Lo scorso 8 maggio 2025 la Commissione Europea ha ricevuto una lettera dal Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo dei dati (EDPS) sulla proposta della Commissione Europea, e in particolare del commissario Michael McGrath, di semplificazione dell’obbligo di tenuta del registro dei trattamenti.
Con l’obiettivo di favorire il settore tech made-in-EU e dunque di minimizzare gli adempimenti in materia di privacy per le PMI, dalla fine dell’anno scorso è stata rilanciata da più testate giornalistiche la notizia di una proposta di aggiornamento del GDPR, avanzata dal commissario Europeo alla Giustizia, Michael McGrath, finalizzata in particolare a rivedere le disposizioni relative alla tenuta del registro dei trattamenti in ottica di maggiore semplificazione per i titolari del trattamento.
In particolare, in base a quanto emerge dalla lettera di risposta congiunta dell’EDPB e dell’EDPS, la proposta riguarderebbe la modifica dell’art. 30, par. 5, del Regolamento (UE) 2016/679 (GDPR): è infatti in valutazione l’estensione della deroga sull’obbligo di tenuta dei registri dei trattamenti anche alle PMI (“piccole imprese a media capitalizzazione”), in modo tale da facilitare la conformità al GDPR per le piccole imprese, promuovendo innovazione e crescita economica, attraverso una riduzione degli oneri amministrativi e documentali.
L’art. 30, par. 5, GDPR attualmente prevede che una PMI con meno di 250 dipendenti è esonerata dall’obbligo di tenere i registri delle attività di trattamento, a meno che: (i) il trattamento non sia occasionale; (ii) comporti un rischio per i diritti e le libertà degli interessati; (iii) siano ad oggetto categorie particolari di dati o dati giudiziari.
La proposta in fase di valutazione presso la Commissione Europea mirerebbe invece: da un lato, ad innalzare il primo requisito oggettivo-dimensionale a 500 dipendenti e prevedere l’estensione della deroga anche alle organizzazioni non-profit con meno di 500 dipendenti; dall’altro, a modificare parzialmente i tre criteri di accountability elencati dallo stesso paragrafo 5, art. 30, nel modo seguente:
- Specificando che il rischio per i diritti e le libertà degli interessati dev’essere “alto” (a seguito di una valutazione ex art. 35, GDPR)
- Chiarendo, attraverso l’introduzione di un Considerando ad hoc, che il trattamento di categorie particolari di dati (ex art. 9) effettuato per adempiere obblighi legali nel campo del lavoro, della sicurezza sociale o della protezione sociale (ai sensi dell’art. 9(2)(b) GDPR) non dovrebbe comportare l’obbligo di tenere il registro delle attività di trattamento.
Alla luce delle modifiche così proposte, l’EDPB e l’EDPS hanno sostanzialmente confermato il supporto nell’aggiornamento di tale disposizione.
Il sostegno a tale tipologia di modifiche risiede nel fatto che – come dichiarato dalle Autorità europee nella lettera dell’8 maggio 2025 – una semplificazione di questa natura non dovrebbe comunque incidere sull’obbligo dei titolari del trattamento di conformarsi con gli altri obblighi discendenti dal GDPR, tra cui, in primis, il principio di accountability che richiede al titolare di valutare e dimostrare la compliance alla normativa in materia di protezione dei dati personali, considerato che anche le PMI possono effettuare trattamenti ad alto rischio.
Avv. Lorenzo Baudino Bessone e Dott.ssa Silvia Mazzarella
