Il Regolamento Generale sulla Protezione dei Dati (GDPR), sin dalla sua applicazione, si è affermato come lo standard di riferimento globale per la protezione dei dati personali, incarnando l’impegno dell’Unione Europea a tutelare i diritti fondamentali delle persone nell’era digitale.
Tuttavia, questo pilastro normativo è oggi sottoposto a una pressione crescente.
Una spinta politica ed economica verso la “semplificazione”, motivata da esigenze di competitività del mercato unico, sta generando una serie di proposte di modifica che, dietro la facciata della riduzione degli oneri amministrativi, rischiano di erodere le tutele essenziali per i cittadini.
La centralità della persona emerge chiaramente fin dai primi Considerando del Regolamento. Il Considerando (1) stabilisce che la protezione delle persone fisiche riguardo al trattamento dei dati personali è un diritto fondamentale.
I Considerando (6) e (7) evidenziano come la rapida evoluzione tecnologica e la globalizzazione abbiano reso necessario un quadro normativo più solido e coerente per dare alle persone fisiche il controllo sui propri dati e rafforzare la certezza giuridica e operativa per cittadini e operatori economici.
Ma il GDPR è davvero cosi complicato?
Contrariamente alla narrazione che lo dipinge come un ostacolo rigido, il GDPR è stato concepito per essere flessibile e proporzionato. Il suo approccio basato sul rischio e la sua neutralità tecnologica consentono di adattare gli obblighi alla natura, al contesto e alle finalità del trattamento, evitando un approccio “taglia unica”.
Inoltre, il legislatore europeo ha tenuto conto fin dall’inizio delle esigenze specifiche delle micro, piccole e medie imprese (PMI). Il Considerando (13) invita esplicitamente le istituzioni a considerare tali esigenze, e l’Articolo 30, paragrafo 5, prevede una deroga specifica dall’obbligo di tenuta dei registri delle attività di trattamento per le organizzazioni con meno di 250 dipendenti, a meno che il trattamento non presenti rischi elevati. Ciò dimostra che il Regolamento contiene già al suo interno sofisticati meccanismi di proporzionalità e graduazione degli obblighi, rendendo ulteriori semplificazioni generalizzate potenzialmente ridondanti o mal concepite.
Cosa si vuole modificare, quindi ?
Nonostante questa flessibilità intrinseca e questo equilibrio attentamente calibrato, un nuovo contesto politico-economico europeo sta mettendo in discussione questi fondamenti, promuovendo una visione del GDPR come un onere da ridurre per stimolare la competitività.
L’attuale agenda politica europea è fortemente orientata al rafforzamento della competitività del mercato unico. In questo contesto, la “riduzione degli oneri amministrativi” è stata identificata come una leva cruciale per liberare il potenziale di crescita delle imprese, in particolare delle PMI. Inevitabilmente, il GDPR, con i suoi obblighi di accountability e trasparenza, è finito nel mirino di questa spinta alla deregolamentazione.
Questa tendenza si è tradotta in precise direttive politiche e proposte a livello sia europeo che nazionale.
A livello europeo, la Commissione si è impegnata a ridurre gli oneri amministrativi del 25%, un obiettivo che è stato successivamente incrementato al 35% per le piccole e medie imprese (PMI). Questo impegno ha portato all’elaborazione di un pacchetto di proposte legislative volte a modificare trasversalmente diverse normative, incluso il GDPR.
Sebbene la riduzione della burocrazia sia un obiettivo legittimo, queste iniziative creano un ambiente politico in cui le tutele fondamentali della privacy vengono progressivamente reinterpretate come meri “costi di compliance”, suscettibili di essere sacrificati sull’altare della competitività economica, spostando il paradigma da un approccio basato sui diritti a uno di puro calcolo costi-benefici.
Le proposte di modifica al GDPR, pur essendo presentate come semplici “semplificazioni”, toccano in realtà il cuore dei principi di responsabilità (accountability) e trasparenza, che sono i pilastri su cui si fonda la fiducia degli interessati. Queste proposte, pertanto, non sono meri aggiustamenti tecnici, ma tentativi di ri-allineare la ratio legis del Regolamento, subordinando un diritto fondamentale a logiche di pura efficienza economica. È fondamentale decostruire queste proposte per comprenderne l’impatto reale sulla protezione dei diritti dei cittadini, al di là della retorica della competitività.
