INTRODUZIONE
Il 21 maggio 2025, la Commissione Europea ha presentato il quarto pacchetto di semplificazione “Omnibus IV”, promettendo di far risparmiare alle imprese europee ulteriori 400 milioni di euro all’anno. Tra le misure più attese, quelle relative alla modifica del Regolamento Generale sulla Protezione dei Dati (GDPR) per alleggerire gli oneri amministrativi delle piccole e medie imprese (PMI) rappresentano il culmine di un percorso iniziato con le prime critiche al Regolamento, emerse già nei primi anni dalla sua entrata in vigore nel maggio 2018.
Le aspettative del mondo imprenditoriale erano elevate. Dopo sette anni di applicazione del GDPR, le associazioni di categoria, i professionisti del settore e gli stessi imprenditori avevano identificatoi punti di maggiore attrito tra la norma europea e la realtà operativa delle PMI. La speranza era che la Commissione avrebbe finalmente affrontato strutturalmente questi nodi critici, producendo un quadro di intervento organico e coraggioso, capace di coniugare effettivamente la tutela dei dati personali con la competitività del tessuto imprenditoriale europeo.
La realtà presentata nel pacchetto Omnibus IV appare, tuttavia, decisamente più modesta delle aspettative. Le modifiche proposte, pur apprezzabili nell’intenzione, sembrano toccare solo la superficie di problematiche più profonde e sistemiche che affliggono il rapporto tra GDPR e PMI. Lungi dal rappresentare una svolta, rischiano di configurarsi come un intervento palliativo che non incide sulle vere cause del sovraccarico burocratico.
- L’INNALZAMENTO DELLA SOGLIA PER IL REGISTRO DEI TRATTAMENTI
La modifica apparentemente più significativa riguarda l’articolo 30 del GDPR, con l‘innalzamento della soglia per l’obbligo di tenuta del registro delle attività di trattamento da 250 a 750 dipendenti. Questa misura, sulla carta, dovrebbe esonerare migliaia di imprese europee da quello che è percepito come uno degli adempimenti più onerosi e meno compresi del GDPR. Il registro dei trattamenti rappresenta infatti uno dei documenti più complessi da redigere e mantenere aggiornato, richiedendo competenze tecniche specifiche e un investimento temporale considerevole, spesso ritenuto sproporzionato rispetto ai benefici percepiti dalla PMI stessa.
Tuttavia le eccezioni che già oggi rendono obbligatorio il registro per imprese anche al di sotto dei 250 dipendenti rimangono intatte e pertanto la normativa rischia di avere un impatto pratico molto modesto.
La prima eccezione all’obbligatorietà riguarda i trattamenti occasionali. La nozione di “occasionalità” è stata interpretata dalle autorità di controllo nazionali e dall’European Data Protection Board (EDPB) in modo estremamente restrittivo. Come chiarito, ad esempio, in diverse opinioni e linee guida dell’EDPB, un trattamento è considerato occasionale solo quando è “infrequente, avviene a intervalli irregolari e non è parte delle attività regolari dell’organizzazione”. Nella pratica digitale contemporanea, dove il trattamento dei dati personali è intrinseco al modello di business, questo criterio esclude automaticamente la maggior parte delle attività delle PMI informatizzate e che per loro natura operano in continuità e regolarità. Si pensi alla semplice gestione della clientela, all’invio di newsletter periodiche, o alla manutenzione di un sito web con form di contatto: sono tutte attività difficilmente qualificabili come occasionali.
La seconda eccezione concerne i trattamenti che presentano un rischio per i diritti e le libertà delle persone fisiche. Questa formulazione, volutamente ampia nel testo originario del GDPR per garantire una tutela estesa, cattura gran parte dell’economia digitale contemporanea. Attività apparentemente innocue come l’analytics del sito web (anche anonimizzata in modo non perfetto), la profilazione commerciale di base, l’utilizzo di sistemi CRM avanzati, la geolocalizzazione, o persino l’uso di cookie non strettamente tecnici, rientrano spesso in questa categoria secondo l’interpretazione consolidata delle autorità di controllo e le indicazioni dell’EDPB sui trattamenti che richiedono una DPIA (Data Protection Impact Assessment), spesso correlati a rischi non trascurabili.
