Opinione congiunta EDPB-EDPS: misure di semplificazione in relazione al GDPR

Il 21 maggio 2025, la Commissione Europea ha pubblicato una proposta di regolamento volta a modificare diverse normative, incluso il GDPR, al fine di estendere determinate misure di mitigazione già disponibili per le piccole e medie imprese anche alle imprese a media capitalizzazione, introducendo ulteriori misure di semplificazione.

In ottemperanza all’Articolo 42(2) del Regolamento (UE) 2018/1725, il Garante Europeo della Protezione dei Dati (“EDPS”) e il Comitato Europeo per la Protezione dei Dati (“EDPB”) sono stati formalmente consultati e hanno adottato la loro opinione congiunta 01/2025 rispetto alle modifiche proposte al GDPR. Le modifiche proposte al GDPR La Proposta introduce tre modifiche principali al GDPR. Introduzione della definizione di PMI e SMC nell’articolo 4 GDPR: le PMI sono definite come le imprese ai sensi dell'Articolo 2 dell’Allegato alla Raccomandazione 2003/361/CE. Le SMC sono definite come imprese che non rientrano nella categoria delle PMI, impiegano meno di 750 persone e hanno un fatturato annuo non superiore a 150 milioni di euro o un totale di bilancio annuo non superiore a 129 milioni di euro. Ampliamento della deroga all’obbligo di tenuta dei registri delle attività di trattamento ai sensi dell’articolo 30(5) GDPR: l’attuale deroga si applica a imprese e organizzazioni con meno di 250 dipendenti, a condizione che il trattamento non comporti un rischio elevato per i diritti e le libertà degli interessati, non sia occasionale e non riguardi categorie speciali di dati (articolo 9(1) GDPR) o dati relativi a condanne penali e reati (articolo 10 GDPR). La Proposta elimina queste ultime condizioni e alza la soglia. Estensione dell’ambito di applicazione degli articoli 40(1) e 42(1) GDPR alle SMC: le esigenze specifiche delle SMC saranno prese in considerazione nella redazione di codici di condotta e nei meccanismi di certificazione.   Posizione di EDPB e EDPS L’EDPB e l’EDPS sostengono l’obiettivo generale della Proposta di ridurre l’onere amministrativo per PMI e SMC, purché ciò non comporti una diminuzione della protezione dei diritti fondamentali degli individui, in particolare il diritto fondamentale alla protezione dei dati personali. Difatti, è necessario garantire che la semplificazione sia proporzionata, equilibrata e strettamente necessaria. Di seguito, i principali rilievi dell’EDPB ed EDPS rispetto alla Proposta. Assenza di valutazione d’impatto sui diritti fondamentali La Proposta non include una valutazione delle conseguenze sui diritti fondamentali delle modifiche proposte al GDPR, valutazione che, a loro avviso, avrebbe dovuto essere condotta. Deroga all’obbligo di tenuta dei registri delle attività di trattamento (articolo 30(5) GDPR   Concetto di “Trattamento suscettibile di comportare un rischio elevato”: EDPB e EDPS accolgono con favore gli sforzi di chiarimento e semplificazione relativi alle condizioni di applicazione della deroga all’articolo 30(5) GDPR. La Proposta mantiene l’obbligo di tenuta dei registri quando il trattamento è suscettibile di comportare un rischio elevato per i diritti e le libertà degli interessati, il che è in linea con l’approccio basato sul rischio del GDPR. Per determinare tale rischio, i titolari del trattamento dovranno comunque effettuare una valutazione del rischio. Per evitare malintesi, EDPB e EDPS propongono ai co-legislatori di chiarire nei considerando che il registro sarebbe obbligatorio solo per le attività di trattamento «suscettibili di comportare un rischio elevato» per evitare il malinteso che la tenuta del registro di tutte le attività sia obbligatoria anche se solo una di esse è a rischio elevato. Impatto della rimozione di “trattamento non occasionale” e dati personali ex articolo 9 e 10 GDPR dall’obbligo del registro: nella versione attuale dell’articolo 30(5) GDPR, il trattamento di categorie particolari di dati personali nonché giudiziari ai sensi degli articoli 9 o 10 GDPR è sufficiente a far scattare l’obbligo di tenuta dei registri. La Proposta elimina questa condizione dal testo dell’articolo 30(5) GDPR – aspetto con un impatto significativo - data la protezione speciale accordata dal GDPR a queste categorie di dati. Tuttavia, il trattamento di tali dati deve comunque essere preso in considerazione nella valutazione complessiva del rischio, in quanto è un fattore che può comportare un rischio elevato. Chiarimenti sul considerando 10 della Proposta: il Considerando 10 della Proposta stabilisce che il trattamento di categorie speciali di dati personali ai sensi dell’articolo 9(2)(b) GDPR per l’adempimento di obblighi e l’esercizio di diritti specifici del titolare o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale, non dovrebbe di per sé richiedere