Riforma del GDPR: finalmente disponibile la bozza

Pubblicato il di Avv. Enrico Pelino
Immagine creata con ChatGPT

La Commissione europea sta lavorando a modifiche al GDPR. Ne abbiamo già parlato in questo blog, ma finalmente abbiamo una bozza da analizzare (v. sotto).

L’impressione, alla lettura del testo, è quella di una nave che proceda senza direzione.

La riforma è diretta a una semplificazione, soprattutto per le piccole e medie imprese (PMI) e le small mid-cap, elemento questo certamente positivo.

Prende le mosse, come si legge nelle considerazioni introduttive, anche dai rapporti “The future of European competitiveness” di Mario Draghi e “Much more than a market“di Enrico Letta.

Non nasce quindi da istanze di giuristi, ma di esponenti politici. Se ne avvertono le conseguenze, nonostante il passaggio tecnico del testo attraverso i servizi giuridici della Commissione europea.

Innanzitutto il testo della proposta di riforma

Commissione – Proposta riforma GDPRDownload

Prime valutazioni

La bozza attualmente disponibile (auguriamoci che non venga estesa) presenta interventi molto circoscritti. Autorizza perciò un parziale senso di sollievo rispetto alle modifiche temute.

Al tempo stesso, solleva serie preoccupazioni. Il testo, infatti, dà l’impressione di essere stato redatto in maniera episodica e di superficie, ossia cercando il termine “impresa” o “dipendenti” nel GDPR, più che muovere da una reale comprensione del senso giuridico profondo e dei rapporti logici tra le disposizioni interessate dall’intervento di riforma e le altre.

Quali sono gli interventi

Le modifiche proposte sono tre:

  • un innocuo inserimento delle small mid-cap enterprises agli articoli 40.1 e 42.1 GDPR, rispettivamente in materia di codici di condotta e certificazioni.
  • Limitazione degli obblighi di tenere i registri del trattamento, ai sensi dell’art. 30 GDPR. Qui l’intervento è sostanziale, v. più sotto.
  • L’inserimento all’art. 4 GDPR delle definizioni di micro, piccole e medie imprese, mutuato dalla ben nota (anche in ambito NIS 2) Raccomandazione 2003/361/CE, e di “small mid-cap enterprises”, rimesso a futura precisazione. Le definizioni hanno coerenza con gli interventi da apportare, ma il riferimento alla Raccomandazione 2003/361 risulta superfluo, perché già contenuto al cons. 13 GDPR.

Il vero nodo sono i registri

Ecco il nuovo testo del paragrafo 5 dell’art. 30 GDPR:

The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 750 persons unless the processing it carries out is likely to result in a high risk to the rights and freedoms of data subjects, within the meaning of Article 35, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10

In grassetto le aggiunte, in barrato le eliminazioni.

In sostanza, le imprese (professionisti inclusi) o le organizzazioni con meno di 750 dipendenti saranno tenute ad avere e aggiornare i registri ex art. 30 GDPR solo se svolgono trattamenti considerati a rischio elevato, secondo la nozione di “rischio elevato” che innesca l’obbligo di DPIA (art. 35 del GDPR).

Viene cioè meno, entro la soglia citata, perfino l’obbligo dei registri anche per i trattamenti di dati sensibili (art. 9 GDPR), non solo quelli, come finora dichiarato, circoscritti al settore giuslavoristico (art. 9.2.b)).

Viene altresì meno l’obbligo dei registri per i trattamenti di dati giudiziari (art. 10).

Certo, i trattamenti ex artt. 9 e 10 GDPR potrebbero, se del caso, essere ricondotti entro la nozione di “rischio elevato”, ripristinando, almeno in parte, quanto verrà soppresso.

L’intervento dunque si palesa non solo come parzialmente inutile, ma è idoneo ad aggravare di complessità e ambiguità l’applicazione dell’art. 30.5 GDPR, in antitesi quindi con l’intento semplificatorio.

Le ragioni della riforma

Qual è la logica di questo intervento di riforma, almeno rispetto ai registri del trattamento?

Chi si occupa di compliance sa bene che i registri si redigono quasi automaticamente, una volta adempiuti gli altri incombenti (allocazione dei ruoli, informative, autorizzazioni, ecc.).

Inoltre, i registri, una volta realizzati, rappresentano uno strumento di coerenza e controllo, una sorta di “prova del nove”. Permettono infatti di verificare agevolmente la correttezza degli altri documenti, perché basi giuridiche, tempi di conservazione, categorie di destinatari devono combaciare.

Eliminare i registri equivale a rimuovere l’indice da un libro: non si ottiene alcun beneficio concreto. Se si è costruito l’adeguamento privacy in maniera non casuale ma ragionata, l’indice (ossia il registro) sottende infatti l’intero adeguamento.

Si tratta solo di formalizzarlo. Rinunciarvi, significa privarsi di uno strumento fondamentale di futuro orientamento e gestione. Questo, a ben guardare, pare il contrario della semplificazione: gli adempimenti restano, nella sostanza, gli stessi, solo si dispone di meno strumenti di governance.

Informativa sul trattamento dei dati personali Proudly powered by WordPress