La terza eccezione riguarda i trattamenti di categorie particolari di dati personali (ex dati sensibili, art. 9 GDPR) o dati relativi a condanne penali e reati (art. 10 GDPR). Settori come la sanità digitale, il fintech, l’e-learning, le app per il benessere che raccolgono dati sulla salute, o anche il semplice e-commerce che raccoglie preferenze che potrebbero rivelare orientamenti filosofici, politici o religiosi, rimangono pienamente coinvolti negli obblighi del registro, indipendentemente dal numero di dipendenti.
Il risultato di questa architettura normativa potrebbe talvolta dare esiti apparentemente paradossali: proprio le imprese più innovative e digitalmente avanzate, quelle che dovrebbero rappresentare il futuro dell’economia europea, e che trattano dati in modo più intensivo, continuano a essere soggette agli stessi obblighi di prima. Una startup agile con solo qualche decina di dipendenti che sviluppi, per esempio, un’applicazione di fitness con funzionalità di tracciamento biometrico rimarebbe soggetta a tutti gli obblighi GDPR, incluso il registro, mentre un’azienda manifatturiera tradizionale con molti più dipendenti E una strutturata organizzazione societaria che tratti solo dati anagrafici di base dei propri dipendenti e fornitori (e non svolga trattamenti a rischio o non occasionali su altre categorie di interessati) potrebbe, in teoria, beneficiare della semplificazione.
Questa distorsione potrebbe paradossalmente penalizzare l’innovazione e la digitalizzazione, obiettivi dichiarati delle politiche europee per la competitività: le imprese che investono in tecnologie avanzate e basano il proprio valore sul trattamento dei dati personali si trovano di fatto soggette a maggiori obblighi rispetto a quelle che mantengono modelli di business più tradizionali.
- LE CRITICITÀ STRUTTURALI IGNORATE: IL VERO FARDELLO DELLE PMI
La focalizzazione quasi esclusiva sul registro dei trattamenti tradisce una comprensione parziale delle reali difficoltà che le PMI incontrano nella compliance GDPR. L’esperienza sul campo evidenzia infatti che il registro, pur essendo percepito come oneroso, rappresenta spesso solo la punta dell’iceberg di un sistema di adempimenti molto più complesso, costoso e tecnicamente sfidante.
L’obbligo di nomina del Data Protection Officer (DPO o RPD: Responsabile della Protezione dei Dati), rappresenta uno degli aspetti più critici ma discussi nelle proposte di semplificazione. L’articolo 37 del GDPR impone la nomina del DPO quando le attività principali dell’organizzazione consistono in trattamenti che richiedono “monitoraggio regolare e sistematico degli interessati su larga scala” o nel trattamento, sempre su larga scala, di categorie particolari di dati o di dati relativi a condanne penali. Questa formulazione, apparentemente tecnica e soggetta a interpretazioni estensive da parte delle Autorità, come evidenziato dalle Linee Guida EDPB sul DPO (WP243 rev.01 e successive integrazioni), si traduce in pratica nell’obbligo per la maggior parte delle PMI che operano nel digitale, incluse quelle che offrono servizi online, app, o che effettuano marketing comportamentale.
Il costo di un DPO qualificato, che deve possedere competenze giuridiche, informatiche, di analisi dei rischi e di processo, può essere di alcune decine di migliaia di euro per consulenti esterni e con un costo ancora maggiore, a parità di seniority e competenze, per il DPO interno (considerati i costi contributivi, etc.). Per una PMI ciò costituisce una spesa sul spesso insostenibile in settori caratterizzati da marginalità ridotte. Il pacchetto Omnibus IV non tocca questo aspetto, lasciando irrisolto uno dei principali fattori di costo e di difficoltà organizzativa della compliance GDPR per le PMI innovative che ha talvolta portato ad una mera compliance formale nelle PMI che nomina DPO a costi (e competenze) irrisori senza alcuna reale tutela per l’impresa e rispetto del GDPR.
