Confcommercio promuove l’impostazione più graduale e pragmatica che si va delineando nella revisione del quadro europeo sul digitale, a partire dall’AI Act. In audizione davanti alla Commissione Politiche Ue della Camera, l’associazione ha espresso apprezzamento per la proposta di subordinare l’applicazione degli obblighi previsti per i sistemi di intelligenza artificiale ad alto rischio alla disponibilità di misure concrete di supporto alla conformità. Si tratta, secondo l’organizzazione, di un cambio di passo rilevante: l’entrata in vigore degli obblighi sarebbe legata non solo a scadenze formali ma anche alla reale predisposizione di strumenti operativi. Il meccanismo prevede inoltre periodi transitori differenziati, con date certe, tra cui il 2 agosto e il 2 dicembre 2027, un elemento considerato essenziale per consentire alle imprese di pianificare investimenti e adeguamenti senza incertezze. Il punto di partenza, ricordano i rappresentanti del commercio, è che solo il 16% delle imprese utilizza oggi soluzioni di intelligenza artificiale. In questo contesto, un’introduzione troppo rapida e rigida degli obblighi rischierebbe di tradursi in uno “shock normativo”, con effetti sproporzionati soprattutto per le realtà di minori dimensioni. Da qui la richiesta che l’attivazione degli obblighi sia ancorata a criteri oggettivi di “readiness”: pubblicazione di standard e modelli facilmente adattabili, piena operatività degli organismi di valutazione e disponibilità di canali di assistenza, in particolare per micro, piccole e medie imprese.
Analoga apertura è stata espressa nei confronti del cosiddetto Digital Omnibus della Commissione europea, che interviene sul Gdpr con l’obiettivo di alleggerire gli oneri amministrativi senza intaccare il livello di tutela dei dati personali. Confcommercio giudica positivo l’approccio modulare che distingue tra trattamenti complessi e trattamenti semplici, per i quali sarebbero previsti template standardizzati. La semplificazione, nelle intenzioni, consentirebbe di ridurre i costi di compliance preservando i principi fondamentali della protezione dei dati. Resta tuttavia un nodo da sciogliere: la possibile sovrapposizione tra l’obbligo di notifica dei data breach previsto dall’articolo 33 del Gdpr e quanto stabilito dal decreto Pnrr per le imprese con meno di cinque dipendenti. Un coordinamento più chiaro, osserva l’associazione, sarebbe necessario per evitare duplicazioni e incertezze applicative.
Sul fronte e-Privacy, l’articolo 3 della proposta viene letto come un tentativo di ricomporre la frammentazione normativa tra direttiva e-Privacy e Gdpr. L’introduzione di eccezioni per i cookie tecnici e di meccanismi ritenuti sufficienti per la raccolta del consenso potrebbe tradursi, per le imprese dell’e-commerce, in benefici tangibili: meno adempimenti per i cookie strettamente necessari alla navigazione, maggiore flessibilità nell’uso di dati aggregati e maggiore certezza giuridica per programmi di fidelizzazione.
Permangono però criticità. In particolare, il paragrafo 4 dell’articolo 3 limiterebbe l’accesso ai metadati, con il rischio di precludere agli operatori informazioni utili a comprendere preferenze di consumo rilevanti. “Un equilibrio più calibrato tra tutela della privacy e utilizzo economico dei dati – conclude Confcommercio – sarà decisivo per rendere la semplificazione realmente favorevole alla competitività del sistema commerciale“.
