Le proposte della Commissione Europea
La Commissione Europea ha proposto una semplificazione del GDPR come previsto entro maggio 2025, principalmente in favore della riduzione degli oneri burocratici per le PMI. Un intervento che ha sollevato interrogativi sul giusto equilibrio, tra competitività economica e tutela dei diritti fondamentali nell’era digitale. Ne riportiamo come segue i punti principali, nonostante il testo normativo non abbia apportato una effettiva svolta, non essendo entrato in vigore. E soprattutto iniziando a sollevare fin dall’inizio non poche critiche.
Quali sono le principali modifiche al GDPR
La Commissione ha pubblicato il 21 maggio 2025, un pacchetto di proposte volto a sostenere la competitività e la crescita delle imprese europee. Le proposte si rivolgono, in particolare, alle piccole e medie imprese (PMI) e alle “small mid-cap enterprises” (SMC) ovvero imprese con meno di 500 dipendenti e specifici parametri di fatturato, con l’obiettivo di favorire l’innovazione, l’occupazione e ridurre gli oneri amministrativi e burocratici.
La proposta di modifica principale riguarda l’introduzione di una esenzione dall’obbligo di tenuta del registro delle attività di trattamento (art. 30) per le imprese con meno di 750 dipendenti, salvo che siano effettuati trattamenti ad alto rischio. Inoltre, si propone di tenere in debita considerazione le PMI e le SMC nei codici di condotta e nei meccanismi di certificazione elaborati ai sensi degli articoli 40 e 42, affinché siano riconosciute le loro specifiche esigenze.
La semplificazione del Regolamento generale sulla protezione dei dati o GDPR, sembrava aver trovato terreno fertile tra le istituzioni europee, tanto che la Commissione aveva proposto le modifiche come annunciato entro maggio 2025. Presentandosi a prima vista come una virtuosa iniziativa di semplificazione amministrativa, ha poi mostrato molte insidie profonde. E per questo la proposta si è arrestata in tale fase.
Le osservazioni di EDPB e EDPS
EDPB ed EDPS esprimono un sostegno preliminare all'iniziativa, ma evidenziano alcuni punti cruciali:
- Necessità di una valutazione basata sul rischio: Le autorità ricordano che anche imprese molto piccole possono svolgere trattamenti ad alto rischio, specialmente in ambiti come la salute, il monitoraggio, o la profilazione. Per questo è essenziale che qualsiasi esenzione sia subordinata a una valutazione concreta del rischio, piuttosto che esclusivamente al numero di dipendenti.
- Chiarezza nei considerando: I considerando della proposta dovrebbero esplicitare che l’esenzione non si applica ai trattamenti di categorie particolari di dati (art. 9 GDPR) o relativi a condanne penali (art. 10), se non nell’ambito di obblighi legali specifici, ad esempio in materia di diritto del lavoro o previdenza sociale, e comunque solo con garanzie appropriate.
- Richiesta di analisi d’impatto da parte della Commissione: EDPB e EDPS raccomandano fortemente che la Commissione fornisca un’analisi dettagliata sugli effetti attesi della riforma, includendo il numero di imprese potenzialmente beneficiarie, l’effetto sulla documentazione dei trattamenti e le implicazioni per la protezione dei dati.
- Preservazione dell’obbligo in caso di alto rischio: Le autorità accolgono positivamente il mantenimento dell’obbligo di registrazione per i trattamenti che comportano un rischio elevato per i diritti e le libertà degli interessati. In questo senso, richiamano le Linee guida del Gruppo di lavoro Articolo 29 (ora EDPB) sul concetto di "rischio elevato", sottolineando che esso deve essere valutato caso per caso.
Infine, EDPB ed EDPS ribadiscono che una vera semplificazione non può avvenire a discapito della protezione dei diritti fondamentali e che la trasparenza, la responsabilizzazione e la tracciabilità dei trattamenti rimangono elementi imprescindibili del sistema GDPR. La formalizzazione della consultazione prevista successivamente alla pubblicazione della proposta permetterà ulteriori osservazioni e miglioramenti legislativi.
Il punto di vista di Agostino Ghiglia
A rafforzare queste considerazioni critiche si aggiunge una riflessione di taglio più sistemico, proposta da Agostino Ghiglia - componente del Garante per la protezione dei dati personali in un articolo per Agenda Digitale (8 aprile 2025) dal titolo “Semplificare il Gdpr sì, ma senza smantellare i diritti” che mette in guardia dai pericoli insiti in un indebolimento delle tutele:
«Nel pieno dell’era digitale, in cui lo scraping delle informazioni personali avviene su scala industriale, l’idea di ridimensionare un sistema di garanzie che ha fatto scuola a livello globale non può che sollevare interrogativi. Semplificare con cautela e ponderazione, innanzitutto, perché la tutela dei dati rappresenta l’architrave di una società digitale che voglia definirsi veramente democratica. […] Il rischio maggiore della riforma consiste nella traduzione della semplificazione in un indebolimento dei diritti dell’interessato. Il rischio non sarebbe solo giuridico, ma anche sociale e democratico. […] La protezione dei dati si configura come presidio essenziale di libertà. Rinunciare a questo presidio significherebbe esporsi alla possibilità di derive autoritarie, manipolazioni commerciali, controllo sociale e sorveglianza di massa.»
Perché semplificare il GDPR non significa abbassare le tutele
La riflessione su una semplificazione del GDPR è oggi quanto mai attuale. A sette anni dalla sua applicazione, alcune disposizioni del Regolamento mostrano la necessità di maggiore chiarezza interpretativa, mentre altre richiedono un aggiornamento che tenga conto delle trasformazioni tecnologiche in corso, in particolare dell’evoluzione dell’intelligenza artificiale.
Tuttavia, ogni intervento riformatore dovrebbe partire da un’analisi realistica del contesto europeo: il grado di maturità digitale del tessuto imprenditoriale, il ritardo delle infrastrutture e la difficoltà di integrare efficacemente innovazione e tutela dei diritti fondamentali. In questo scenario, la protezione dei dati non rappresenta un ostacolo, bensì una leva strategica per rafforzare la fiducia nei servizi digitali, promuovere la trasparenza e garantire certezza giuridica.
Semplificare, dunque, non significa snaturare i principi cardine del GDPR, ma agire con equilibrio, salvaguardando l’integrità delle sue fondamenta, a cominciare dall’articolo 5, che costituisce la vera e propria carta etica e giuridica del trattamento dei dati personali in Europa.