Le Valutazioni d’Impatto sulla Protezione dei Dati (DPIA), previste dall’art. 35 GDPR, costituiscono un altro elemento di complessità tecnica spesso inaffrontabile per le PMI senza un supporto esterno qualificato. L’articolo 35 GDPR richiede una DPIA quando il trattamento, in particolare se prevede l’uso di nuove tecnologie, presenta “un rischio elevato per i diritti e le libertà delle persone fisiche”. Le linee guida dell’EDPB hanno individuato alcuni criteri (poi integrati dalle autorità nazionali) che, se presenti in combinazione di almeno due, rendono “quasi sempre” necessaria una DPIA.
Molte PMI digitali soddisfano facilmente questi criteri attraverso attività divenute ormai di routine come l’analytics comportamentale sui propri siti web, l’utilizzo di sistemi di raccomandazione automatizzati, l’impiego di tecnologie cloud innovative, la profilazione avanzata, l’uso di intelligenza artificiale e machine learning, o il trattamento di dati biometrici. La conduzione di una DPIA tecnicamente adeguata richiede competenze specialistiche multidisciplinari raramente disponibili internamente nelle PMI, e il costo di consulenze esterne per DPIA complesse può raggiungere e talvolta superare le decine di migliaia di euro per progetto, rendendo talvolta antieconomico lo sviluppo di nuovi prodotti o servizi digitali, soffocando l’innovazione o inducendo a pericolose semplificazioni.
L’articolo 32 GDPR richiede misure di sicurezza “adeguate al rischio”, tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché della probabilità e gravità dei rischi. Tuttavia, l’interpretazione delle autorità di controllo e la prassi di mercato tendono a spingere verso standard elevati, spesso mutuati da framework complessi che invece dovrebbero parametrarsi sulle reali capacità economiche e tecniche delle diverse organizzazioni. Una microimpresa di sviluppo software non può essere valutata e tenuta a conformarsi agli stessi standard di sicurezza informatica di una multinazionale, senza un’adeguata ponderazione per le differenze di budget, competenze interne, o complessità organizzativa. Questo approccio, pur certamente comprensibile dal punto di vista della tutela massima dei diritti, genera talvolta situazioni di compliance sostanzialmente impossibile o economicamente insostenibile per le realtà più piccole, che finiscono per adottare misure formali e insufficienti.
- L’EFFETTO “COMPLIANCE CONTRATTUALE”
Un aspetto spesso trascurato nel dibattito sulle semplificazioni GDPR è l’impatto della cosiddetta “compliance contrattuale” o “effetto a cascata della supply chain”. Molte PMI operano infatti come fornitori (responsabili del trattamento ai sensi dell’art. 28 GDPR) di imprese più grandi (titolari del trattamento), che impongono standard di Data Protection attraverso clausole contrattuali estremamente dettagliate e onerose (Data Processing Agreement – DPA), indipendentemente dagli obblighi normativi effettivi del fornitore secondo la sua dimensione o tipologia.
Gli attuali contratti B2B, specialmente con aziende strutturate o multinazionali, includono sistematicamente clausole che richiedono al fornitore di mantenere un registro dei trattamenti aggiornato (e magari notevolmente articolato) anche se teoricamente esentato, nominare un DPO o una figura equivalente anche se non obbligatorio per legge, sottoscrivere polizze assicurative specifiche per data breach con massimali elevati, aderire a certificazioni specifiche, e sottoporsi ad audit di compliance periodici a proprie spese, etc. Queste richieste sono spesso standardizzate, non negoziabili (o difficilmente negoziabili per una PMI con scarso potere contrattuale) e applicate indipendentemente dalle dimensioni del fornitore o dagli obblighi normativi effettivi.
Il risultato è che anche le PMI teoricamente esenti dagli obblighi GDPR più gravosi a seguito di una (ipotetica) semplificazione si trovano costrette ad adempiervi per necessità commerciali, per non perdere commesse o per non essere escluse da catene di fornitura qualificate. Questa pressione della supply chain crea un fenomeno di, formale, “compliance a cascata” che vanifica gran parte dei benefici delle semplificazioni normative. Un’azienda che dopo le modifiche Omnibus IV non sarebbe più tenuta al registro dei trattamenti, potrebbe comunque trovarsi costretta a mantenerlo e a sostenere i relativi costi per non perdere clienti strategici che lo esigono contrattualmente.