la tenuta di registri di trattamento. EDPB e EDPS suggeriscono che i co-legislatori riformulino esplicitamente il considerando per chiarire che tale trattamento, in linea di principio, non dovrebbe comportare un rischio elevato – e quindi non richiedere un registro – a meno che una valutazione del rischio non indichi il contrario. La Funzione Essenziale dei registri: EDPB e EDPS sottolineano che, oltre a facilitare la dimostrazione della conformità ex post, i registri delle attività di trattamento costituiscono un mezzo molto utile per supportare il rispetto di diversi obblighi previsti dal GDPR. In ogni caso, le organizzazioni che non rientrano nell’obbligo di tenuta dei registri per trattamenti devono scegliere le modalità più opportune per sostenere adeguatamente la conformità al GDPR così da non impattare negativamente sui diritti degli interessati. L’utilità dei registri è evidente in vari contesti, in quanto: 1) aiutano i titolari a ottenere una panoramica completa di tutte le attività di trattamento; 2) supportano i titolari nel dare attuazione ai diritti degli interessati (es.  diritto di accesso); 3) sono una fonte importante di informazioni per la valutazione dei rischi e la decisione di effettuare una DPIA; 4) consentono ai DPO di svolgere i loro compiti, incluso il monitoraggio della conformità; 5) sono utili per determinare lo stabilimento principale di un titolare e l'autorità di controllo capofila; 6) assistono nella valutazione delle misure complementari per i trasferimenti di dati verso paesi terzi; 7) aiutano a mappare e comprendere le attività di trattamento nell’ambito di nuove tecnologie, come l’AI; 8) facilitano l’identificazione e l’attuazione di misure di sicurezza adeguate; 9) possono essere utilizzati per documentare le violazioni dei dati personali ai sensi dell’articolo 33(5) GDPR. Nuova soglia di “meno di 750 dipendenti”: la Proposta aumenta la soglia da 250 a meno di 750 dipendenti, includendo potenzialmente circa 38.000 PMI nella deroga. Tuttavia, l’EDPB e l’EDPS chiedono ulteriori chiarimenti sul motivo per cui la nuova soglia di 750 persone sarebbe appropriata per il caso specifico del GDPR, e in particolare perché la soglia di 500 dipendenti inizialmente considerata dalla Commissione sia stata ritenuta troppo bassa.   Definizione di “Imprese vs  PMI/SMC La modifica all’articolo 30(5) GDPR, presente nella Proposta, si riferisce a “un’impresa [...] che impiega meno di 750 persone” piuttosto che alle nozioni di PMI e SMC. Ciò significa che la deroga si applicherebbe anche a imprese che non rientrano nelle definizioni di PMI o SMC a causa del loro fatturato o bilancio elevato. Questo sembra contraddire il considerando 9 della Proposta. EDPB e EDPS, pertanto, raccomandano ai co-legislatori di fare riferimento, nell’articolo 30(5) GDPR modificato, alle nuove definizioni di PMI e SMC per sostituire la nozione di “impresa”, al fine di perseguire meglio gli obiettivi della Proposta e garantire coerenza anche in riferimento a queste definizioni negli articoli 40 e 41 del GDPR relativi ai codici di condotta e meccanismi di certificazione. Organizzazioni: EDPB e EDPS comprendono che l’eccezione relativa alla tenuta del registro si applicherebbe non solo alle imprese ma anche ad altre “organizzazioni” (es. organizzazioni non profit e di beneficenza). Tuttavia, si suggerisce di chiarire in un considerando che il termine “organizzazione” non include le autorità e gli enti pubblici, data la loro responsabilità specifica e l’obbligo di designare un responsabile della protezione dei dati. Estensione degli Articoli 40(1) e 42(1) GDPR alle SMC: EDPB e EDPS accolgono con favore l’estensione dell’ambito di applicazione degli articoli 40(1) e 42(1) GDPR alle SMC, che mira a tenere conto delle loro esigenze specifiche nella redazione di codici di condotta e nei meccanismi di certificazione. Questa aggiunta è già in linea con la Strategia 2024-2027 dell’EDPB.   Conclusioni L’Opinione evidenzia un sostegno generale alle misure di semplificazione proposte, riconoscendone il potenziale per ridurre l’onere amministrativo per PMI e SMC. Tuttavia, si sottolinea la necessità di bilanciare efficacemente gli obiettivi di semplificazione e competitività con la tutela dei diritti fondamentali. Le raccomandazioni chiave dell’Opinione vertono sulla necessità di una maggiore chiarezza normativa in particolare riguardo alla definizione di “rischio elevato, alla soglia di “meno di 750 persone” e all’esclusione esplicita delle autorità pubbliche dalla deroga di tenuta del registro dei trattamenti. È altresì fortemente ribadita l’importanza dei registri delle attività di trattamento come strumento essenziale per la compliance delle organizzazioni, anche quando non strettamente obbligatori, in linea con il principio di accountability.