Closing the Innovation Gap? I Digital Omnibus e il miraggio dell’effetto Bruxelles
di Simone Franca
Università degli Studi di Trento
Lo scorso novembre l’Unione europea ha presentato due pacchetti di riforma del quadro regolatorio digitale: il Digital Omnibus (che interviene su una vasta gamma di atti, fra cui GDPR, Data Act e Data Governance Act) e il Digital Omnibus on AI (che si concentra sull’AI Act).
Le due proposte sono animate da un obiettivo condivisibile: semplificare e rendere più coerente l’acquis digitale dell’Unione per sostenere competitività e innovazione. L’iniziativa – che si colloca all’interno di un più ampio percorso di semplificazione normativa tramite proposte Omnibus rivolte ad ambiti diversi (es. la PAC; la sostenibilità; etc.) – è particolarmente importante rispetto al digitale, dato che la frammentazione del quadro regolatorio rischia di ostacolare l’attrazione di investimenti a sostegno dello sviluppo tecnologico nell’UE. In questa prospettiva, assume rilievo l’impulso esercitato dal Rapporto Draghi (su cui si v. l’editoriale di E. Bruti Liberati), che ha orientato l’azione della Commissione verso un’agenda di semplificazione normativa.
I Digital Omnibus, infatti, rappresentano un tentativo di tradurre in interventi normativi concreti uno degli assi centrali del Rapporto Draghi, relativo al cd. Innovation Gap, ossia all’incapacità dell’Unione europea di favorire processi virtuosi nel ciclo innovazione-commercializzazione. Il Rapporto riconduce tale divario a più fattori: la natura dispersiva dei programmi di ricerca e innovazione; la limitata capacità di attrarre finanziamenti privati, anche a causa della carenza di investimenti pubblici e di politiche di incentivazione sul piano fiscale; la persistente frammentazione del mercato unico dei capitali; l’esistenza di barriere di origine regolatoria; l’inadeguatezza delle competenze delle figure coinvolte in questi processi.
Pur riconoscendo che la semplificazione del quadro regolatorio rappresenta solo uno degli strumenti per colmare l’Innovation Gap, è opportuno analizzare come essa è stata impostata, per capire se i Digital Omnibus siano effettivamente idonei a realizzarla.
Invero, nel Rapporto Draghi si prospetta un riequilibrio tra regolazione preventiva ed enforcement ex post, nel senso di un, almeno parziale, arretramento della prima a favore del secondo.
Tale impostazione può essere letta secondo due direttrici interpretative distinte. Una prima lettura “massimalista” conduce a ritenere che la riduzione della regolazione ex ante implichi un avvicinamento al modello statunitense, fondato prevalentemente su meccanismi di enforcement successivo e su un intervento regolatorio limitato ai casi di fallimenti del mercato. Una simile opzione, tuttavia, non è esente da rischi: come ampiamente evidenziato in dottrina, la fiducia esclusiva negli strumenti repressivi dell’antitrust può favorire dinamiche oligopolistiche e fenomeni di concentrazione del potere economico, con effetti distorsivi rilevanti, in termini sia di impatto sulla tutela dei consumatori, sia di innesco di fenomeni di cattura del regolatore (cfr. A. Bradford, The False Choice Between Digital Regulation and Innovation, in Northwestern University Law Review, 19, 2024, pp. 377 ss.).
A questa interpretazione va quindi preferita una seconda lettura “temperata”, che è maggiormente coerente con il contesto europeo, perché consente di interpretare il riequilibrio auspicato dal Rapporto non come un abbandono della regolazione preventiva, bensì come un invito a ripensarne forme e intensità. In questa prospettiva, il ridimensionamento non equivale a deregulation, ma apre lo spazio a modelli di regolazione adattiva e sperimentale, capaci di modulare l’intervento pubblico in funzione del rischio, della maturità dei mercati e degli obiettivi di politica industriale, senza però rinunciare a strumenti di controllo e correzione ex post (sulla necessità di una simile impostazione nel mercato europeo cfr. F. Merloni, Diritti e pubbliche amministrazioni nell’austerità liberista. Storia di un abbandono, Napoli, Editoriale Scientifica, 2025, p. 370). Questa seconda lettura ha altresì il pregio di superare le aporie della contrapposizione tra regolazione e innovazione, spesso rappresentata come una scelta obbligata (A. Bradford, The False Choice, cit.) nella prospettiva del cd. Brussels Effect, offrendo un modello regolativo capace di coniugare competitività, tutela dei diritti e sostenibilità sociale su scala globale (A. Bradford, The Brussels Effect: How the European Union Rules the World, New York, OUP, 2020).
Seguendo dunque questa impostazione, i pacchetti Digital Omnibus possono essere letti come un primo banco di prova della lettura “temperata” del riequilibrio tra regolazione ed enforcement auspicato dal Rapporto Draghi. Questi atti, infatti, aspirano a collocarsi al crocevia tra l’esigenza di razionalizzare l’acquis digitale e la necessità di preservare un livello elevato di tutela dei diritti fondamentali.
Si mira, in particolare, a far confluire nel Data Act discipline contenute in diversi corpi normativi, tramite l’abrogazione del Free Flow of Non-Personal Data Regulation e l’integrazione delle regole sul riuso dei dati del settore pubblico ripartite tra il Data Governance Act e la Open Data Directive. Obiettivo che però è difficilmente raggiungibile con quella che appare solo un’azione di “ordinaria manutenzione”. Sarebbe stato piuttosto auspicabile (per quanto più complesso) un tentativo di riconduzione a un unico testo normativo di tutte le discipline sui dati, ivi inclusa quella relativa ai dati personali. La compliance degli operatori è infatti spesso affaticata da una serie di rinvii alla disciplina sui dati personali che potrebbe (e dovrebbe!) essere affrontata sistematicamente all’interno di un unico “codice dei dati”.
