La proposta di modifica al Regolamento (UE) n. 2016/679 (anche R.G.P.D. o G.D.P.R.), parte del pacchetto normativo COM(2025) 501 final, si inserisce in una più ampia strategia della Commissione Europea volta a rafforzare la competitività e semplificare gli oneri amministrativi per le imprese europee.
In particolare, l’intervento intende estendere alcune misure mitigatrici previste per le Piccole e Medie Imprese anche alle imprese di media capitalizzazione (Small Mid-Cap, S.M.C.), ossia quelle che hanno superato i limiti dimensionali previsti per le Piccole e Medie Imprese, ma non raggiungono ancora le dimensioni delle grandi imprese. Tale scelta nasce dal riconoscimento che anche le S.M.C. affrontano sfide analoghe alle P.M.I., soprattutto in termini di carico normativo e complessità burocratica, e dalla volontà di agevolarne la crescita e transizione all’interno del Mercato Unico.
Le modifiche al G.D.P.R. proposte nella bozza si concentrano, in particolare, su tre articoli: l’art. 30 “Registri delle attività di trattamento”, l’articolo 40 “Codici di condotta” e l’articolo 42 “Meccanismi di certificazione”.
Articolo 30 “Registri delle attività di trattamento”
La prima delle tre modifiche proposte riguarda il § 5 dell’art. 30 del G.D.P.R. , il quale viene riformulato per estendere la deroga dall’obbligo di mantenere un registro delle attività di trattamento anche alle S.M.C. (aziende con meno di 750 dipendenti), a condizione che le attività di trattamento non comportino un rischio elevato per i diritti e le libertà degli interessati. Allo stato attuale tale deroga è oggi limitata alle imprese con meno di 250 dipendenti, salvo alcuni casi particolari. Lo scopo della modifica è di ridurre gli oneri amministrativi per le S.M.C., che non hanno la struttura organizzativa delle grandi imprese, rendendo al contempo la normativa più proporzionata al rischio effettivo delle attività svolte. Si mira, altresì, a facilitare la crescita delle P.M.I. evitando un “effetto scogliera” quando superano la soglia dei 250 dipendenti, specificando che il trattamento di categorie particolari di dati ai sensi dell’art. 9 § 2 lett. (b) G.D.P.R. non è di per sé considerato ad alto rischio e non innesca automaticamente l’obbligo di tenuta del registro.
Articolo 40 “Codici di condotta”
La seconda modifica proposta riguarda l’obbligo per gli Stati membri, le autorità di controllo e la Commissione di promuovere la creazione di codici di condotta che deve tenere conto anche delle esigenze delle S.M.C., oltre a quelle di micro, piccole e medie imprese. Si vuole in tal senso assicurare che le peculiarità delle SMC siano considerate nella stesura di codici di condotta settoriali, evitando che norme pensate per grandi operatori penalizzino le imprese in crescita.
Articolo 42 “Meccanismi di certificazione”.
La terza ed ultima modifica riguarda i meccanismi di certificazione della conformità al Reg. (UE) 2016/679 che devono tener conto delle specifiche esigenze delle S.M.C., valorizzando il contesto di crescita economica delle S.M.C., le quali, tuttavia, spesso non dispongono di risorse dedicate per ottenere certificazioni complesse. La misura promuove un approccio graduale e incentivante verso la compliance.
La Riforma del G.D.P.R. e le Semplificazioni per le S.M.C.: Un Nuovo Equilibrio Normativo
Il G.D.P.R. non è l’unico regolamento interessato dalla proposta di riforma. Sono previsti interventi anche su altri regolamenti, quali quelli relativi a importazioni, prospetti finanziari, batterie e gas fluorurati, sempre con l’obiettivo di estendere le misure di semplificazione alle S.M.C.
Proporzionalità e “Accountability”: Il Cuore della Riforma G.D.P.R. per le Piccole e Medie Imprese
La Commissione, sulla base di analisi e consultazioni, ritiene che le modifiche proposte non comprometteranno gli obiettivi del G.D.P.R., in quanto la deroga all’obbligo di registro resta subordinata alla valutazione del rischio del trattamento, il che rimette al concetto di ”accountability” la necessità preminente di documentare e mantenere aggiornata la valutazione del rischio, in base ad eventuali cambiamenti nei trattamenti di dati personali. La semplificazione proposta, inoltre, andrà a migliorare l’efficacia e l’efficienza normativa, semplificando l’applicazione del G.D.P.R. per una crescente di imprese europee, fornendo al contempo coerenza orizzontale a livello di diritto europeo, nell’armonizzazione delle definizioni e dei trattamenti normativi per le S.M.C. nei vari settori regolamentati dell’ordinamento dell’Unione Europea.
Il nucleo della riforma al G.D.P.R. si basa su un principio di proporzionalità normativa, coerente con il programma REFIT della Commissione, che mira a ridurre gli oneri superflui. L’estensione delle esenzioni e semplificazioni alle S.M.C. rappresenta un’evoluzione della normativa privacy in linea con le dinamiche attuali del tessuto imprenditoriale europeo. L’obiettivo ultimo è favorire un ambiente regolamentare che sia abilitante e non penalizzante per le imprese in crescita, garantendo al contempo un alto livello di tutela dei dati personali.
