Deroga al Registro dei Trattamenti: un’estensione significativa

La modifica più rilevante riguarda l’articolo 30 del GDPR, che impone alle aziende l’obbligo di tenere un registro delle attività di trattamento dei dati. Attualmente la norma esonera le imprese con meno di 250 dipendenti. La proposta della Commissione estende questa deroga a tutte le imprese e organizzazioni con meno di 750 dipendenti, a condizione che i trattamenti non comportino un rischio elevato per i diritti e le libertà degli interessati.

Tuttavia, EDPB e Garante europeo sottolineano che il registro rappresenta uno strumento chiave di accountability, utile non solo per mappare i trattamenti, ma anche per monitorare l’impiego di nuove tecnologie come l’intelligenza artificiale, valutare l’impatto privacy e verificare le misure di sicurezza in fase di audit. In mancanza di questo documento, sarà necessario individuare strumenti alternativi per garantire la conformità normativa.

Nuove definizioni per le PMI e le società a media capitalizzazione

Un altro elemento di rilievo è l’introduzione, all’articolo 4 del GDPR, di una definizione ufficiale di piccole e medie imprese (PMI) e di società a media capitalizzazione. Questa novità ha impatti diretti sull’applicazione degli articoli 40 e 42 del Regolamento, relativi a codici di condotta e certificazioni, estendendone l’applicabilità anche alle mid-cap.

Secondo la Commissione, questi strumenti aiutano le imprese a dimostrare la propria conformità al GDPR, adattandosi alle esigenze specifiche delle aziende di minori dimensioni.

Criticità sollevate: soglia dei 750 dipendenti e formulazione normativa

Tra i punti più discussi c’è la soglia dei 750 dipendenti, considerata da EDPB e Garante troppo elevata. Le autorità chiedono spiegazioni sul perché sia stata abbandonata l’idea iniziale di fissare il limite a 500, soglia considerata più equilibrata.

Altro nodo è la formulazione attuale dell’articolo 30, che si riferisce solo a "imprese e organizzazioni", escludendo quindi – almeno letteralmente – le PMI e le società a media capitalizzazione oggetto della proposta di riforma. Le autorità suggeriscono una revisione lessicale del testo, affinché sia chiaro che queste categorie rientrano pienamente nel perimetro della normativa.

Quando il registro è ancora obbligatorio: casi di rischio elevato

Nonostante l’estensione della deroga, la necessità di mantenere il registro permane nei casi di trattamento a rischio elevato. EDPB e Garante elencano alcuni esempi significativi, come il monitoraggio sistematico dei dipendenti che implichi il trattamento di categorie particolari di dati (es. dati biometrici o sanitari).

Ciò conferma che, anche con la riforma, il rispetto dei principi fondamentali del GDPR – tra cui la trasparenza, la responsabilità e la protezione dei dati sensibili – resta un pilastro irrinunciabile.

E le autorità pubbliche?

Infine, le autorità precisano che, dal momento che l’articolo 30 si riferisce solo a imprese e organizzazioni, occorre escludere espressamente le autorità e gli organismi pubblici dall’ambito di applicazione della deroga. Un dettaglio formale, ma essenziale per evitare ambiguità interpretative.

Conclusioni: semplificazione sì, ma con attenzione

La proposta della Commissione Europea segna un passo verso una normativa più snella e moderna, pensata per sostenere la competitività delle imprese europee. Tuttavia, come evidenziato da EDPB e Garante, è fondamentale preservare gli strumenti di controllo e responsabilità, come il registro dei trattamenti, per garantire un’effettiva protezione dei dati personali.

La sfida sarà trovare il giusto equilibrio tra semplificazione burocratica e tutela sostanziale dei diritti: una partita tutta da giocare nei prossimi mesi.