Il contesto della revisione

A partire dalla fine del 2023, diverse testate e analisti hanno riportato l’intenzione della Commissione Europea, in particolare del Commissario alla Giustizia, di rivedere alcune disposizioni del Regolamento Generale sulla Protezione dei Dati (GDPR). Il focus principale è la semplificazione degli obblighi previsti per le PMI, con riferimento all’articolo 30, che disciplina la tenuta del registro dei trattamenti.

Questa iniziativa è stata ufficialmente portata all’attenzione del pubblico l’8 maggio, quando l’European Data Protection Board (EDPB), in concerto con il Garante europeo della protezione dei dati, ha pubblicato una lettera di risposta alla Commissione, esprimendo apertura verso l’idea di una revisione normativa.

L’articolo 30 e il paragrafo 5: cosa dice oggi

Attualmente, l’articolo 30, paragrafo 5, del GDPR prevede l’esonero dall’obbligo di tenuta del registro per i titolari del trattamento con meno di 250 dipendenti. Tuttavia, tale esonero decade se ricorre almeno una delle seguenti condizioni:

• il trattamento può comportare un rischio per i diritti e le libertà degli interessati;
• i trattamenti non sono occasionali;
• il trattamento riguarda categorie particolari di dati (sensibili).

Queste eccezioni rendono l’applicazione della norma particolarmente complessa per le PMI, che spesso si trovano a gestire trattamenti di dati senza la certezza di poter beneficiare dell’esonero.

Le proposte di modifica

La Commissione sta valutando modifiche significative che riguardano sia i criteri dimensionali (numero di dipendenti) sia quelli legati al rischio del trattamento.

1. Soglia dimensionale: da 250 a 500 dipendenti

L’obiettivo principale è innalzare la soglia dimensionale per l’esonero. Le imprese con meno di 500 dipendenti, nonché le organizzazioni non profit sotto tale soglia, potrebbero essere esentate dalla tenuta del registro dei trattamenti. Questo ampliamento consentirebbe a un numero molto più elevato di realtà di beneficiare della semplificazione.

2. Revisione del criterio di rischio

Un'altra proposta chiave riguarda la modifica del criterio del rischio. Secondo la nuova formulazione, l’obbligo di tenuta del registro scatterebbe solo se dal trattamento può derivare un “alto rischio” per i diritti e le libertà degli interessati.

Questa modifica andrebbe a impattare anche su altre disposizioni del GDPR, come l’articolo 35 relativo alla valutazione d’impatto, che diventerebbe propedeutica alla valutazione della necessità di tenere il registro.

Altri aspetti in discussione

Oltre ai due principali pilastri della proposta, si discute anche:

• eliminazione del criterio della non occasionalità: spesso difficile da interpretare, potrebbe essere rimosso per ridurre l’ambiguità normativa.
• trattamento di dati particolari: si propone un nuovo considerando che escluda l’obbligo di tenuta del registro quando il trattamento riguarda dati sensibili ma è basato su obblighi legali nel campo del lavoro (art. 9, par. 2, lett. b).

Il principio dell'accountability rimane centrale

Nonostante l’apertura alla semplificazione, il principio dell’“accountability” resta intoccato. Secondo l’EDPB, i titolari del trattamento – anche se esonerati dalla tenuta del registro – devono comunque essere in grado di dimostrare la conformità alle norme del GDPR.

In questo senso, anche le PMI restano tenute a valutare e documentare l’adeguatezza dei trattamenti rispetto alla normativa.

Un tema che va oltre la privacy

La revisione del GDPR si inserisce in un contesto più ampio di riforma della regolamentazione digitale europea. Il tema della semplificazione normativa è stato sollevato anche da Mario Draghi nel suo recente rapporto sulla competitività dell’Unione Europea, in cui ha evidenziato come l’eccesso di regolamentazione possa penalizzare soprattutto le PMI, che costituiscono l’ossatura del tessuto economico di molti Paesi, Italia in primis.

Conclusione

Le proposte di revisione del GDPR rappresentano un passo importante verso una maggiore sostenibilità normativa per le piccole e medie imprese. L’intento è quello di garantire una protezione dei dati efficace senza però appesantire eccessivamente gli oneri amministrativi per le realtà meno strutturate.

Resta ora da attendere la consultazione ufficiale sul testo normativo, momento in cui si potranno valutare nel dettaglio gli effetti concreti delle modifiche proposte. Sarà fondamentale trovare un equilibrio tra esigenze di semplificazione e tutela effettiva dei diritti degli interessati.