Il Parere Congiunto n. 01/2025 dell’EDPB e dell’EDPS (premere qui per leggere) delinea con chiarezza il delicato equilibrio tra semplificazione normativa e tutela effettiva dei diritti fondamentali. L’analisi riguarda la proposta della Commissione europea di modificare il GDPR introducendo nuove deroghe all’obbligo di tenuta dei registri delle attività di trattamento previsto dall’art. 30, paragrafo 5.
Il cuore della proposta della Commissione
Il testo della Commissione (21 maggio 2025) mira a ridurre gli oneri amministrativi per le PMI e le small mid-cap enterprises (SMC), ampliando la soglia dimensionale da 250 a 750 dipendenti. In questo scenario, l’obbligo di mantenere i registri delle attività di trattamento non si applicherebbe a imprese e organizzazioni al di sotto di tale soglia, salvo i casi in cui il trattamento sia “probabilmente suscettibile di comportare un rischio elevato” per i diritti e le libertà degli interessati, ai sensi dell’art. 35 GDPR.
La proposta, inoltre, introduce definizioni specifiche di SME e SMC nell’art. 4 GDPR ed estende a queste ultime le previsioni in materia di codici di condotta (art. 40) e meccanismi di certificazione (art. 42).
Le osservazioni dell’EDPB e dell’EDPS
Il parere congiunto accoglie con favore lo spirito della riforma, ma evidenzia tre aree critiche:
- mancata valutazione di impatto sui diritti fondamentali. Gli organi sottolineano che l’assenza di un’analisi ex ante sui rischi per la protezione dei dati personali costituisce una lacuna rilevante, considerato che il GDPR tutela diritti di rango primario garantiti dalla Carta di Nizza;
- ambiguità sulla soglia dei 750 dipendenti. La scelta di triplicare la soglia senza una chiara giustificazione rischia di generare incoerenze applicative e di esentare soggetti che, per dimensioni e capacità operative, non possono essere assimilati a piccole imprese;
- eliminazione di riferimenti a dati sensibili e giudiziari. La rimozione dei criteri che oggi obbligano alla tenuta dei registri in caso di trattamento di categorie particolari di dati (artt. 9 e 10 GDPR) rappresenta un alleggerimento potenzialmente pericoloso, poiché proprio tali trattamenti spesso generano rischi significativi.
Il principio di responsabilizzazione
Gli organi europei richiamano con forza il principio di accountability: anche se un’impresa con meno di 750 dipendenti non è formalmente obbligata a conservare i registri, essa resta comunque soggetta a tutti gli altri obblighi del GDPR. I registri costituiscono, oltre che uno strumento di dimostrazione ex post, un mezzo essenziale per assicurare la coerenza organizzativa e il rispetto dei diritti degli interessati.
Codici di condotta e certificazioni
L’estensione degli artt. 40 e 42 GDPR alle SMC viene valutata positivamente. Si tratta infatti di strumenti che, se correttamente implementati, possono facilitare la compliance e favorire un approccio proattivo alla protezione dei dati.
Considerazioni finali
Il parere congiunto mostra come la ricerca di semplificazione normativa non possa prescindere da una valutazione approfondita dell’impatto sui diritti fondamentali. L’innalzamento della soglia dimensionale e la rimozione di condizioni legate a dati sensibili rischiano di creare un vuoto di responsabilità. Per questo, EDPB ed EDPS invitano i co-legislatori a mantenere un equilibrio proporzionato e necessario, evitando che la semplificazione si traduca in una compressione delle garanzie sostanziali.
Sull'autore
