Il 21 maggio 2025 la Commissione europea ha presentato ufficialmente il quarto pacchetto legislativo “Semplificazione Omnibus IV”, contenente la prima bozza di revisione del GDPR. Si tratta della nuova proposta di Regolamento per la semplificazione del Regolamento europeo, obiettivo dichiarato: ridurre gli oneri per le PMI, introducendo misure idonee a ridurre gli adempimenti burocratici e a facilitare la conformità al GDPR.
Un’operazione attesa e condivisibile nei principi, ma che non sembra trovare il favore degli addetti ai lavori. La domanda che ci si è posti è: questa proposta incide davvero sulla sostanza dei problemi applicativi del GDPR?
L’impressione generale è che la risposta sia no.
Perché una proposta di semplificazione e cosa prevede
La questione era stata primariamente sollevata con il Rapporto Draghi sulla competitività europea, pubblicato nel settembre 2024. È in questo contesto che Mario Draghi ha lanciato un segnale d’allarme: l’eccesiva complessità delle normative europee rischierebbe di compromettere la competitività dell’Europa a livello mondiale e, in particolare, nei confronti di Cina e Stati Uniti.
Sarebbe proprio il peso burocratico del GDPR l’ostacolo maggiore individuato, poiché la normativa, nella sua applicazione pratica, grava soprattutto sulle imprese di piccole e medie dimensioni, spesso poco strutturate internamente e prive di risorse per gestire adempimenti che negli anni si sono fatti sempre più complessi.
La proposta prevederebbe alcune modifiche, tra cui l’ampliamento dell’art. 4 del GDPR: si proporrebbe infatti di inserire, tra le definizioni individuate dalla norma, quelle di “microimprese, piccole e medie imprese” e “imprese a media capitalizzazione di piccole dimensioni” (c.d. “small mid-cap”), mutuandole dalla normativa europea in materia economico-finanziaria. Tali categorie verrebbero poi richiamate all’interno degli artt. 40, par. 1, e 42, par. 1 GDPR, relativi rispettivamente ai codici di condotta e ai meccanismi di certificazione, con l’obiettivo di favorire strumenti di compliance semplificati per le imprese meno strutturate.
Il nodo più controverso è tuttavia rappresentato dalla proposta di riformulazione dell’art. 30, par. 5 GDPR, relativo all’obbligo di tenuta del registro delle attività di trattamento. Attualmente la norma impone tale obbligo soltanto alle imprese o alle organizzazioni che contano meno di 250 dipendenti, salvo che i trattamenti effettuati possano presentare un rischio per i diritti e le libertà degli interessati, non siano occasionali o includano categorie particolari di dati o dati giudiziari.
La proposta di modifica prevederebbe un innalzamento della soglia dimensionale da 250 a 750 dipendenti, uniformandola a quella prevista per le imprese a media capitalizzazione (c.d. “mid-cap”); inoltre, si prevede un’esenzione più ampia dall’obbligo di tenuta del registro, limitandolo ai soli trattamenti che comportano un rischio elevato per i diritti e le libertà dell’interessato ed eliminando quindi i criteri della non occasionalità e del trattamento di dati ex artt. 9 e 10 GDPR.
Questa impostazione non ha mancato di sollevare perplessità. Se infatti, da un lato, verrebbe raggiunto l’obiettivo della riduzione degli oneri, dall’altro il rischio maggiore consisterebbe nell’esclusione dalla documentazione obbligatoria di alcuni trattamenti rilevanti che, pur non comportando rischio “elevato”, restano in ogni caso significativi per trasparenza e accountability.
C’è un altro dato importante da considerare: l’innalzamento della soglia fino a 750 dipendenti non riflette la reale struttura imprenditoriale europea, composta in larga parte da micro, piccole e medie imprese che resterebbero così esposte a dubbi interpretativi e a responsabilità non ben definite.
Un’occasione mancata?
L’impressione è che la proposta della Commissione Europea non tocchi davvero il cuore del GDPR. Non lo semplifica, si limita a offrire strumenti di supporto: modelli, chiarimenti, esenzioni molto limitate; ma i problemi strutturali – costi, ambiguità, disomogeneità tra Stati membri – restano tutti irrisolti:
- Il principio di accountability continua a gravare interamente sul Titolare, senza indicazioni chiare su cosa sia sufficiente o proporzionato.
- Le differenze interpretative tra autorità nazionali restano, perché la proposta non prevede strumenti vincolanti.
- Le microimprese sono escluse solo in teoria: l’esenzione vale solo se il rischio è “limitato”, ma nessuno spiega cosa significhi.
I modelli proposti aiutano, ma non cambiano la logica della compliance, che resta documentale e formale. Il rischio è una semplificazione solo apparente: meno carta, ma uguale incertezza.
A nostro avviso manca del tutto una riflessione ponderata su interoperabilità, automazione, strumenti digitali comuni e soprattutto formazione strutturata. Semplificare davvero significherebbe intervenire su questi aspetti, non solo sul modo in cui si redigono i documenti.
Oggi invece, con questa proposta, il messaggio che passa è: “Vi aiutiamo a scrivere meglio i documenti”. Ma il problema non è solo come si scrivono i documenti, è perché e quando farli davvero bene.
Semplificare senza cambiare?
In sintesi, la proposta UE nasce con buone intenzioni, ma rischia di restare una risposta formale a problemi strutturali. Una vera semplificazione dovrebbe rivedere il modo in cui concepiamo la compliance, non solo alleggerire i moduli. Concludiamo questo approfondimento con un estratto dell’intervento di Agostino Ghiglia, componente del Garante per la protezione dei dati personali, su Agenda Digitale dell’8 aprile 2025:
“Davvero possiamo pensare che il problema della competitività europea risieda nell’art. 13 del GDPR o nell’obbligo di designare un DPO in determinate situazioni?
Occorrerebbe, piuttosto, interrogarsi sul grado di maturità digitale del tessuto imprenditoriale europeo, sul ritardo nelle infrastrutture, sulla scarsa integrazione tra innovazione e diritti fondamentali. In questo quadro, la protezione dei dati non è un ostacolo, ma una leva strategica per costruire fiducia nei servizi digitali, promuovere la trasparenza e garantire sicurezza giuridica”.
Contributo a cura dell’Avv. Laura Sartarelli
