La legge egiziana sulla protezione dei dati smette di essere un esercizio sulla carta il 1 novembre 2026. Il Senato del Kenya sta discutendo un disegno di legge dedicato all'intelligenza artificiale che creerebbe un Commissario per l'IA con il potere di imporre sanzioni fino a 5 milioni di scellini. Il regolatore nigeriano ha già avvisato i responsabili del trattamento che un audit di conformità mancato può costare 10 milioni di naira o il 2% del fatturato annuo, a seconda di quale importo sia più elevato. Eppure solo 16 dei 55 Stati membri dell'Unione Africana hanno ratificato l'unico trattato pensato per armonizzare tutto questo, la Convenzione di Malabo, e nessuna delle quattro maggiori economie del continente, Sudafrica, Nigeria, Kenya o Egitto, ne fa parte.
Questo scarto tra ambizione continentale e realtà nazionale è il tratto distintivo della governance dell'IA e dei dati in Africa nel 2026. I team di compliance non possono contare su un unico corpus normativo come avviene sempre più nell'UE. Devono invece seguire quattro o cinque regimi nazionali che si muovono a velocità diverse, una strategia dell'Unione Africana ancora nelle prime fasi di attuazione, e un AI Act europeo la cui portata extraterritoriale coinvolge già le aziende africane che servono clienti europei.
Nulla di tutto ciò è teorico. Determina se il modello di credit scoring di una fintech di Lagos necessita di una valutazione d'impatto sulla protezione dei dati prima del lancio, se un'azienda health-tech di Johannesburg può continuare a vendere software diagnostici a un gruppo ospedaliero europeo, e se il sistema automatizzato di decisione sui prestiti di un istituto di credito di Nairobi dovrà presto rispondere a un regolatore dedicato all'IA invece che a un semplice ufficio per la protezione dei dati.
Esiste un'unica legge africana che disciplina IA e dati?
No. La Strategia continentale dell'Unione Africana sull'intelligenza artificiale, approvata dal Consiglio Esecutivo ad Accra il 18 e 19 luglio 2024, stabilisce un orientamento politico piuttosto che regole vincolanti, e il suo stesso calendario di attuazione prevede una Fase 1, dedicata alla costruzione di strutture di governance e strategie nazionali, che va dal 2025 al 2026, con l'esecuzione dei progetti principali che non inizierà prima del 2028. L'unico strumento con effettiva forza giuridica, la Convenzione di Malabo sulla sicurezza informatica e la protezione dei dati personali, è entrata in vigore l'8 giugno 2023 dopo che la Mauritania è diventata il suo quindicesimo Stato ratificante, ma nel 2026 solo 16 dei 55 membri dell'UA l'hanno ratificata. Le aziende che operano oltre confine in Africa devono quindi ancora orientarsi nel diritto nazionale paese per paese, non in un regime continentale armonizzato.
Cosa richiede nel 2026 la legge nigeriana sulla protezione dei dati?
Il Nigeria Data Protection Act 2023 ha conferito alla Nigeria Data Protection Commission poteri statutari autonomi di applicazione, rafforzati dalla General Application and Implementation Directive entrata in vigore nel settembre 2025. Ogni organizzazione classificata come responsabile o incaricato del trattamento dei dati di rilevanza maggiore deve registrarsi presso la Commissione e presentare annualmente un rapporto di audit sulla conformità in materia di protezione dei dati, di norma entro il 31 marzo, sebbene la Commissione abbia prorogato il ciclo di presentazione 2025 fino al 30 maggio 2026. Le autorità hanno segnalato che le sanzioni per un audit mancante o carente possono ora raggiungere 10 milioni di naira o il 2% del fatturato annuo lordo, a seconda di quale importo sia più elevato, un cambiamento marcato rispetto all'approccio consultivo del precedente Nigeria Data Protection Regulation. Non esiste ancora una normativa specifica sull'IA, quindi il processo decisionale automatizzato che coinvolge dati personali è disciplinato dalle disposizioni generali della legge in materia di trattamento lecito e diritti degli interessati.
Il Sudafrica regola l'IA, o solo i dati?
