L’intelligenza artificiale rappresenta una delle sfide più complesse per l’Unione europea. Il problema non riguarda…
Privacy e semplificazione: EDPB ed EDPS accolgono con favore le modifiche mirate al GDPR, ma chiedono chiarimenti
Con una dichiarazione congiunta pubblicata il 9 luglio 2025, l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS) hanno espresso il loro parere favorevole alla proposta della Commissione europea di modifica di alcune disposizioni del GDPR, nell’ambito del quarto pacchetto Omnibus volto alla semplificazione normativa dell’UE.
L’obiettivo principale della proposta è ridurre gli oneri amministrativi per le imprese, estendendo alcune misure agevolative già previste per le piccole e medie imprese (PMI) anche alle cosiddette small mid-cap companies (SMC), ossia imprese di medie dimensioni non qualificate come PMI, ma al di sotto di una soglia di grande impresa.
Una delle modifiche principali riguarda l’articolo 30, paragrafo 5 del GDPR, che attualmente esonera le organizzazioni con meno di 250 dipendenti dall’obbligo di tenere un registro delle attività di trattamento, salvo alcune eccezioni. Con la nuova proposta, la soglia salirebbe a 750 dipendenti, fatta salva l’ipotesi in cui le attività di trattamento presentino un rischio elevato per i diritti e le libertà degli interessati, come previsto dall’art. 35 GDPR.
Il testo introduce inoltre definizioni esplicite di PMI e SMC all’interno dell’art. 4 del GDPR e amplia l’ambito di applicazione degli articoli 40 e 42 in materia di codici di condotta e certificazione, includendo anche le SMC, con l’intento di facilitare l’adeguamento al Regolamento.
Sia l’EDPB sia l’EDPS hanno accolto positivamente l’intento di alleggerire il carico amministrativo, sottolineando tuttavia la necessità di mantenere elevato il livello di tutela dei diritti fondamentali, in particolare il diritto alla protezione dei dati personali. Hanno inoltre riconosciuto che le modifiche previste sono limitate e non incidono sui principi generali del GDPR, né sulle altre obbligazioni fondamentali previste per titolari e responsabili del trattamento.
Entrambe le Autorità hanno però invitato i co-legislatori a chiarire alcuni aspetti tecnici, tra cui la scelta della soglia di 750 dipendenti — rispetto a quella inizialmente prevista di 500 — e il mancato riferimento, nel testo della deroga, alle nuove definizioni di PMI e SMC, che includono anche criteri finanziari. È stato inoltre raccomandato di escludere esplicitamente le autorità pubbliche e gli enti pubblici dal novero dei soggetti cui la deroga può essere applicata.
In sintesi, l’EDPB e l’EDPS confermano il proprio sostegno all’iniziativa della Commissione, evidenziando come le semplificazioni proposte possano offrire maggiore flessibilità alle imprese di dimensioni medio-piccole, ma ribadiscono l’importanza di garantire coerenza e chiarezza nella disciplina, per tutelare in modo pieno i diritti degli interessati.
Con una dichiarazione congiunta pubblicata il 9 luglio 2025, l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS) hanno espresso il loro parere favorevole alla proposta della Commissione europea di modifica di alcune disposizioni del GDPR, nell’ambito del quarto pacchetto Omnibus volto alla semplificazione normativa dell’UE.
L’obiettivo principale della proposta è ridurre gli oneri amministrativi per le imprese, estendendo alcune misure agevolative già previste per le piccole e medie imprese (PMI) anche alle cosiddette small mid-cap companies (SMC), ossia imprese di medie dimensioni non qualificate come PMI, ma al di sotto di una soglia di grande impresa.
Una delle modifiche principali riguarda l’articolo 30, paragrafo 5 del GDPR, che attualmente esonera le organizzazioni con meno di 250 dipendenti dall’obbligo di tenere un registro delle attività di trattamento, salvo alcune eccezioni. Con la nuova proposta, la soglia salirebbe a 750 dipendenti, fatta salva l’ipotesi in cui le attività di trattamento presentino un rischio elevato per i diritti e le libertà degli interessati, come previsto dall’art. 35 GDPR.
Il testo introduce inoltre definizioni esplicite di PMI e SMC all’interno dell’art. 4 del GDPR e amplia l’ambito di applicazione degli articoli 40 e 42 in materia di codici di condotta e certificazione, includendo anche le SMC, con l’intento di facilitare l’adeguamento al Regolamento.
Sia l’EDPB sia l’EDPS hanno accolto positivamente l’intento di alleggerire il carico amministrativo, sottolineando tuttavia la necessità di mantenere elevato il livello di tutela dei diritti fondamentali, in particolare il diritto alla protezione dei dati personali. Hanno inoltre riconosciuto che le modifiche previste sono limitate e non incidono sui principi generali del GDPR, né sulle altre obbligazioni fondamentali previste per titolari e responsabili del trattamento.
Entrambe le Autorità hanno però invitato i co-legislatori a chiarire alcuni aspetti tecnici, tra cui la scelta della soglia di 750 dipendenti — rispetto a quella inizialmente prevista di 500 — e il mancato riferimento, nel testo della deroga, alle nuove definizioni di PMI e SMC, che includono anche criteri finanziari. È stato inoltre raccomandato di escludere esplicitamente le autorità pubbliche e gli enti pubblici dal novero dei soggetti cui la deroga può essere applicata.
In sintesi, l’EDPB e l’EDPS confermano il proprio sostegno all’iniziativa della Commissione, evidenziando come le semplificazioni proposte possano offrire maggiore flessibilità alle imprese di dimensioni medio-piccole, ma ribadiscono l’importanza di garantire coerenza e chiarezza nella disciplina, per tutelare in modo pieno i diritti degli interessati.
Approfondimenti:
Articoli correlati
