Bruxelles, 9 luglio 2025 - Il comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno pubblicato oggi un parere congiunto sulla proposta di regolamento della Commissione europea che modifica determinati regolamenti, tra cui il GDPR.
La proposta, parte del quarto regolamento omnibus di semplificazione, mira a semplificare le norme dell'UE e a ridurre gli oneri amministrativi, estendendo alcune misure di attenuazione disponibili per le piccole e medie imprese (PMI) alle piccole imprese a media capitalizzazione (PMI), e comprende ulteriori misure di semplificazione.
La proposta mira a modificare l'articolo 30, paragrafo 5, GDPR, prevedendo una deroga all'obbligo di tenere un registro delle operazioni di trattamento dei dati. Attualmente, questa deroga si applica solo alle imprese e alle organizzazioni con meno di 250 dipendenti, tranne in alcuni casi. Ai sensi della proposta, la deroga si applicherebbe a un'impresa o a un'organizzazione con meno di 750 dipendenti, a meno che il trattamento effettuato non sia suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone, ai sensi dell'articolo 35 GDPR.
Inoltre, la proposta introduce una definizione di PMI e SMC all'articolo 4 del regolamento generale sulla protezione dei dati ed estende l'ambito di applicazione dell'articolo 40, paragrafo 1, e dell'articolo 42, paragrafo 1, del regolamento generale sulla protezione dei dati alle SMC, che fanno riferimento ai codici di condotta e di certificazione. Questi strumenti sono attualmente progettati per aiutare le imprese e le organizzazioni a dimostrare la conformità al GDPR concentrandosi sulle esigenze specifiche delle PMI.
Wojciech Wiewiórowski, GEPD, ha dichiarato: "Sosteniamo l'obiettivo generale della proposta di ridurre gli oneri amministrativi per le PMI e le PMI, purché ciò non riduca la tutela dei diritti fondamentali delle persone, in particolare il diritto alla vita privata e alla protezione dei dati personali. A tal fine, accogliamo con favore il fatto che le modifiche proposte per semplificare e chiarire l'obbligo di tenere un registro del trattamento siano di natura mirata e limitata e non incidano sui principi fondamentali e sugli altri obblighi previsti dal GDPR".
Anu Talus, presidente dell'EDPB, ha dichiarato: "L'EDPB sostiene l'obiettivo generale della proposta di ridurre gli oneri amministrativi per le PMI e le PMI e di garantire che, nella pratica, possano beneficiare di una deroga all'obbligo di tenere registri delle attività di trattamento. L'attuale deroga non ha sempre raggiunto il suo obiettivo. Allo stesso tempo, il registro delle attività di trattamento è uno strumento utile per sostenere il rispetto di altri obblighi, come quello di trasparenza o per dare effetto ai diritti degli interessati. La semplificazione offrirà alle PMI e agli SMC una maggiore flessibilità nella scelta del metodo più appropriato per essere conformi."
Per quanto riguarda le organizzazioni soggette alla deroga, considerando che la proposta incide sulla legislazione in altri settori strategici, l'EDPB e il GEPD si aspettano ulteriori chiarimenti sul motivo per cui la nuova soglia di imprese o organizzazioni che occupano meno di 750 persone sarebbe più appropriata ai sensi del GDPR, piuttosto che la soglia di 500 dipendenti inizialmente presa in considerazione. Inoltre, la nuova esenzione di cui all'articolo 30, paragrafo 5, si riferisce alle "imprese con meno di 750 dipendenti" senza fare riferimento alle nuove definizioni di PMI e SMC, che includono anche criteri finanziari. Al fine di garantire che l'esenzione vada a vantaggio delle PMI e degli SMC, l'EDPB e il parere congiunto del GEPD raccomandano di fare riferimento alle definizioni di PMI e SMC recentemente introdotte.
L'EDPB e il GEPD chiedono inoltre ai colegislatori di chiarire nella proposta che il termine "organizzazione", che rientra nell'ambito di applicazione della deroga proposta a norma dell'articolo 30, paragrafo 5, GDPR, non include le autorità e gli organismi pubblici.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.