Le Amministrazioni Pubbliche Escluse dalle Semplificazioni: Perché?
In questo contesto di rinnovata e proporzionata semplificazione normativa restano escluse le Pubbliche Amministrazioni le quali difficilmente rientreranno, salvo modifiche alla normativa nazionale, nei requisiti di semplificazione previsti per le S.M.C., anche vista la scala dei trattamenti effettuati per obblighi legali o interesse pubblico e le categorie particolari e giudiziarie di dati personali, nonché la crescente considerazione per le sfide per la sicurezza cibernetica e dei sistemi informatici poste dalla Dir. (UE) n. 20225/2555 e dal Reg. di Esecuzione (UE) 2024/2690 e dai relativi adempimenti a carico dei soggetti rientranti nell’ambito di applicazione del D.Lgs. n. 138/2024[3] e dalla L. 90/2024.
Le P.A. resteranno quindi soggette all’obbligo di designazione del Responsabile della Protezione dei Dati Personali (R.P.D. o D.P.O.) ai sensi dell’art. 37 G.D.P.R., all’obbligo di tenuta del Registro delle Attività di Trattamento ai sensi dell’art. 30 G.D.P.R. e all’obbligo di effettuare Valutazioni di Impatto sulla Protezione dei Dati personali (V.I.P.D. o D.P.I.A.) ai sensi dell’art. 35 G.D.P.R. quando “un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”.
Quello che emerge e su cui vira la crescente attività normativa nazionale e sovranazionale è la necessità di una valutazione dei rischi preliminare sia ad attività di trattamento di dati personali, come di dati in generale da un punto di vista di sicurezza I.C.T., che scagioni dai susseguenti adempimenti o li semplifichi, progettando “by design e by default” le operazioni di trattamento e regolamentando, tramite specifiche policies e accordi contrattualizzati, la catena di approvigionamento dei fornitori e dei soggetti esterni coinvolti.
Società “In House” e Semplificazioni: Un Nodo da Sciogliere per il Legislatore Nazionale
Il quesito che il legislatore nazionale si troverà probabilmente a dover attenzionare è se le società “in house” potranno o meno beneficiare di queste semplificazioni, fermo restando che, sebbene nel nostro ordinamento non esista una sola nozione univoca di “pubblica amministrazione”, come anche sottolineato dal Tribunale Amministrativo Regionale Veneto [4] in materia di appalti, la L n. 196 del 31 dicembre 2009 all’art. 1, comma 2, dispone che ai fini dell’applicazione delle disposizioni in materia di finanza pubblica per “amministrazioni pubbliche” si intendono gli enti e i soggetti indicati a fini statistici in appositi elenchi approvati dall’Istat con proprio provvedimento.
Tale provvedimento, in applicazione della disciplina comunitaria [5], prescinde totalmente dalla natura giuridica pubblica o privata dei soggetti interessati, e dà invece prevalenza alle fonti di finanziamento pubbliche (vi sono ad esempio le società per azioni in mano pubblica, alcuni enti di previdenza privati, le Fondazioni pubbliche ecc.) ricomprendendo pertanto anche una molteplicità di persone giuridiche private, ricomprendendo, a maggior ragione, le società “in house” che formano articolazioni concrete delle Pubbliche Amministrazioni che ne partecipano.
A cura di Dott. Eucalipto Edoardo
[1] Fermo restando che il Considerando 82 del Reg. (UE) n. 2016/679 statuisce, in un’ottica di responsabilizzazione ai sensi dell’art. 5 § 2, che il titolare o del responsabile del trattamento “dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità. Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per controllare detti trattamenti”. Laddove tali premesse al Regolamento medesimo non vengano modificate, rimarrebbe comunque un adempimento rimesso all “accountability” del Titolare del Trattamento o del Responsabile del Trattamento indipendentemente dalle dimensioni degli stessi.
[2] Proposal for a Regulation Of The European Parliament And Of The Council amending Regulations (EU) 2016/679, (EU) 2016/1036, (EU) 2016/1037, (EU) 2017/1129, (EU) 2023/1542 and (EU) 2024/573 as regards the extension of certain mitigating measures available for small and medium sized enterprises to small mid-cap enterprises and further simplification measures, in single-market-economy.ec.europa.eu.
[3] Recante “modalità di applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza e l’ulteriore specificazione dei casi in cui un incidente è considerato significativo per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari”, in eur-lex.europa.eu.
[4] Cfr. Tribunale Amministrativo Regionale Veneto, Sez. I, Sentenza n. 434 del 02 aprile 2021, in www.giustizia-amministrativa.it.
[5] Cfr. Reg. (UE) n. 549/2013 del Palamento europeo e del Consiglio del 21 maggio 2013, relativo al Sistema europeo dei conti nazionali e regionali nell’Unione Europea, in eur-lex.europa.eu.