Solo i dati, per ora, e anche in questo campo le indicazioni restano scarse per quanto riguarda l'IA. La sezione 71 del Protection of Personal Information Act limita le decisioni basate esclusivamente su trattamento automatizzato che producono effetti giuridici o similmente significativi, una disposizione strutturalmente vicina all'articolo 22 del GDPR, ma il Regolatore dell'informazione sudafricano non ha ancora pubblicato, a inizio 2026, alcuna linea guida dedicata, giurisprudenza o posizione applicativa in materia. Il Regolatore ha confermato che pubblicherà linee guida sulle valutazioni d'impatto sulle informazioni personali durante l'esercizio finanziario 2026/27, destinate a fungere anche da strumento per la valutazione dei rischi legati all'IA. Separatamente, il Dipartimento delle Comunicazioni e delle Tecnologie Digitali ha aperto la sua Bozza di Politica Nazionale sull'IA alla consultazione pubblica nell'aprile 2026, proponendo un modello a livello di intero governo in cui i regolatori esistenti, il Regolatore dell'informazione, l'ICASA, la Commissione per la concorrenza e i regolatori finanziari, mantengono i propri mandati attuali e si coordinano tramite un nuovo Forum nazionale di regolamentazione dell'IA piuttosto che tramite un'unica autorità per l'IA. I poteri sanzionatori restano concreti ai sensi della stessa POPIA: la sanzione amministrativa massima è di 10 milioni di rand per violazione, e il Regolatore dell'informazione ha imposto la sua prima sanzione, 5 milioni di rand, al Dipartimento della Giustizia e dello Sviluppo Costituzionale, nel luglio 2023.
Quanto è vicino il Kenya a una legge dedicata all'IA?
Più vicino della maggior parte del continente, ma non ancora arrivato. L'Artificial Intelligence Bill, 2026 del Kenya, promosso dalla senatrice Karen Nyamu, creerebbe un Ufficio indipendente del Commissario per l'Intelligenza Artificiale con poteri di ispezionare i sistemi di IA, mantenere un registro pubblico dei sistemi ad alto rischio e applicare un regime basato sul rischio in parte modellato sull'AI Act europeo. Il disegno di legge collega esplicitamente gli obblighi per l'IA ad alto rischio al Data Protection Act, 2019 già esistente, richiedendo ai fornitori di condurre valutazioni d'impatto sulla protezione dei dati e, laddove le decisioni automatizzate producano effetti giuridici o similmente significativi, di garantire un diritto all'intervento umano. Necessita ancora dell'approvazione dell'Assemblea Nazionale e dell'assenso presidenziale prima di diventare legge. Fino a quel momento, l'Ufficio del Commissario per la Protezione dei Dati, operante ai sensi del Data Protection Act e della Strategia Nazionale del Kenya sull'Intelligenza Artificiale 2025-2030, resta l'unico organismo che supervisiona attivamente il trattamento connesso all'IA, con il potere di indagare e imporre sanzioni amministrative in caso di violazioni.
Cosa cambia per le aziende quando la legge egiziana sui dati entrerà in piena vigore?
La legge egiziana sulla protezione dei dati personali, in vigore dal 2020 ma mai completamente operativa senza norme attuative, ha finalmente ottenuto i suoi Regolamenti Esecutivi con il Decreto n. 816 del 2025 del Ministro delle Telecomunicazioni, pubblicato nel novembre 2025. Quella pubblicazione ha avviato un periodo di grazia di un anno che scade il 1 novembre 2026, dopo il quale il Centro per la Protezione dei Dati Personali ottiene piena autorità per concedere licenze, ispezionare e sanzionare le organizzazioni che trattano dati personali in Egitto. I Regolamenti affrontano l'IA direttamente ma in modo circoscritto: i responsabili del trattamento che utilizzano dati personali per addestrare o gestire modelli di IA devono trattarli in linea con standard "riconosciuti a livello locale, regionale e internazionale", un riferimento alla Carta Egiziana non vincolante per l'Intelligenza Artificiale Responsabile emessa dal Consiglio Nazionale per l'Intelligenza Artificiale. L'Egitto non dispone ancora di una normativa autonoma sull'IA, quindi la Carta funziona come indicazione di soft law che si aggiunge a un diritto vincolante sulla protezione dei dati.
Perché l'AI Act europeo riguarda un'azienda senza sede nell'UE?
