La “riforma” del GDPR: tanto rumore per nulla

Negli ultimi giorni circola la notizia di una presunta riforma del Regolamento (UE) 2016/679 sulla protezione dei dati personali (per brevità, di seguito “GDPR”), lasciando intendere che si tratti di una vasta opera di revisione del principale atto normativo europeo a tutela dei dati personali.

Si tratta in realtà di una Proposta di Regolamento che, attraverso la modifica di diversi testi normativi (tra cui il GDPR), si prefigge lo scopo di estendere alcune misure di mitigazione già previste a favore di piccole e medie imprese anche alle c.d. small mid-cap enterprises (di seguito, per brevità, rispettivamente “PMI” e “SMC”). In altre parole, la Proposta prevede di rendere applicabili anche alle SMC quelle previsioni, oggi già vigenti per le PMI, che mirano “ad alleggerire gli oneri amministrativi, a ridurre o eliminare le barriere all’ingresso nel mercato, a facilitare la conformità, a considerare la situazione specifica delle PMI nell’attuazione degli obblighi e nella valutazione dell’impatto economico e sociale di tali obblighi, a fornire orientamenti, sostegno e assistenza specifici alle PMI”.

L’obiettivo di semplificazione o, meglio, come si legge nella Proposta di modifica, l’obiettivo di “prosperity and competitiveness” imprenditoriale perseguito (anche) attraverso la semplificazione normativa ha portato infatti il legislatore europeo a riflettere su alcuni testi normativi che sembrerebbero appesantire l’organizzazione di alcune realtà.

Tra queste è stato appunto preso in considerazione il GDPR, ma non nella sua interezza. Per quanto si tratti certamente di un’iniziativa degna di nota, si è ben lontani da una vera e propria revisione del GDPR. Vediamo quali norme verrebbero modificate dalla Proposta e in quali ambiti sarebbe invece ancora opportuno intervenire.

Per una piena comprensione, giova soffermarsi sul concetto di small mid-cap enterprises che, stando alla Proposta di modifica, verrebbe aggiunto tra le definizioni di cui all’art. 4 del GDPR.

Le SMC sarebbero individuate tramite richiamo alla Raccomandazione della Commissione europea del 21 maggio 2025 che individua le SMC in quelle organizzazioni che occupano meno di 750 persone e hanno un fatturato annuo non superiore a 150 milioni di euro o un bilancio annuo totale non superiore a 129 milioni di euro.

Come noto, l’art. 30 del GDPR disciplina il registro delle attività di trattamento ossia un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile del trattamento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione. Costituisce uno dei principali elementi di accountability ed è indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Il testo oggi vigente prevede già una deroga a favore delle imprese con meno di 250 dipendenti, esonerate dall’obbligo di tenuta del registro a meno che:

a) il trattamento che esse effettuano presenti un rischio per i diritti e le libertà dell’interessato,

b) il trattamento non sia occasionale o

c) includa il trattamento di categorie particolari di dati o dati relativi a condanne penali e a reati. Queste ulteriori condizioni hanno reso, di fatto, l’adempimento in oggetto applicabile a qualsiasi soggetto.

La Proposta di modifica intende estendere la deroga di tenuta del registro alle imprese con meno di 750 dipendenti salvo nel caso in cui i trattamenti di dati da queste effettuati siano suscettibili di comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’adesione a codici di condotta e l’ottenimento di certificazioni, sigilli e marchi sono strumenti che possono contribuire ad accertare la conformità di un soggetto alla normativa in materia di protezione dei dati personali. Durante l’elaborazione dei codici o l’istituzione dei meccanismi di certificazione, le associazioni, le organizzazioni di categoria, le autorità di controllo e gli stessi Stati membri sono tenuti a consultare le parti interessate e a tenere in considerazione le esigenze e le opinioni espresse in occasione di tali consultazioni. Gli articoli 40 e 42 del GDPR oggi fanno uno specifico riferimento alle PMI: con la Proposta di modifica il legislatore intende aggiungere un riferimento anche alle SMC, in modo da tenere conto delle esigenze anche di questa categoria di imprese negli ambiti appena illustrati.

Non sembra che le modifiche al GDPR proposte dal legislatore europeo siano particolarmente incisive. D’altronde il legislatore si muove su un terreno delicato dove la modifica e la semplificazione possono, se non adeguatamente pensate, portare ad una diluizione dei principi fondamentali della protezione dei dati personali (così, in particolare, si esprime il Garante privacy italiano in un recente comunicato).

Tuttavia, un intervento di semplificazione e di deburocratizzazione, perlomeno in determinati settori come la sanità e la ricerca scientifica, è sicuramente necessario. Sebbene diventeranno presto operativi strumenti che consentiranno una maggiore circolazione dei dati (come il Regolamento europeo sullo spazio dei dati sanitari e il Data Governance Act), sarebbe utile un intervento che sancisca espressamente, e non in via presuntiva, la piena compatibilità tra la finalità di ricerca scientifica e le finalità iniziali di trattamento.

Così come è auspicabile che, a livello europeo, vengano ad esempio introdotti degli standard o individuati dei parametri per la valutazione della natura anonima o meno di un dato, affinché vi sia maggiore uniformità tra gli Stati membri. Ancora: un orientamento deciso sul legittimo interesse renderebbe maggiormente efficace ed utilizzabile questa condizione di liceità che, seppur prevista, nei fatti è molto osteggiata da alcune autorità di controllo.

L’occasione per una concreta semplificazione normativa è stata, ancora una volta, poco sfruttata.

_______

*Avv. Laura Greco, Studio Legale Giusella Finocchiaro

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più