Il 21 maggio 2025 la Commissione europea ha presentato una proposta di riforma del Regolamento (UE) 2016/679, il cosiddetto GDPR, con l’obiettivo dichiarato di rafforzarne l’efficacia, riducendo al contempo gli oneri burocratici e semplificando l’operatività per imprese e pubbliche amministrazioni. Una revisione che, se approvata, segnerà un passaggio importante dopo sette anni di applicazione del testo vigente, introducendo un approccio maggiormente calibrato sulla proporzionalità e sulle dimensioni organizzative dei soggetti coinvolti.
1. Le novità principali: focus sulle “small-mid cap”
La modifica più significativa riguarda l’introduzione della categoria delle “small-mid cap” (SMC), ossia imprese fino a 750 dipendenti, che si collocano tra le PMI e le grandi aziende. A queste realtà, spesso portatrici di complessità gestionale non paragonabile alle microimprese ma anche lontane dalle capacità organizzative delle multinazionali, la riforma intende garantire un regime di adempimenti più sostenibile.
In quest’ottica, l’obbligo di tenuta del registro delle attività di trattamento (art. 30 GDPR) verrebbe limitato ai soli trattamenti con “alto rischio”, evitando che realtà di medie dimensioni si trovino gravate da obblighi sproporzionati rispetto alla concreta esposizione al rischio.
2. La logica della proporzionalità e il ruolo degli organismi di controllo
La Commissione ha chiarito che non si tratta di un “alleggerimento indiscriminato”, ma di una misura volta a concentrare gli obblighi documentali laddove esista un effettivo impatto sui diritti e le libertà degli interessati. Parallelamente, il sistema dei Garanti nazionali e il Comitato europeo per la protezione dei dati (EDPB) sono chiamati a monitorare che la riduzione degli oneri non determini vuoti di tutela, assicurando uniformità applicativa e prevenendo rischi di forum shopping normativo.
3. Impatti per le imprese italiane
Per il tessuto produttivo italiano, caratterizzato da un’elevata presenza di PMI e da un crescente numero di medie imprese orientate all’internazionalizzazione, l’introduzione della categoria “SMC” rappresenta un passaggio cruciale. Da un lato, si alleggerisce la compliance documentale per molte aziende che oggi faticano a mantenere registri aggiornati e analisi dei rischi formalistiche; dall’altro, la riduzione dell’obbligo non deve tradursi in una sottovalutazione della privacy by design e della privacy by default, che restano principi cardine e criteri di valutazione della responsabilità.
4. Le criticità aperte
La proposta solleva alcune questioni delicate. In primo luogo, la definizione di “alto rischio” resta centrale e potrebbe generare margini di incertezza applicativa. In secondo luogo, occorre valutare l’impatto sul coordinamento con altre normative settoriali: si pensi all’integrazione con gli obblighi di cybersecurity (NIS2), con la disciplina in materia di intelligenza artificiale e con la normativa italiana su whistleblowing e anticorruzione, dove i flussi informativi e i registri hanno un ruolo di garanzia e tracciabilità.
5. Uno sguardo prospettico
La riforma del GDPR non è una rivoluzione, ma un passo verso la razionalizzazione di un sistema che in alcuni casi si è rivelato eccessivamente gravoso senza corrispondente valore aggiunto per la tutela degli interessati. Per le imprese italiane, ciò significa opportunità di riduzione dei costi di compliance, ma anche responsabilità di non interpretare la semplificazione come un via libera alla superficialità.
La vera sfida sarà quella di mantenere alta la qualità della governance privacy, valorizzando gli strumenti esistenti (DPIA, codici di condotta, certificazioni) e integrandoli in un ecosistema sempre più complesso, dove la protezione dei dati personali dialoga con la sicurezza cibernetica, la sostenibilità ESG e i presidi 231.
Avv. Adamo Brunetti
