EDPB e EDPS, sì alle modifiche del GDPR se a beneficio delle PMI

L’European Data Protection Board (EDPB) e il Garante Europeo per la protezione dei dati personali (EDPS) hanno elaborato un parere congiunto sulla proposta di modifica del GDPR pubblicata lo scorso maggio dalla Commissione UE che prevede l’estensione di alcune semplificazioni e agevolazioni previste per le piccole e medie imprese anche alle c.d. “small mid-cap enterprises” (piccole imprese a media capitalizzazione o “SMCs”), ossia aziende con un numero di dipendenti compreso tra 250 e 749, un fatturato fino a 150 milioni di euro o un attivo totale di 129 milioni di euro.

L’iter di semplificazione operativa del GDPR avviato dalla Commissione Europea unitariamente alla creazione della categoria delle SMCs, si prevede possa andare a beneficio delle aziende appartenenti alla categoria sotto molteplici punti di vista, legati in particolare a:

1. la riduzione dei costi di conformità;
2. il risparmio sugli oneri amministrativi, inclusi quelli portati dal GDPR, complessivamente stimato in circa 400 milioni di euro all’anno;
3. la previsione di sgravi burocratici specifici per le attività a basso rischio.

Con specifico riferimento alla data protection law, la Commissione Europea ha proposto una serie di emendamenti e semplificazioni che consentirebbero, in particolar modo, alle SMCs di derogare all’obbligo di tenuta del registro delle attività di trattamento di cui all’art. 30 GDPR, beneficiando così della stessa esenzione prevista per le imprese o organizzazioni con meno di 250 dipendenti.

L’obbligo di tenuta del registro permane, anche in questo caso, ove il trattamento dati effettuato dall’azienda possa presentare un rischio elevato per i diritti e le libertà degli interessati.

Il parere congiunto di EDPB ed EDPS è volto alla disamina delle semplificazioni indicate, le quali lascerebbero inalterati i principi fondamentali e gli altri obblighi comunque previsti dal GDPR.

Di seguito, un breve sunto delle principali osservazioni formulate dalle autorità.

La nuova definizione di SMCs

L’introduzione di una nuova categoria di imprese, per limiti dimensionali e fatturato, è stata in linea di massima ben accolta dalle autorità europee, che hanno ritenuto lodevole l’obiettivo perseguito di rendere gli obblighi normativi sempre più scalabili per le imprese, agevolandone quindi la concreta implementazione nella struttura aziendale.

Nessuna particolare criticità si osserva, dunque, con riferimento alla necessità, espletata dalla Commissione nella sua proposta di emendamento del GDPR, di allineamento delle definizioni contenute all’art. 4 GDPR alle nuove definizioni di SMCs.

Più nel dettaglio, le autorità concordano nel ritenere opportuno che alla definizione di piccole-medie imprese venga affiancata la definizione delle c.d. “small mid-cap enterprises”, formulando espresso richiamo alla definizione delle medesime contenuta al punto (2) dell’allegato alla Raccomandazione della Commissione Europea del 21 maggio 2025.

La deroga all’obbligo di tenuta del registro dei trattamenti

Come anticipato, la proposta di modifica più rilevante proposta dalla Commissione riguarda l’art. 30 GDPR.

Ad oggi, il paragrafo 5 della norma prevede, sia per i titolari che per i responsabili del trattamento, un esenzione dall’obbligo di tenuta dei relativi registri delle attività di trattamento per le “imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”.

Nella nuova versione della norma, l’esenzione dall’obbligo di tenuta del registro viene estesa anche alle imprese con meno di 750 dipendenti, ma cessa di operare qualora il trattamento effettuato dall’azienda presenti “un rischio elevato” per i diritti e le libertà degli interessati, e viene espunta la condizione per la quale il trattamento non debba essere occasionale, nonché la previsione per la quale il trattamento di dati personali appartenenti alle categorie di cui all’art. 9 o 10 GDPR è di per sé sola sufficiente a far scattare l’obbligo di tenuto del registro.