Di fronte all’incertezza interpretativa, ai timori di sanzioni e alla pressione contrattuale, molte PMI optano per strategie di “over-compliance” difensiva, cercando (e spesso non riuscendoci) di applicare tutti gli obblighi GDPR anche quando potrebbero beneficiare di semplificazioni.
- ALTRI MODELLIDI SEMPLIFICAZIONE DAL PANORAMA INTERNAZIONALE
L’approccio europeo al tema delle semplificazioni GDPR per le PMI non è l’unico possibile.
Altri ordinamenti hanno sviluppato modelli di semplificazione dai quali l’Europa potrebbe forse trarre qualche ispirazione per un approccio più strutturale e meno timido.
Il “California Consumer Privacy Act” (CCPA, come emendato dal CPRA) adotta un approccio multidimensionale per definire il proprio ambito di applicazione, che considera simultaneamente il fatturato annuale lordo (con una soglia di 25 milioni di dollari), il volume di dati personali trattati (riferito all’acquisto, vendita, o condivisione dei dati personali di 100.000 o più consumatori o famiglie), o la percentuale di ricavi annui derivanti dalla vendita o condivisione di dati personali dei consumatori (fissata al 50% o più). Questo sistema riconosce che la “dimensione privacy” di un’impresa non coincide necessariamente con la sua dimensione economica o occupazionale tradizionale, permettendo forse una calibrazione più precisa degli obblighi considerando molteplici e differenti parametri.
La “Lei Geral de Proteção de Dados” (LGPD) brasiliana prevede espressamente che l’autorità di controllo (ANPD) definisca “norme semplificate e differenziate” per le microimprese e le piccole imprese, gli starter e le aziende di innovazione, riconoscendo che dimensioni diverse richiedono approcci diversi, non solo soglie diverse. Questo principio di differenziazione qualitativa, e non solo quantitativa, appare più coerente con la varietà del tessuto imprenditoriale moderno e con la necessità di promuovere l’innovazione.
Alcuni ordinamenti asiatici, come Singapore (con il Personal Data Protection Act – PDPA) e la Corea del Sud (con il Personal Information Protection Act – PIPA), hanno sviluppato modelli di “compliance collaborativa”, dove l’autorità di controllo fornisce attivamente supporto tecnico e risorse alle PMI attraverso piattaforme digitali, template preimpostati, tool di autovalutazione e programmi di mentoring settoriale. Questo approccio trasforma l’autorità di controllo da mero supervisore potenzialmente punitivo a partner nel processo di conformità, riducendo i costi di compliance attraverso la standardizzazione, la condivisione di competenze e la creazione di un clima di fiducia.
- SPUNTI PER UN APPROCCIO PIÙ’ PROPORZIONATO E SOSTENIBILE
Le modifiche del pacchetto Omnibus IV, apprezzabili nelle intenzioni, appaiono dunque insufficienti per affrontare strutturalmente le criticità identificate. Un approccio veramente efficace richiederebbe interventi sistemici che superino la logica delle mere soglie numeriche e delle deroghe facilmente aggirabili, per abbracciare un approccio più sofisticato alla proporzionalità degli obblighi, basato sul rischio effettivo e sulla capacità delle imprese. Alcuni spunti per un futuro sviluppo:
- Approccio Multidimensionale alla Soglia: Invece del criterio puramente numerico basato sui dipendenti, l’UE dovrebbe valutare l’adozione di un approccio multidimensionale ispirato ai modelli più evoluti, che consideri simultaneamente il numero di dipendenti, il fatturato annuale, il volume e la tipologia di dati personali trattati, la natura e la scala dei trattamenti effettuati (es. profilazione su larga scala, trattamenti automatizzati con impatto significativo, uso di tecnologie invasive), e il settore di attività con i relativi rischi intrinseci. Questo permetterebbe di identificare più accuratamente le imprese che necessitano di regimi semplificati e quelle che, pur piccole dimensionalmente, operano in contesti ad alto rischio e meritano un’attenzione specifica.