Una delle proposte più significative, contenuta nel pacchetto di semplificazione della Commissione Europea, riguarda la modifica dell’Articolo 30, paragrafo 5, del GDPR.
La proposta e’ quella di stendere la deroga dall’obbligo di tenuta dei registri delle attività di trattamento, attualmente prevista per le imprese con meno di 250 dipendenti, a quelle con meno di 750 dipendenti.
Questo non è un aggiustamento tecnico, ma una modifica che svuota di contenuto operativo il principio di accountability sancito dall’Art. 5(2), rendendo la conformità un’obbligazione non più dimostrabile in modo oggettivo per un’ampia fascia di imprese. Il registro dei trattamenti è lo strumento primario attraverso cui un’organizzazione mappa, comprende e dimostra la propria conformità. Esentare una fascia così ampia di imprese significa ridurre drasticamente la trasparenza interna ed esterna e limitare la capacità delle Autorità di controllo di effettuare verifiche efficaci.
Una proposta avanzata dalla Germania mira invece a modificare i termini per la notifica di una violazione dei dati personali all’autorità di controllo.
La proposta è quella di modificare l’Articolo 33, paragrafo 1, cambiando il termine di notifica da “72 ore” a “tre (3) giorni lavorativi”.
La modifica, apparentemente minima, ha conseguenze pratiche rilevanti. In caso di violazioni che si verificano a ridosso di un fine settimana o di festività, questo cambiamento concederebbe alle organizzazioni un tempo significativamente maggiore (potenzialmente fino a cinque o più giorni) prima di notificare l’incidente. Questo ritardo va a diretto discapito degli interessati, che hanno bisogno di essere informati tempestivamente per poter adottare misure a propria tutela, come cambiare password o monitorare i propri conti bancari. La trasparenza tempestiva è un cardine della protezione, non un lusso.
Un’altra proposta della Commissione Europea mira ad ampliare la platea delle imprese che beneficiano di un trattamento di favore.
Si tratta, in pratica, di emendare gli Articoli 40 (Codici di condotta) e 42 (Certificazione) per estendere la presa in considerazione delle “esigenze specifiche” dalle PMI anche alle cosiddette “small mid-cap enterprises” (SMC).
Questa estensione crea un precedente pericoloso e offusca il principio di proporzionalità. Mentre la deroga per le micro e piccole imprese è giustificata da una chiara disparità di risorse, l’inclusione di una categoria più ampia e meno definita come le SMC rischia di creare classificazioni arbitrarie. Tale modifica sposta il fulcro della normativa, legando il livello di tutela alle dimensioni aziendali piuttosto che al rischio presentato dalle attività di trattamento dei dati, che costituisce invece la logica fondamentale del GDPR. Si apre così la porta a un’erosione progressiva dell’applicazione uniforme del Regolamento.
Difendiamo il GDPR per difendere i diritti dei cittadini europei
Il Regolamento è già semplificato per le PMI. Probabilmente ancora non lo abbiamo pienamente compreso. O forse l’obiettivo è diverso.
Le proposte di “semplificazione” del GDPR, sebbene ammantate di una legittima retorica sulla competitività, rappresentano in realtà un tentativo di ri-orientare un Regolamento nato per proteggere le persone verso uno strumento a servizio degli interessi economici delle organizzazioni. È il tentativo di sostituire un impianto basato sui diritti con una logica di mero calcolo costi-benefici. Indebolire obblighi fondamentali come la tenuta dei registri, la notifica tempestiva delle violazioni e l’applicazione uniforme delle norme non è una semplificazione, ma uno svuotamento.
Il futuro di una protezione dei dati efficace e moderna non risiede nell’indebolire le sue fondamenta, ma nel rafforzare i meccanismi di applicazione – come l’efficienza del meccanismo One-Stop-Shop –, nel promuovere una legislazione complementare coerente che confermi la primazia dei diritti fondamentali e nel rispettare il ruolo evolutivo della giurisprudenza.
Difendere l’integrità del GDPR oggi significa difendere uno dei pilastri della democrazia digitale europea e riaffermare che, nel mercato unico, la competitività non può e non deve prevalere sui diritti fondamentali dei cittadini.