Ad ogni modo, alla razionalizzazione dei testi normativi si affiancano altri interventi “manutentivi” di semplificazione degli adempimenti procedurali, in particolare mediante il coordinamento degli obblighi di notifica. Si riconducono così a un single entry point le notifiche di data breach e di incidenti di sicurezza, coordinando gli obblighi previsti dal GDPR con quelli derivanti dalla normativa in materia di cybersicurezza.
Accanto a questi aspetti, la proposta di Digital Omnibus presenta poi profili che sollevano interrogativi rilevanti sotto il profilo della tutela dei diritti e della certezza del diritto.
Un profilo critico emerge nelle modifiche al regime dei servizi di intermediazione dei dati previsti dal Data Governance Act: la trasformazione del sistema di registrazione da obbligatorio a volontario riduce gli oneri per gli operatori, ma incide sui livelli di trasparenza del mercato, con possibili effetti negativi sulla fiducia degli utenti, difficilmente compensabili mediante l’enforcement ex post in un mercato ancora poco maturo.
Le maggiori problematicità si riscontrano, tuttavia, nelle modifiche al quadro della protezione dei dati personali.
Un primo elemento problematico riguarda la rimodulazione della nozione di dato personale, attraverso il chiarimento secondo cui un’informazione non deve essere considerata personale per un determinato soggetto qualora quest’ultimo non disponga di mezzi ragionevolmente utilizzabili per identificare l’interessato. L’intervento mira a recepire gli approdi della giurisprudenza europea (specie con la cd. sentenza Deloitte). Ci si domanda, tuttavia, se la proposta non potesse essere maggiormente ambiziosa, individuando dei criteri per guidare la valutazione dei titolari del trattamento. Il rischio è infatti che la nuova definizione dia luogo a prassi diversificate non solo da parte degli operatori, ma anche da parte delle autorità di controllo, con effetti di frammentazione dell’enforcement difficilmente conciliabili con l’esigenza di una protezione uniforme. In senso critico si sono espressi anche i garanti europei, evidenziando che il chiarimento in chiave “negativa”, volto cioè a stabilire quando un’informazione non è dato personale, rischia di restringere significativamente la portata della nozione e di incentivare strategie elusive da parte dei titolari, generando incertezza.
Su questo sfondo si collocano le ulteriori modifiche che incidono sugli obblighi informativi a carico dei titolari del trattamento. La proposta estende le ipotesi in cui tali obblighi possono essere omessi o attenuati, quando “vi sono ragionevoli motivi per presumere che l’interessato disponga già delle informazioni”. Se, da un lato, tale scelta risponde all’esigenza di evitare adempimenti meramente formali, dall’altro lato introduce una valutazione ex ante ampiamente discrezionale circa la l’effettivo grado e le reali esigenze di conoscenza dell’interessato. In assenza di criteri sufficientemente stringenti, il rischio è quello di una compressione sostanziale del principio di trasparenza, condizione essenziale per l’esercizio consapevole dei diritti da parte degli interessati.
Particolarmente delicato è poi l’intervento volto ad ampliare l’ambito di operatività delle basi giuridiche per il trattamento dei dati personali nel contesto dello sviluppo e dell’uso di sistemi di IA, mediante un più ampio ricorso alla nozione di legittimo interesse del titolare. Pur accompagnata da richiami alla necessità di adottare misure tecniche e organizzative adeguate, tale scelta rischia di indebolire la tutela degli interessati. Questo in particolare se si tiene conto del Digital Omnibus on AI, che estende la possibilità di ricorrere, in via eccezionale, al trattamento di categorie particolari di dati personali per finalità di individuazione e correzione dei bias dei sistemi di IA. In proposito, i garanti europei hanno espresso riserve puntuali, sottolineando l’esigenza che il ricorso a tale ipotesi di trattamento sia chiaramente circoscritto e limitato ai soli casi in cui il rischio di effetti pregiudizievoli risulti sufficientemente serio, nonché ribadendo la necessità di mantenere lo standard di stretta necessità per il trattamento di categorie particolari di dati personali.
Gli interventi sinora analizzati, dunque, da un lato, paiono operare un circoscritto restyling di alcune parti circoscritte delle diverse discipline. Dall’altro lato, sembrano non solo cristallizzare tradizionali aree di incertezza, a partire da quelle connesse alla nozione di dato personale, ma anche introdurne di nuove, per esempio affidando a una clausola elastica – quale la sussistenza di “ragionevoli motivi” per ritenere l’interessato già informato – una valutazione decisiva ai fini dell’esonero dagli obblighi informativi. L’estendersi dell’incertezza rischia di alimentare derive di frammentazione dell’enforcement da parte delle diverse autorità di controllo, in tensione con l’obiettivo dichiarato di garantire un’applicazione uniforme delle regole.
In conclusione, i Digital Omnibus non sembrano riuscire nell’intento di concretizzare la lettura “temperata” del riequilibrio tra regolazione ed enforcement evincibile dal Rapporto Draghi. Le diverse criticità analizzate non solo celano un’accresciuta incertezza nella regolazione, passibile di minare l’uniformità dell’enforcement, ma rischiano anche di comportare un incremento dei costi di compliance, finendo per frenare proprio quell’innovazione che si dichiara di voler promuovere.
In questo quadro, l’effetto Bruxelles rischia di diventare solo un miraggio.