Con la Joint Opinion 01/2026, l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS) intervengono in modo coordinato su un tema che, a prima vista, potrebbe apparire tecnico e neutro: la semplificazione e l’implementazione delle regole armonizzate sull’Intelligenza Artificiale nell’Unione europea.
In realtà, il parere congiunto rappresenta molto di più di un contributo consultivo. È un segnale istituzionale forte, indirizzato tanto al legislatore europeo quanto agli Stati membri, su un rischio concreto: che la spinta alla semplificazione normativa, se mal calibrata, finisca per indebolire l’architettura di tutela dei diritti fondamentali su cui l’AI Act è costruito.
Non è un caso che il documento insista su un punto chiave: l’AI Act non è una mera disciplina di mercato, ma uno strumento di governance tecnologica ad alta densità costituzionale.
Semplificare per rafforzare
La Joint Opinion si colloca in un momento in cui L’AI Act è formalmente adottato, ma la sua fase più delicata è appena iniziata: quella dell’implementazione concreta, dell’applicazione uniforme e dell’integrazione con il corpus normativo digitale esistente.
In questo contesto, la parola “semplificazione” diventa ambigua. Semplificare per chi e a quale costo?
EDPB ed EDPS chiariscono immediatamente il perimetro del problema: qualsiasi intervento volto a ridurre oneri amministrativi o complessità applicative non può tradursi in una riduzione sostanziale delle garanzie, né in una compressione dei principi di protezione dei dati, trasparenza e accountability già sanciti dal GDPR.
La semplificazione non è un obiettivo autonomo, ma uno strumento subordinato alla tutela dei diritti fondamentali e alla coerenza sistemica dell’ordinamento UE.
Le interazione tra AI Act e GDPR
Dal punto di vista giuridico, la Joint Opinion ribadisce un principio essenziale: l’AI Act e il GDPR operano su piani distinti ma interdipendenti. Ogni tentativo di “razionalizzazione” che ignori questa interazione rischia di creare vuoti di tutela o, peggio, conflitti interpretativi.
EDPB ed EDPS mettono in guardia contro approcci che:
- frammentano l’applicazione dell’AI Act tra Stati membri;
- marginalizzano il ruolo delle autorità indipendenti;
- introducono deroghe o scorciatoie procedurali sotto l’etichetta della semplificazione.
Particolarmente rilevante è il richiamo al principio di accountability. L’AI Act, come il GDPR, non si limita a imporre obblighi formali, ma costruisce un sistema in cui i soggetti obbligati devono dimostrare attivamente la conformità delle proprie scelte tecnologiche.
In questo senso, la semplificazione non può mai tradursi in una riduzione degli obblighi di valutazione del rischio, documentazione, supervisione umana o controllo ex post. Al contrario, una semplificazione mal progettata rischia di spostare la complessità dal piano normativo a quello operativo, aumentando l’incertezza giuridica.
Il parere congiunto insiste inoltre sulla necessità di preservare una lettura antropocentrica dell’AI Act, coerente con la Carta dei diritti fondamentali dell’UE. Ogni meccanismo applicativo che riduca il ruolo della protezione dei dati a variabile accessoria è, secondo le Autorità, strutturalmente incompatibile con l’impianto del regolamento.
Cosa comporta per le imprese essere AI compliant
Le implicazioni pratiche sono tutt’altro che astratte.
Per le istituzioni europee e nazionali, il rischio principale è una implementazione disallineata, in cui la ricerca di efficienza amministrativa produce interpretazioni divergenti e applicazioni non uniformi dell’AI Act.
Per le imprese, soprattutto quelle che sviluppano o utilizzano sistemi di AI ad alto rischio, il pericolo è duplice:
- da un lato, una falsa percezione di alleggerimento degli obblighi;
- dall’altro, un aumento dell’esposizione a rischi sanzionatori e reputazionali a causa di framework applicativi poco chiari.
La Joint Opinion invita implicitamente le organizzazioni a non adottare un approccio minimale, ma a investire sin da subito in modelli di governance dell’AI robusti, integrati con i presidi GDPR già esistenti. Essere “AI Act compliant” non significa aderire a una checklist, ma costruire processi decisionali tracciabili, controllabili e giuridicamente difendibili.
Un nuovo paradigma per governare l’innovazione
La Joint Opinion EDPB–EDPS chiarisce un punto che dovrebbe orientare l’intero dibattito europeo sull’AI: la semplificazione normativa non è sinonimo di deregolazione.
L’AI Act rappresenta una scelta politica e giuridica precisa dell’Unione europea: governare l’innovazione senza sacrificare i diritti fondamentali. Ogni intervento sulla sua implementazione deve rafforzare, non indebolire, questa architettura.
La vera sfida dei prossimi anni non sarà ridurre la complessità dell’AI Act, ma governarla. In questa prospettiva, la compliance non è un costo da minimizzare, bensì una leva strategica di fiducia, legittimazione e sostenibilità dell’ecosistema AI europeo.
Il messaggio delle Autorità è netto: chi confonde semplificazione con scorciatoia sta leggendo l’AI Act nel modo sbagliato.
