Modifiche al GDPR: se semplificare rischia di danneggiare i diritti

Il contesto della proposta di modifica del Gdpr e le difficoltà per le PMI

Come noto, il GDPR è applicabile dal 25 maggio 2018 e si fonda su pilastri normativi solidi e ben articolati che statuiscono obblighi specifici nei riguardi degli operatori che trattino dati personali: un apparato regolatorio che, con il trascorrere degli anni, è stato sempre più percepito, specie dalle piccole e medie imprese, come un insieme di sovrastrutture difficili da gestire e da aggiornare periodicamente: informative, procedure, registri del trattamento, valutazioni di impatto, designazione del “Responsabile della protezione dei dati”.

Il quadro è apparso ulteriormente problematico, all’indomani del “Rapporto Draghi” del 9 settembre 2024, che – nell’evidenziare il rapporto tra lo sviluppo imprenditoriale e l’utilizzo delle nuove tecnologie, compresa l’intelligenza artificiale – ha  illustrato le sfide a cui è sottoposta l’Unione, con solo il 6% delle start-up europee in grado di realizzare modelli di intelligenza artificiale.

In questa prospettiva l’Europa deve essere pronta ad affrontare riforme sostanziali delle sue strutture finanziarie, ma d’altra parte contare su un utilizzo sempre più sistematico e coordinato di strumenti avanzati per poter consolidare una cultura diffusa, evitando di creare nuove fratture sociali ed ineguaglianze generazionali non sostenibili nel contesto europeo.

Proprio per questo, occorre permettere alle imprese emergenti di sviluppare prodotti competitivi con le imprese americane o cinesi che operano con altre dimensioni di mercato.

Basti soltanto questo a rendersi conto come il contesto in cui ha preso piede la proposta della Commissione sia peculiare e stratificato.

Corre il dovere di precisare, però, che è lo stesso GDPR a prevedere delle semplificazioni tanto con il Considerando 13 quanto con il testo attualmente vigente dell’art. 30, che esonera le imprese con meno di 250 dipendenti dal tenere un registro dei trattamenti, salvo che il trattamento: a) possa presentare un rischio per i diritti e le libertà degli interessati; b) non sia occasionale; c) includa categorie particolari di dati o dati relativi a condanne penali e reati.

Quindi, per poter intervenire proattivamente sull’aggiornamento della normativa, occorre interrogarsi sul grado di maturità digitale del tessuto imprenditoriale europeo, sull’integrazione tra innovazione e diritti fondamentali, sul mantenimento di livelli più o meno altri di efficienza e competitività.

In tal contesto, la Commissione Europea ha elaborato la proposta per fornire un sostegno alle organizzazioni e potenziare e sviluppare competenze nei settori più pertinenti e rilevanti, anche per il commercio di prodotti specifici che non saranno oggetto della presente trattazione.

Le modifiche al GDPR: focus sugli articoli principali

Si precisi sin d’ora che gli interventi auspicati dalla Commissione riguardano gli artt. 4, 30, 40 e 42, con il ruolo centrale assunto dalle c.d. “microimprese, piccole e medie imprese” e dalle “imprese a media capitalizzazione di piccole dimensioni”.

L’integrazione dell’art. 4

Il primo intervento concerne l’integrazione dell’art. 4 del GDPR, con l’inserimento delle definizioni di “microimprese, piccole e medie impese” e le “imprese a media capitalizzazione di piccole dimensioni” (quelle imprese che hanno superato i requisiti per essere definite PMI, in particolare, occupano meno di 750 persone, hanno un fatturato annuo non superiore ai 150 milioni di euro o un totale di bilancio annuo non superiore ai 129 milioni di euro), rispettivamente individuate dalla raccomandazione della Commissione 2003/361 e dalla recentissima raccomandazione 2025/1099, coerentemente con le modifiche approntate al resto del corpo del Regolamento.

Le modifiche all’art. 30

Certamente la modifica maggiormente interessante – e che sta facendo più discutere – riguarda l’art. 30, il cui perimetro di esenzione va incontro ad una importante espansione: le imprese con un numero di dipendenti inferiore a 750 sarebbero dispensate dalla tenuta del registro dei trattamenti, salva la verifica della presenza di un elevato rischio per i diritti e le libertà degli interessati, ai sensi dell’art. 35 del GDPR.

Gli interventi sugli articoli 40 e 42

Prima di focalizzare l’attenzione su questo aspetto, occorre analizzare la portata delle residue modifiche: l’art. 40 incoraggerebbe l’elaborazione di codici di condotta per il trattamento dei dati personali, coerentemente, tenute in debito conto anche le specificità delle imprese a media capitalizzazione di piccole dimensioni.

