L’UE sta rivedendo il GDPR per semplificarne l’applicazione alle PMI: tra le proposte, nuove misure per alleggerire gli oneri e facilitare la conformità, mantenendo al contempo alti standard di tutela dei dati personali.
I lettori sanno che il monitoraggio del rispetto del regolamento GDPR è affidato a due diversi enti, di rilevanza europea, rispettivamente:
- lo European data protection board, che si occupa del controllo delle centinaia di agenzie ed enti dell’unione europea, e
- lo European data protection supervisor, che tiene sotto controllo tutti i garanti nazionali dell’unione europea.
In un documento, pubblicato a maggio 2025, questi due enti hanno avanzato una proposta per la semplificazione degli obblighi di archiviazione dei dati, da inserire nel nuovo regolamento. Le valutazioni preliminari dei due garanti europei sono state inviate al commissario Mikhail McGrath, specificamente incaricato di coordinare la revisione del GDPR.
Al proposito, ricordiamo che l’articolo 30, comma 5, dell’attuale GDPR prevede già una semplificazione nell’obbligo di mantenere un registro delle attività di trattamento, specificamente applicabile a piccole e medie aziende. La nuova bozza di regolamento vorrebbe ampliare il numero delle aziende, cui si potrà applicare questa semplificazione, arrivando fino a aziende con meno di 500 dipendenti e con un giro d’affari annuale inferiore ad una somma da definire.
I due organi di controllo europei si sono dichiarati favorevoli a questa impostazione, mettendo però in evidenza che, se i trattamenti che vengono svolti da queste aziende, indipendentemente dalle dimensioni, in termini di impiegati e fatturato, rappresentino un rischio potenziale per i dati stessi, le aziende devono introdurre delle clausole di salvaguardia a protezione degli interessati coinvolti.
Un altro aspetto preso in considerazione riguarda il fatto che il commissario, incaricato di procedere alla revisione, vorrebbe addirittura cancellare l’obbligo di mantenere una registrazione di attività di trattamento, afferenti all’impiego, sicurezza sociale o attività similari.
I due organi garanti europei hanno dato la loro approvazione a questa impostazione, anche se ritengono che debbano essere in sentite alcune riserve, soprattutto perché si ritiene l’estensione di queste facilitazioni ad aziende con meno di 500 dipendenti possa allargare in maniera spropositata il numero delle aziende coinvolte.
Ecco la ragione per cui l’importanza della protezione dei dati degli interessati al trattamento va sempre messa a confronto con adeguate garanzie, cercando di trovare un punto di equilibrio. Questo punto di equilibrio deve essere evidenziato nell’ormai noto Data Protection Impact Assessment, vale a dire un documento che offre preziose informazioni afferenti a trattamenti potenzialmente a rischio. Entrambi i garanti, comunque, si riservano di esprimere un parere finale dopo che verrà pubblicato ufficialmente la bozza di regolamento.
Come già anticipato, non mancheremo di tenere aggiornati i lettori su queste preziose ed importantissime evoluzioni legislative, che avranno un impatto diretto su centinaia di migliaia di aziende europee.
Fonti: Puntosicuro.it