Perché la normativa disciplina i risultati, non gli indirizzi. Ai sensi dell'articolo 2, paragrafo 1, lettera c), l'AI Act europeo si applica a fornitori e utilizzatori situati fuori dall'Unione ogniqualvolta l'output del loro sistema di IA venga utilizzato al suo interno, la stessa logica extraterritoriale che ha reso il GDPR un riferimento di conformità globale piuttosto che meramente europeo. Una fintech nigeriana che gestisce credit scoring basato su IA per clienti della diaspora europea, o un'azienda sudafricana di diagnostica che concede in licenza il proprio software a un gruppo ospedaliero europeo, rientra nel campo di applicazione indipendentemente da dove si trovino i suoi server. Gli obblighi per i fornitori di modelli di IA per finalità generali sono già entrati in vigore nell'agosto 2025, e la scadenza di conformità principale per i sistemi ad alto rischio, che riguarda tra l'altro decisioni in materia di occupazione, credito e assicurazioni, arriva il 2 agosto 2026. Questi obblighi si aggiungono, senza sostituirla, alla normativa nazionale sulla protezione dei dati già applicabile.
| Giurisdizione | Legge principale | Regolatore | Scadenza 2026 |
|---|---|---|---|
| Nigeria | Data Protection Act 2023 + GAID 2025 | Nigeria Data Protection Commission | Rapporti di audit 2025 attesi entro il 30 maggio 2026, sanzioni fino a 10 milioni di naira o 2% |
| Sudafrica | POPIA, Bozza di Politica Nazionale sull'IA | Regolatore dell'informazione | Linee guida PIIA sull'IA attese nell'esercizio finanziario 2026/27 |
| Kenya | Data Protection Act 2019, AI Bill 2026 in attesa | Ufficio del Commissario per la Protezione dei Dati | AI Bill in attesa di approvazione dell'Assemblea Nazionale e assenso presidenziale |
| Egitto | Personal Data Protection Law 151/2020 + Regolamenti | Centro per la Protezione dei Dati Personali | Il periodo di grazia termina il 1 novembre 2026, con piena applicazione a seguire |
Cosa dovrebbero fare i team di compliance prima che la strategia dell'UA si aggiorni?
Occorre seguire ogni giurisdizione secondo le sue regole specifiche, senza attendere un'armonizzazione continentale che, secondo il calendario stesso dell'UA, non maturerà prima del 2028. Il Protocollo sul Commercio Digitale dell'AfCFTA, i cui otto allegati di supporto su flussi di dati, identità digitale e tecnologie emergenti sono stati adottati nel febbraio 2025, indica una direzione verso un trasferimento transfrontaliero dei dati più libero, ma il suo periodo di transizione di cinque anni significa che le regole nazionali continueranno a disciplinare la conformità quotidiana per anni. Obsidian monitora ciascuno di questi regimi, l'NDPA e la GAID della Nigeria, la POPIA sudafricana e la sua politica sull'IA in evoluzione, il Data Protection Act del Kenya e l'AI Bill in attesa, la PDPL egiziana e la sua scadenza di novembre 2026, oltre agli strumenti dell'UA e dell'AfCFTA che li sovrastano, rispetto alle loro fonti ufficiali di livello tier-0, con avvisi nel momento stesso in cui una gazzetta ufficiale, un regolamento o lo stato di un disegno di legge cambia. Per i team che devono anche comprendere come questi regimi interagiscono con l'AI Act europeo o il GDPR, la compagna IA di Obsidian risponde alle domande basandosi sulla stessa base di fonti verificate piuttosto che sulle ipotesi di un modello generico, e l'integrazione MCP inserisce gli stessi dati regolatori direttamente negli assistenti IA che i team di compliance e legali già utilizzano ogni giorno.
I prossimi dodici mesi separeranno le giurisdizioni che passano dal documento politico all'applicazione effettiva da quelle ancora in fase di elaborazione. Il periodo di grazia egiziano termina a novembre, il disegno di legge kenyota potrebbe essere approvato entro fine anno, e il Regolatore dell'informazione sudafricano si è impegnato a pubblicare le sue prime linee guida rilevanti per l'IA. Attendere che il quadro continentale dell'Unione Africana risolva queste differenze non è una strategia di compliance. Il monitoraggio continuo per giurisdizione lo è, ed è opportuno verificare quanto costa un piano costruito esattamente su questa copertura prima che arrivi la prossima scadenza.