La Commissione Europea ha presentato una proposta di riforma del Regolamento generale sulla protezione dei dati (GDPR) che mira a semplificare gli obblighi normativi per le piccole e medie imprese (PMI) e per una nuova categoria di imprese: le imprese a media capitalizzazione di piccole dimensioni. Sebbene l’obiettivo dichiarato sia quello di favorire la crescita e la competitività di queste realtà economiche, la proposta solleva questioni importanti in termini di sicurezza, compliance e tutela dei diritti degli interessati.
Le principali modifiche: definizioni, obblighi e certificazioni
Tra gli interventi più significativi, la proposta introduce nuove definizioni nell’articolo 4 del GDPR, riconoscendo ufficialmente le “imprese a media capitalizzazione di piccole dimensioni”, ovvero aziende che, pur superando i criteri classici delle PMI (meno di 250 dipendenti), non raggiungono ancora le dimensioni delle grandi imprese. La soglia si sposta quindi fino a 749 dipendenti.
Un’altra novità di rilievo è la modifica dell’art. 30.5, che prevede l’abolizione dell’obbligo di tenere il registro delle attività di trattamento per le organizzazioni con meno di 750 dipendenti, salvo che non siano presenti rischi elevati per i diritti e le libertà degli interessati. L’intento è alleggerire gli oneri amministrativi, facilitando la gestione della compliance per imprese che, pur essendo cresciute, restano più vulnerabili rispetto ai grandi operatori.
Inoltre, viene rafforzato l’uso di codici di condotta e meccanismi di certificazione (artt. 40 e 42), che dovranno tenere conto delle specificità delle micro, piccole e medie imprese. Gli Stati membri e le autorità di controllo saranno chiamati a promuovere l’adozione di questi strumenti di autoregolamentazione.
Opportunità di crescita o semplificazione fuorviante?
Le modifiche proposte si inseriscono nel più ampio pacchetto di sostegno alle PMI, annunciato dalla Commissione il 12 settembre 2023, e ribadito nel documento pubblicato il 21 maggio 2025. Questo pacchetto intende agevolare lo “scaling-up” delle imprese, accompagnando la transizione delle PMI in categorie superiori attraverso un alleggerimento normativo.
Tuttavia, il disegno di riforma non è esente da critiche. Il punto più controverso riguarda proprio la semplificazione dell’obbligo di tenuta del registro: sebbene pensata per ridurre il carico burocratico, questa misura potrebbe indebolire i presidi di monitoraggio e rendicontazione, fondamentali per una gestione responsabile dei dati personali. In un contesto dove la quantità e la complessità dei dati trattati aumentano esponenzialmente, anche le PMI sono chiamate ad adottare standard elevati di sicurezza e trasparenza.
Una compliance davvero efficace?
Nel tempo, il modello europeo di regolazione ha abbandonato l’idea di una semplificazione standardizzata, preferendo una compliance sostanziale, centrata sulla qualità del trattamento e sulla responsabilizzazione degli attori. L’approccio proposto dalla Commissione sembra invece riportare alla logica della semplificazione formale, senza considerare pienamente l’evoluzione del rischio nel trattamento dei dati.
La protezione non può più basarsi unicamente sulla dimensione dell’azienda, ma deve tener conto della natura e intensità dei trattamenti, specie in ambiti ad alta digitalizzazione. In questo quadro, l’abolizione del registro potrebbe essere vista non tanto come un supporto alle imprese, quanto come una perdita di uno strumento essenziale per garantire accountability e trasparenza.
Il vero significato di “semplificazione”
Semplificare non significa ridurre gli obblighi in modo indiscriminato, ma fornire strumenti adeguati per una compliance efficace. Le PMI non possono più essere considerate marginali nell’ecosistema digitale europeo: sono parte integrante dell’economia dei dati, e devono essere messe nelle condizioni di affrontare le stesse sfide di sicurezza e governance delle grandi imprese.
In questo senso, l’adozione di codici di condotta e certificazioni specifici per PMI e imprese a media capitalizzazione rappresenta un passo positivo, ma resta insufficiente se non accompagnato da misure proattive di supporto operativo e formativo.
Conclusione
La proposta di riforma del GDPR riflette una volontà politica di sostenere la crescita delle imprese, ma rischia di sottovalutare i nuovi scenari di rischio e la complessità crescente della protezione dei dati. Una semplificazione intelligente dovrebbe puntare non a ridurre le garanzie, ma a rendere più accessibili e applicabili gli strumenti della compliance, anche per chi dispone di risorse più limitate.
In definitiva, la sfida per l’Unione Europea sarà coniugare sviluppo economico e tutela dei diritti fondamentali, promuovendo una cultura della protezione dei dati che sia proporzionata, ma mai superficiale.
Scarica il documento ufficiale qui:
