Pubblicata la proposta di revisione del GDPR: molto rumore per nulla

La prima bozza di revisione del GDPR è inserita nel quarto pacchetto “semplificazione Omnibus” pubblicato il 21 maggio scorso dalla Commissione Europea, tracciando così il quadro politico del mandato 2025-2029.

Gli intenti proclamati sono quelli di voler ridurre gli adempimenti e facilitare i percorsi di conformità per la normativa in materia di protezione dei dati personali pur mantenendo elevati standard di privacy e sicurezza, soprattutto nei confronti di piccole e medie imprese (PMI) e le imprese a media capitalizzazione di piccole dimensioni. Si propone l’inserimento all’interno delle definizioni di cui all’art. 4 di "microimprese, piccole e medie imprese" e "imprese a media capitalizzazione di piccole dimensioni" e l’aggiunta del riferimento a queste ultime all’interno dell’art. 40 par. 1 (Codici di condotta) e dell’art. 42 par. 1 (Certificazioni).

Per quanto riguarda la tenuta del registro delle attività di trattamento, viene proposta una modifica circa l’esenzione da tale obbligo riformulando il pur discutibile paragrafo 5 dell’art. 30 elevando il criterio dimensionale a 750 dipendenti (facendolo corrispondere con il valore soglia delle imprese a media capitalizzazione o “Mid-Cap”) e facendo salvi i soli trattamenti suscettibili di presentare un rischio elevato ai sensi dell’art. 35 GDPR:

"Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 750 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio elevato per i diritti e le libertà dell'interessato ai sensi dell’articolo 35."

Con l’inserimento di un considerando, sarà inoltre chiarito che non saranno considerati di rischio elevato ai fini della tenuta dei registri i trattamenti di categorie particolari di dati personali rientranti nella condizione di cui all’art. 9 par. 2 lett. b) GDPR per assolvere obblighi o esercitare diritti in materia di diritto del lavoro, della sicurezza sociale e protezione sociale ove autorizzati da una norma o da un contratto collettivo in presenza di garanzie appropriate.

Il fatto che non si rinunci al criterio dimensionale dell’organizzazione è incomprensibile. Il voler ricondurre l’obbligo di tenuta ai soli trattamenti di rischio elevato rivela l’incapacità di andare oltre il peccato originale di un approccio poco concreto e prettamente formale.

Alcune considerazioni

Se infatti per i trattamenti con un rischio elevato c’è già un obbligo di svolgere una valutazione d’impatto, l’esito di tale riforma comporterebbe nient’altro che una duplicazione della stessa e dunque avere due documenti che sostanzialmente riportano le medesime informazioni. Piuttosto, si sarebbe potuto esentare dall’obbligo di essere riportati nei registri i soli trattamenti di rischio basso. O ad esempio, arricchire i contenuti dei registri del titolare coordinandoli con i contenuti delle informative (artt. 13 e 14 GDPR) e quelli dei registri del responsabile coordinandoli con i contenuti essenziali degli accordi che ne regolano l’operato considerate anche le indicazioni delle Linee Guida 7/2020 EDPB (materia disciplinata, durata del trattamento, natura e la finalità del trattamento, tipo di dati personali, categorie di interessati, obblighi e i diritti del titolare del trattamento).

La Commissione ritiene che le modifiche proposte potranno avere un impatto significativo sulle PMI e le “small-mid caps”, riducendo i costi di gestione della conformità normativa e includendo le esigenze di queste ultime nei codici di condotta e nei meccanismi di certificazione. Non si comprende però in che modo ciò possa avvenire oltre i desiderata. Mentre non si vede quale facilitazione possa esserci per il settore tecnologico. Quanto possiamo considerare, al momento, è che si è fatto molto rumore per nulla. La riforma proposta appare, già sul nascere, di natura cosmetica. Quante energie però vengono dissipate in tutto questo mentre invece gli attivisti di noyb denunciano una mancanza “sistemica” di enforcement su cui invece si dovrebbe dedicare una maggiore attenzione?

Ecco dunque che non possono venire meno le perplessità già emerse sin dalle prime dichiarazioni a riguardo e che sono tutt’ora irrisolte. L’impressione è che la politica di Bruxelles sia barricata all’interno di torri eburnee ben distanti da chi invece subisce l’esito di queste decisioni e l’impatto delle normative.

Con le buone intenzioni, che fino a oggi rimangono solo sulla carta.

Articolo di Stefano Gazzella, Delegato Federprivacy per la provincia di Gorizia. Consulente Privacy & ICT Law, Data Protection Officer.