“Snellire”, “alleggerire”, “semplificare”. Questi termini, apparentemente innocui, evocano efficienza e pragmatismo. Tuttavia, quando l’argomento di questa semplificazione è il Regolamento (UE) 2016/679, comunemente noto come GDPR, è fondamentale mantenere alta l’attenzione. La retorica del “meno burocrazia, più innovazione” può nascondere una preoccupante erosione dei diritti fondamentali, mascherata da un intento riformista.
La Commissione Europea ha annunciato l’intenzione di proporre modifiche al GDPR entro maggio 2025, dichiarando di voler alleggerire gli oneri per le PMI. Questa notizia, rilanciata da fonti istituzionali e discussa dal Garante italiano nella sua Relazione annuale 2024, ha innescato un dibattito importante e da non sottovalutare.
Ma è davvero necessaria una “semplificazione” del GDPR? E, soprattutto, chi stabilisce ciò che può essere semplificato e cosa no?
Per approfondire il tema del GDPR, è stato organizzato il corso di formazione AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni
1. L’equivoco di fondo: il GDPR non è una legge per giuristi
Coloro che operano quotidianamente con il Regolamento comprendono bene che non si tratta di un semplice atto burocratico, né di una restrizione per l’economia. Il GDPR si presenta come uno strumento flessibile, fondato su principi generali e su un approccio basato sul rischio, che permette alle aziende, grandi e piccole, di adeguare le misure di compliance in base alla natura dei trattamenti effettuati, in linea col principio di accountability.
L’articolo 24 del GDPR stabilisce che il titolare “mette in atto misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento è effettuato conformemente al presente regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche”.
Ciò significa che non esiste un modulo standard da compilare né una checklist universale. C’è, invece, la responsabilità di scegliere, documentare e giustificare, che richiede competenza e consapevolezza, non una riforma.
2. Le PMI non sono cavie: servono strumenti, non scorciatoie
La narrazione secondo cui il GDPR sarebbe “troppo complicato” per le PMI è una semplificazione pericolosa. È vero che molte microimprese hanno incontrato difficoltà nell’implementazione iniziale della normativa, ma la soluzione non è abbassare gli standard di tutela. È necessario rendere più accessibili gli strumenti, semplificare il linguaggio, finanziare la formazione dei professionisti e supportare concretamente la transizione digitale.
Nella Relazione annuale, il Garante italiano ha sottolineato che si può semplificare senza compromettere i diritti. La protezione dei dati non è un lusso esclusivo per coloro che interagiscono con le multinazionali; è un diritto fondamentale, applicabile anche alle piccole imprese.
Proposte come “esonerare le PMI da alcuni obblighi” o “limitare la tenuta del Registro dei trattamenti” possono sembrare sensate inizialmente, ma possono rapidamente trasformarsi in scorciatoie rischiose per una compliance apparente.
3. Semplificare cosa, esattamente?
È fondamentale porsi una domanda iniziale: quali semplificazioni si stanno considerando? L’implementazione del GDPR si fonda su norme che richiedono per loro natura interpretazione, adattamento e una cultura del dato.
Le criticità non derivano da un eccesso di normative, ma sono provocate da una scarsa cultura giuridica digitale, mancanza di investimenti nella formazione e da una mancanza di armonizzazione tra le normative europee e nazionali (come evidenziato dal caso italiano, con un Codice Privacy complesso).
Dati dell’EDPB e della Commissione UE indicano che, a quasi sette anni dalla sua entrata in vigore, i cittadini europei sono maggiormente consapevoli dei propri diritti mentre la maggior parte delle imprese ha trovato un equilibrio tra obblighi normativi e attività di business. Non servono radicali riforme, ma una manutenzione ordinaria, chiarimenti interpretativi e controlli seri, in quanto l’efficacia di un sistema normativo dipende dalla forza della sua applicazione.
Potrebbe interessare anche: Aziende: come crescere oggi nel rispetto dell’AI ACT e del GDPR
4. Il pericolo della “deregulation selettiva”
In questo contesto sussiste il rischio concreto di una deregolamentazione selettiva, che esonera determinate categorie da obblighi fondamentali, creando un sistema a doppia velocità. Qui i grandi investono in compliance mentre i piccoli giacciono in una zona grigia di “semi-legalità tollerata”.
Questo approccio non solo compromette la fiducia dei cittadini, che potrebbero non comprendere quali diritti valgano, ma può indebolire l’intero sistema europeo. Questo è particolarmente preoccupante in un contesto in cui il Digital Services Act, il Digital Markets Act e l’AI Act auspicano un rafforzamento del controllo pubblico sull’economia digitale. Una semplificazione maldestra del GDPR potrebbe andare in direzione contraria, minando l’efficacia dell’intero ecosistema normativo UE.
5. Il ruolo dei Garanti: vigili, non notai
I Garanti europei, con il Board (EDPB) in prima linea, stanno già inviando segnali di attenzione. La Presidente dell’EDPB, Anu Talus, ha ribadito che il GDPR ha dimostrato di essere resiliente e che attualmente non ci sono motivi sostanziali per una revisione normativa.
Anche il Garante italiano ha sottolineato l’importanza di non sacrificare i diritti fondamentali per conseguire un’efficienza apparente. Il diritto alla protezione dei dati è affermato negli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea e deve rimanere saldo, senza compromessi al ribasso.
6. Conclusioni: la vera semplificazione è culturale
Se la vera intenzione è semplificare il GDPR, è necessario iniziare da ciò che è realmente utile:
- Un lessico più chiaro, mantenendo la precisione giuridica.
- Linee guida pratiche e diffusione di casi d’uso.
- Una Pubblica Amministrazione che funzioni da esempio di compliance, piuttosto che come ostacolo burocratico.
- Incentivi per la formazione di DPO e responsabili della compliance.
- Modelli standard personalizzabili, piuttosto che checklist inutili.
Infine, è imprescindibile chiamare le cose per nome: se l’obiettivo è ridurre il livello di tutela della privacy, si deve avere il coraggio politico di dichiararlo apertamente. Altrimenti, occorre permettere al GDPR di continuare a svolgere il suo ruolo di baluardo di civiltà in un mondo che tende verso il controllo pervasivo e l’automazione opaca.
Formazione per professionisti
AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni
Il percorso formativo è rivolto a Pubbliche Amministrazioni, giuristi, imprese e professionisti coinvolti nei processi, con l’obiettivo di approfondire i profili pratici per garantire la conformità all’AI ACT e GDPR per le aziende e le amministrazioni che sviluppano o utilizzano sistemi di intelligenza artificiale.
La prima sessione fornisce una panoramica generale sull’AI e introduce i partecipanti ai profili normativi ed etici legati all’AI ACT. La seconda sessione si concentra sugli adeguamenti richiesti: documentazione, trasparenza, il ruolo del DPO e la valutazione d’impatto dei sistemi AI, accompagnata da workshop pratici. La terza sessione è dedicata alla sicurezza informatica dei sistemi AI e ai modelli di responsabilità legali in caso di danni.
>>>Per info ed iscrizioni<<<