- Introduzione di “Classi di Rischio” Settoriali e Basate sull’Attività: Si potrebbero modulare gli obblighi in base alla natura effettiva dell’attività svolta e ai rischi inerenti. Settori come l’artigianato tradizionale, il commercio al dettaglio di base con trattamenti limitati ai dati di fatturazione e contatto, o i servizi professionali tradizionali che non trattano dati particolari su larga scala, potrebbero beneficiare di regimi veramente semplificati, con obblighi ridotti all’essenziale (es. informativa chiara, misure di sicurezza di base, gestione delle richieste degli interessati). Al contrario, settori come fintech, healthtech, adtech, o qualsiasi impresa che effettui monitoraggio sistematico o profilazione su larga scala, manterrebbero obblighi più stringenti proporzionati ai rischi effettivi che presentano, indipendentemente dalla dimensione.
- Piattaforma Europea di Supporto Attivo e Strumenti Standardizzati: L’EDPB, in collaborazione con le autorità nazionali, potrebbe sviluppare una piattaforma digitale europea multilingue che guidi le PMI nella classificazione automatica dei propri obblighi, fornisca template preimpostati e personalizzabili per i documenti obbligatori (informative, nomine responsabili, registri semplificati per le categorie a basso rischio), offra strumenti di auto-valutazione del rischio facili da usare, e consenta la generazione guidata di privacy policy e informative. Questo approccio tecnologico alla semplificazione potrebbe ridurre drasticamente i costi di compliance mantenendo alti standard di protezione, trasformando il GDPR da onere percepito a strumento di buona gestione.
- “Safe Harbor” e Procedure Standardizzate con Presunzione di Conformità: L’introduzione di procedure e codici di condotta approvati specifici per PMI e per settori, accompagnate da una presunzione relativa di conformità per chi le adotta correttamente, potrebbe ridurre significativamente l’incertezza interpretativa che oggi paralizza molte PMI. Questi “safe harbor“, veri e propri luoghi sicuri, fornirebbero certezza giuridica in cambio dell’adozione di standard riconosciuti, creando un circolo virtuoso di compliance semplificata ma efficace, riducendo la necessità di costose consulenze per interpretare norme complesse.
In conclusione, il pacchetto Omnibus IV rappresenta un primo passo, ma ancora troppo timido, quasi irrilevante, verso un quadro di maggiore efficacia. Per sostenere l’innovazione, la competitività delle PMI europee e garantire una protezione dei dati realmente proporzionata, occorrerà il coraggio politico di superare le soglie numeriche e le semplificazioni di facciata, per abbracciare modelli di compliance più intelligenti, dinamici, basati sul rischio effettivo e collaborativi.
- 6. GDPR: NUOVE REGOLE O MIGLIORE APPLICAZIONE?
L’esperienza di sette anni di applicazione del GDPR suggerisce che il problema delle PMI e della proporzionalità degli adempimenti non sia risolvibile attraverso semplici aggiustamenti alle soglie esistenti o ritocchi marginali. Il Regolamento, pur rappresentando un banco di prova globale per la protezione dei dati, è stato concepito in un’epoca in cui l’economia digitale aveva caratteristiche diverse da quelle attuali, e la sua architettura normativa riflette questa impostazione originaria, talvolta risultando rigida di fronte alla fluidità dei nuovi modelli di business e delle tecnologie emergenti.
Il GDPR si basa sul principio fondamentale e irrinunciabile che tutti i dati personali meritano un elevato livello di protezione, ma modula (correttamente a parere di chi scrive) gli obblighi del titolare in base al principio di accountability e di approccio basato sul rischio. Tuttavia, l’applicazione pratica di questi principi, filtrata da interpretazioni talvolta eccessivamente rigorose o da una comprensibile cautela da parte degli operatori, genera distorsioni quando applicato uniformemente a realtà estremamente diverse per dimensioni, competenze, risorse, e tipologie di rischio. Sebbene il GDPR stesso predichi la proporzionalità (art. 24, art. 32), la sua traduzione in pratica per le PMI risulta spesso problematica e costosa.