Parimenti, l’art. 42 per l’istituzione dei meccanismi di certificazione, quali strumenti volontari per promuovere la trasparenza e rafforzare la fiducia degli interessati.

Gli impatti delle modifiche al Gdpr per le imprese

La proposta della Commissione precisa che un considerando del regolamento di modifica chiarirà che anche le imprese a media capitalizzazione sono esentate dal redigere un registro dei trattamenti, a meno che il trattamento non possa comportare un “rischio elevato” per gli interessati, secondo la definizione dell’articolo 35, e che il trattamento di categorie particolari di dati personali ai sensi dell’articolo 9, paragrafo 2, lettera b), non farà scattare, in quanto tale, l’obbligo di tenuta del registro.

La Commissione ritiene, in questo senso, che le modifiche proposte potranno avere un impatto significativo sulle PMI e le c.d. “Small-Mid Caps”, riducendo i costi di gestione della conformità normativa (in termini di tempo, risorse ed energie) e includendo le esigenze di queste ultime nei codici di condotta e nei meccanismi di certificazione.

Ma come possono individuarsi i trattamenti che comportino un rischio elevato se le stesse imprese non sono in grado di procedere ad una mappatura efficiente?

Ricordiamo che il registro dei trattamenti, lungi dal costituire un adempimento “noioso”, vuoto e formale, rappresenta, al contrario, un documento che può essere di grande aiuto per gli operatori, specie per quelli più piccoli, che, in questo modo, hanno la possibilità di tenere sotto controllo di trattamenti dei dati personali ed i loro aggiornamenti, anche con precipuo riferimento agli strumenti tecnologici impiegati.

La semplificazione, quindi, rischia di tradursi in un indebolimento dei diritti dell’interessato, con possibili implicazioni sul piano non soltanto giuridico, ma anche sociale ed etico, e perché no, reputazionale.

La protezione dei dati assume il ruolo di presidio a tutela dei diritti e delle libertà degli interessati, per cui occorre fare molta attenzione nell’alleggerimento degli obblighi correlati, per evitare di generare significativi “vulnus” nella vita delle persone e nella trasparenza dei prodotti e dei servizi offerti.

Il sistema delineato dal GDPR si basa sul principio di accountability (responsabilizzazione), che richiede che i titolari e i responsabili del trattamento dei dati siano pienamente consapevoli delle operazioni di trattamento dei dati personali che eseguono e dei rischi ad esse associati.

Tale consapevolezza si traduce in un monitoraggio costante delle attività che, come detto, può essere agevolato dalla tenuta efficiente del registro dei trattamenti, anche e soprattutto nella prospettiva di individuare i rischi e le misure di sicurezza tecniche ed organizzative adeguate; di tracciare i trasferimenti di dati extra UE; di individuare i tempi di conversazione dei dati.

Le preoccupazioni delle autorità europee sulla modifica del GDPR

L’EDPB e il Garante Europeo per la protezione dei dati hanno risposto alla comunicazione del 6 maggio 2025 della Commissione, in cui quest’ultima spiegava come intendeva introdurre modifiche specifiche al GDPR.

Con una lettera pubblicata l’8 maggio scorso le autorità hanno evidenziato la necessità di una consultazione formale successiva alla pubblicazione della proposta, anticipando che, in questa fase, potrebbero esprimere un sostegno preliminare all’iniziativa di semplificazione mirata, tenendo presente che ciò non influirebbe sull’obbligo dei titolari e dei responsabili del trattamento circa l’osservanza degli altri obblighi del GDPR.

Tuttavia, tanto l’EDPB quanto il Garante Europeo hanno chiesto alla Commissione di considerare in maniera più approfondita e ponderata l’impatto sulle organizzazioni coinvolte dalla modifica, per valutare se la bozza di proposta garantisca un equilibrio proporzionato ed equo tra la protezione dei dati personali e gli interessi delle organizzazioni in parole.

La necessità di una revisione ponderata per evitare effetti indesiderati

La proposta avanzata – unitamente al contesto sociopolitico, economico e culturale in cui si colloca – induce a riflettere attentamente sulle possibili conseguenze di un alleggerimento normativo, dal momento che le imprese e le organizzazioni impattate sarebbero molteplici.

Intervenire in correzione su una fonte regolamentare applicabile ormai da sette anni è certamente corretto a chiarificazione di alcuni aspetti che possono apparire “desueti” e dimostra la volontà di adattare le regole alla realtà mutevole e multiforme che interessa i principali settori di sviluppo, economico, industriale, tecnologico.

L’errore che dovrebbe evitarsi sarebbe quello di nascondersi dietro le maglie della semplificazione ed ottenere il ben più grave effetto del sacrificio e del pregiudizio dei diritti e delle libertà fondamentali degli individui.