaforme lato domanda, piattaforme lato offerta, piattaforme di dati dei clienti, ecc., probabilmente leggerà questa proposta e tirerà un sospiro di sollievo. Questo perché possono utilizzare determinati tipi di dati con un rischio legale inferiore. Potrebbe anche rilanciare alcune tecniche di modellazione del pubblico che sono diventate troppo complicate dopo il 2018.
Autorizzazione all’utilizzo di alcuni dati personali per l’addestramento dell’IA
L’Omnibus aggiunge una base giuridica che consente l’addestramento dei sistemi di AI su dati personali o pseudonimizzati, qualora siano presenti misure di sicurezza. Ciò legittima di fatto la raccolta di set di dati su larga scala per l’addestramento dei modelli, a condizione che gli sviluppatori possano dimostrare un’adeguata mitigazione del rischio.
Alcuni osservatori osservano che ciò crea tensioni pratiche e competitive, ovvero che i crawler su larga scala non riescono a distinguere in modo affidabile i dati personali dai contenuti web generali al momento della raccolta, il che significa che qualsiasi separazione avviene soltanto in un secondo momento, spesso in modo imperfetto.
Altri sostengono che, sebbene questi aggiornamenti riducano inutili attriti in ambiti come i pop-up di consenso, i responsabili politici devono garantire che le riforme non avvantaggino inavvertitamente le piattaforme dominanti. Le autorità di regolamentazione del Regno Unito hanno già avvertito che interpretazioni eccessivamente restrittive della legge sulla protezione dei dati possono consolidare i grandi operatori verticalmente integrati, rendendo al contempo più difficile la concorrenza per le piccole aziende e startup del settore ad tech.
Chi ne trarrà beneficio:
I principali sviluppatori di intelligenza artificiale (Google, Meta, Microsoft, Amazon, OpenAI) ne trarranno i maggiori benefici. Anche alcuni fornitori di tecnologie pubblicitarie avranno nuove opportunità per sviluppare o migliorare modelli di apprendimento automatico.
Allineamento di ePrivacy e GDPR
Il consenso sarà ancora necessario per il tracciamento invasivo, ma alcuni tipi di accesso ai dispositivi, come i controlli di sicurezza e le misurazioni di base, saranno più semplici.
Chi ne trarrà beneficio:
I partner di analisi, verifica e misurazione potrebbero riacquistare certezza e funzionalità.
La fine del GDPR?
Gli attivisti per le libertà civili hanno espresso preoccupazione per il fatto che il Digital Omnibus rappresenti l’erosione del GDPR, ed è qui che le opinioni sono divise.
Attivisti per le libertà civili
Ritengono che l’Omnibus indebolisca il GDPR restringendo la definizione di dati personali e consentendo l’utilizzo di una maggiore quantità di dati senza consenso, anche per la formazione dell’IA. Sostengono che ciò sposta il potere dagli individui ai responsabili del trattamento.
Professionisti della privacy del settore
Descrivono l’Omnibus come un aggiornamento atteso da tempo che corregge norme confuse ed elimina oneri inutili. Sostengono che i principi fondamentali del GDPR rimangono in vigore, ma che le sue interpretazioni più rigide e poco pratiche vengono corrette.
Autorità di regolamentazione
La Commissione insiste sul fatto che non si tratta di un passo indietro. Afferma che le riforme “preservano i più elevati standard dei diritti fondamentali” migliorando al contempo la chiarezza. La verità sta nel mezzo: non si tratta di un’abrogazione del GDPR, ma di un allentamento della rigida cultura di conformità che ha dominato la protezione dei dati nell’UE dal 2018.
Cosa significa per il settore pubblicitario
* Gli inserzionisti troveranno più facile gestire campagne multi-mercato coerenti e utilizzare segnali pseudonimizzati.
* Le agenzie potrebbero riscontrare meno interruzioni legate al consenso e misurazioni più fluide.
* Le DSP e le SSP recupereranno una certa dimensione, ma dovranno affrontare una concorrenza più agguerrita da parte delle piattaforme che controllano identità, intelligenza artificiale e controlli a livello di dispositivo.
* Le piattaforme acquisiranno maggiore certezza, soprattutto per quanto riguarda l’intelligenza artificiale e gli ecosistemi proprietari.
* Gli editori potrebbero ottenere guadagni in termini di traffico, ma perdere influenza se i controlli sulla privacy si spostano su browser e sistemi operativi.
La tempistica
Quando si applica la legge e quando è applicabile? È qui che la confusione è maggiore.
Similmente a quanto accaduto dopo la prima approvazione del GDPR nel 2016, l’Omnibus diventerà legge poco dopo la pubblicazione, ma parti diverse si applicheranno in momenti diversi perché modificano più leggi.
Tuttavia, diverse fonti prevedono che, nella pratica, l’impatto reale sarà compreso tra 12 e 36 mesi. Le autorità di regolamentazione devono aggiornare le linee guida, le autorità di protezione dei dati devono armonizzare le interpretazioni, gli standard tecnici devono essere rivisti e le aziende hanno bisogno di tempo per adeguare i sistemi.
In altre parole, l’Omnibus diventerà legge rapidamente, ma diventerà realtà lentamente.