Ebbene, EDPB e EDPS concordano nel ritenere che, per determinare se un trattamento possa comportare o meno un rischio elevato, e dunque consentire l’esenzione dall’obbligo di cui all’art. 30 GDPR, i titolari del trattamento dovranno comunque effettuare una valutazione del rischio connesso all’attività di trattamento posta in essere, coerentemente a quanto sancito dalle Linee Guida wp248 rev.01 del Gruppo di Lavoro Articolo 2 sulla DPIA e sulle modalità di determinazione del “rischio elevato”.

Di conseguenza, la lettura congiunta dell’art. 30 e 35 GDPR lascerebbero intendere che, quando il trattamento può presentare un rischio elevato, dovrebbe essere condotta una valutazione d’impatto e dovrebbe essere tenuto un registro dei trattamenti.

Le modifiche apportate al resto del Regolamento riguardano anche il Considerando 10 della Proposta, nel quale si legge che “il trattamento di categorie particolari di dati personali ai sensi dell’articolo 9, paragrafo 2, lettera b), del GDPR ai fini dell’adempimento degli obblighi e dell’esercizio di diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale non dovrebbe di per sé richiedere la tenuta di registri dei trattamenti”.

Pur concordando in termini generali con quanto sopra, EDPB ed EDPS concordano nel ritenere che il considerando proposto non possa derogare ai requisiti che deriverebbero dal contenuto normativo della proposta, secondo cui l’approccio del titolare deve sempre essere risk-based.

Pertanto, viene suggerito nella Joint Opinion che si chiarisca esplicitamente nel considerando “che il trattamento per le finalità di cui all’articolo 9, paragrafo 2, lettera b), del GDPR non comporterebbe in linea di principio un rischio elevato per gli interessati – e pertanto non richiederebbe di per sé che sia conservata una registrazione del trattamento – a meno che una valutazione non indichi che il trattamento può comportare un rischio elevato.

Ciò garantirebbe che, ai fini dell’applicazione della deroga di cui all’articolo 30, paragrafo 5, del GDPR, la stessa condizione sia applicata a tutti i trattamenti e che sia coerente con quella applicabile ai sensi dell’articolo 35 del GDPR.”

Il registro come strumento di conformità

A commento delle modifiche proposte dalla Commissione, il Garante Europeo e gli esperti dell’EDPB colgono l’occasione anche per precisare che, anche ove non costituisca un obbligo, il registro delle attività di trattamento resta comunque lo strumento che più di tutti aiuta le aziende a:

• avere una panoramica completa delle attività di trattamento;
• dimostrare la propria conformità al regolamento;
• dare esecuzione alle richieste degli interessati;
• valutare i rischi connessi ad uno specifico trattamento;
• identificare e attuare le misure di sicurezza più appropriate per la salvaguardia dei dati personali;
• documentare i data breach.

Anche nei casi rientranti nella deroga di cui al riformando art. 30 GDPR, pertanto, i titolari e i responsabili del trattamento, rimanendo comunque obbligati al rispetto dei principi e degli obblighi contenuti nelle restanti parti del Regolamento, dovranno comunque implementare metodi alternativi che siano ugualmente idonei a garantire e dimostrare la conformità al GDPR e non abbiano un impatto negativo sui diritti degli interessati, in linea con il principio generale di accountability.

L’estensione degli artt. 40 e 41 GDPR alle SMCs

Oggetto di riforma saranno anche gli artt. 40 e 41 GDPR, rispettivamente riferiti ai codici di condotta e alle certificazioni. Più nel dettaglio, il Considerando 11 della Proposta specifica che questa aggiunta mira a tenere conto delle esigenze specifiche delle PMI nella redazione dei codici di condotta e nel contesto dei meccanismi di certificazione.

EDPB ed EDPS accolgono con favore questa aggiunta, che rilevano essere già in linea con la Strategia 2024-2027 del Comitato, volta a continuare a sostenere misure di conformità quali la certificazione e i codici di condotta, anche attraverso il coinvolgimento dei principali gruppi di stakeholders.