Il principio di proporzionalità, fondamento dell’ordinamento europeo, richiederebbe un approccio più sofisticato e pragmatico, che bilanci effettivamente il livello di rischio per i diritti e le libertà delle persone fisiche, le capacità economiche e tecniche del titolare del trattamento, l’impatto sociale ed economico delle misure richieste, e la disponibilità di alternative tecniche ed organizzative meno onerose ma ugualmente efficaci. Non si tratta di abbassare il livello di tutela, ma di renderlo sostenibile e realmente applicabile da tutti.
La protezione dei dati personali nel contesto economico moderno richiede un approccio sistemico che superi la logica della compliance formale (la “corsa al documento”) per abbracciare quella della protezione sostanziale e della gestione responsabile del dato, che si traduce altresì in una valorizzazione economica dei dati trattati.
CONCLUSIONI: UN PRIMO PASSO, MA UN’OPPORTUNITÀ MANCATA
Il pacchetto Omnibus IV rappresenta indubbiamente un segnale: la Commissione Europea ha finalmente anche formalmente riconosciuto l’esistenza di un problema di sostenibilità del GDPR per le PMI e ha tentato di iniziare ad affrontarlo. Tuttavia, le soluzioni proposte appaiono ancora deludenti, rispetto alla portata delle criticità identificate da anni da operatori e imprese. L’innalzamento della soglia per il registro dei trattamenti (che peraltro, anche allorquando facoltativo, se ben strutturato e gestito si rivela forse il più importante strumento per l’organizzazione della gestione dei dati personali), pur simbolicamente importante per chi non conosce a fondo la norma, rischia di essere largamente inefficace per le ragioni tecniche e giuridiche illustrate. Si tratta di un intervento che, si teme, genererà più confusione e false aspettative che reali benefici.
Le PMI più innovative e dinamiche, quelle che dovrebbero guidare la transizione digitale europea, e che inevitabilmente trattano dati in modo più significativo, continueranno a essere soggette, nella stragrande maggioranza dei casi, agli stessi obblighi di oggi. Esiste il concreto rischio che queste modifiche creino un’illusione di semplificazione, distogliendo l’attenzione e le risorse politiche dalle soluzioni più profonde e strutturali che sarebbero urgentemente necessarie.
La sfida fondamentale è trovare un equilibrio sostenibile tra la tutela dei diritti fondamentali degli interessati – che deve rimanere il faro – e la sostenibilità economica e la capacità di innovazione dell’ecosistema dell’informazione digitale. Tale equilibrio richiede un approccio normativo flessibile e intelligente, un dialogo costruttivo e continuo tra istituzioni, autorità di controllo, imprese e società civile, una maggiore educazione e sensibilizzazione degli utenti sul valore e sui rischi associati ai propri dati personali, e l’innovazione nei modelli di business digitali che integrino la privacy by design non come un freno, ma come un vantaggio competitivo.
Il GDPR rimane un modello normativo all’avanguardia mondiale, un punto di riferimento per molte legislazioni extra-UE. Tuttavia, la sua evoluzione o, meglio, la sua implementazione e interpretazione, deve tenere conto dei cambiamenti tecnologici, economici e sociali degli ultimi anni, nonché delle difficoltà operative incontrate dalle organizzazioni di minori dimensioni. Le modifiche proposte nel pacchetto Omnibus IV rappresentano un primo, troppo timido passo in questa direzione, ma la strada verso una compliance veramente sostenibile ed efficace per le PMI europee rimane ancora lunga e necessita di ben altro coraggio riformatore.
Il ruolo dei professionisti del settore, delle associazioni di categoria, degli accademici e degli operatori economici sarà cruciale nel guidare questo processo evolutivo, traducendo le esigenze pratiche in spunti, analisi e proposte concrete e tecnicamente fondate, e contribuendo a costruire un ecosistema digitale europeo che sia contemporaneamente sicuro per i cittadini, rispettoso dei loro diritti fondamentali, e sostenibile per le imprese che ne costituiscono l’ossatura economica e sociale. Senza questo sforzo congiunto, il rischio è che il GDPR, nato per proteggere, diventi un freno percepito, specialmente da chi, pur volendo, fatica a sostenerne il peso.
Responsabile del Dipartimento Privacy & Corporate Compliance dello studio legale Lexellent
