In data 21 maggio 2025, la Commissione europea ha presentato la proposta di modifica della disciplina prevista dal Regolamento UE 2016/679 (GDPR) con l’obiettivo di semplificare l’applicazione delle norme sulla tutela dei dati personali da parte delle piccole e medie imprese.
Scopri di più continuando a leggere.
Scopri di più continuando a leggere.
PROPOSTA DI MODIFICA DEL GDPR PER PMI: LE PRINCIPALI NOVITÀ DELL’ART. 4 DEL GDPR
La Commissione Europea ha pubblicato il 21 maggio scorso una proposta di modifica al Regolamento (UE) 2016/679, meglio noto come GDPR.
L’iniziativa si inserisce all’interno di un più ampio pacchetto di misure di semplificazione, espressamente rivolto a micro, piccole e medie imprese (PMI), ma che introduce per la prima volta riferimenti normativi anche a un segmento finora rimasto escluso: le imprese di piccole dimensioni a media capitalizzazione, comunemente indicate come “small mid-cap”.
Tra gli interventi di maggiore rilievo contenuti nella proposta figura la modifica dell’articolo 4 del GDPR, dedicato alle definizioni.
Il testo vigente già includeva un riferimento alle PMI secondo la Raccomandazione 2003/361/CE; tuttavia, la proposta del 2025 estende esplicitamente la possibilità di accedere a misure semplificate anche a quelle imprese che, pur avendo superato le soglie dimensionali delle PMI (ossia più di 250 dipendenti o un fatturato annuo superiore a 50 milioni di euro), non raggiungono ancora le dimensioni delle grandi imprese.
Si tratta dunque di realtà imprenditoriali in crescita, che si trovano in una fase delicata di transizione e che erano sovraccaricate da obblighi amministrativi non sempre proporzionati al loro livello di rischio in termini di trattamento dei dati.
L’inclusione delle small mid-cap tra i soggetti destinatari delle misure semplificate risponde a una logica di proporzionalità normativa, già richiamata dallo stesso GDPR ma spesso difficilmente attuabile nella pratica.
La Commissione ha sottolineato che il superamento delle soglie formali previste per le PMI non dovrebbe automaticamente comportare un aggravio degli obblighi di compliance, soprattutto in assenza di trattamenti di dati personali particolarmente critici o ad alto rischio.
In quest’ottica, la proposta intende accompagnare le imprese nella loro crescita, evitando che le esigenze di adeguamento al GDPR si traducano in un freno alla competitività e all’innovazione.
PROPOSTA DI MODIFICA DEL GDPR PER PMI: LE PRINCIPALI NOVITÀ DELL’ART. 30 DEL GDPR
Accanto all’intervento sull’articolo 4, la proposta della Commissione Europea introduce una modifica di rilievo anche all’articolo 30 del GDPR, che disciplina l’obbligo, per titolari e responsabili del trattamento, di tenere un registro delle attività di trattamento dei dati personali.
Nella sua formulazione vigente, l’articolo 30 prevede che la quasi totalità dei soggetti coinvolti nel trattamento – indipendentemente dalla loro dimensione o dal livello di rischio associato alle attività svolte – debba predisporre, aggiornare e conservare il registro, con pochissime eccezioni praticabili.
Di fatto, anche le PMI e le microimprese sono soggette a questo adempimento, che comporta oneri documentali non trascurabili, soprattutto in assenza di strutture interne dedicate alla gestione della privacy.
Con l’attuale proposta, la Commissione introduce un criterio dimensionale esplicito, esonerando dall’obbligo di tenuta del registro le imprese che occupano meno di 750 dipendenti.
Si tratta di un tentativo di alleggerire il carico amministrativo per le imprese di piccole e medie dimensioni, comprese le “small mid-cap”, che si trovano spesso in una fase espansiva ma ancora non strutturata come una grande azienda.
Tuttavia, l’esonero non opera in maniera automatica.
Rimane infatti fermo l’obbligo di tenuta del registro nei casi in cui i trattamenti realizzati siano suscettibili di comportare un rischio elevato per i diritti e le libertà fondamentali delle persone fisiche interessate.
A tal fine, la valutazione del rischio dovrà essere condotta alla luce dei criteri stabiliti dall’articolo 35 del GDPR, che elenca le situazioni in cui è obbligatoria la redazione di una valutazione d’impatto sulla protezione dei dati (DPIA).
Tra queste rientrano, ad esempio, i trattamenti su larga scala di categorie particolari di dati (come quelli sanitari o biometrici), l’uso sistematico di tecnologie di monitoraggio, o i casi di profilazione automatizzata con effetti giuridici o significativi sull’individuo.
Qualora una di tali condizioni ricorra, l’impresa – anche se con meno di 750 dipendenti – sarà comunque tenuta a predisporre il registro delle attività di trattamento, come strumento essenziale di accountability e trasparenza.
PROPOSTA DI MODIFICA DEL GDPR PER PMI: LE PRINCIPALI NOVITÀ DELL’ART. 40 E ART. 42 DEL GDPR
Un ultimo aspetto della proposta di modifica riguarda gli strumenti di accountability disciplinati dagli articoli 40 e 42 del GDPR, ovvero i codici di condotta e i meccanismi di certificazione.
Nello specifico, la Commissione introduce l’obbligo che i processi di elaborazione, approvazione e aggiornamento dei codici di condotta e dei meccanismi di certificazione tengano esplicitamente conto delle esigenze operative, economiche e organizzative delle PMI e delle small mid-cap.
L’obiettivo dichiarato è quello di favorire l’adozione volontaria di tali strumenti da parte di una platea più ampia di operatori economici, offrendo modelli di conformità sostenibili.
In altri termini, si vuole fare in modo che codici e certificazioni non siano riservati solo alle grandi organizzazioni con risorse dedicate alla compliance, ma diventino strumenti realmente fruibili anche per le imprese meno strutturate, che rappresentano una quota significativa del mercato.
Se vuoi avere altre informazioni contattaci subito.
Scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila il modulo che trovi di seguito.
