Il 21 maggio la Commissione Europea ha presentato una proposta di modifica al Regolamento (UE) 2016/679 (“GDPR”) con l’obiettivo di semplificare alcune disposizioni normative, ridurre l’onere amministrativo a carico delle piccole e medie imprese (PMI) e rafforzarne la competitività nel mercato digitale europeo.
Sebbene si tratti ancora di una proposta non vincolante, appare utile esaminare le principali novità che potrebbero incidere sull’attuale impianto normativo e, quindi, sugli adempimenti delle organizzazioni.
Le principali modifiche riguardano:
Vediamo di seguito i principali contenuti della proposta di modifica.
Una delle modifiche più significative proposte dalla Commissione riguarda l’art. 30 del GDPR, relativo all’obbligo di tenuta del registro delle attività di trattamento.
Attualmente, l’articolo prevede che ogni Titolare del trattamento debba tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. Il Registro deve contenere una serie di informazioni obbligatorie la cui mancanza è passibile di sanzione da parte del Garante per la protezione dei dati personali, come evidenziato in questo contributo.
L’art. 30 GDPR prevede altresì una deroga alla tenuta del Registro per le imprese con meno di 250 dipendenti, salvo che il trattamento svolto dall’organizzazione:
Nella prassi, tale deroga ha un’applicazione molto limitata.
Infatti, è raro che le organizzazioni, anche di dimensioni molto ridotte, non svolgano trattamenti di dati personali sistematici o potenzialmente rischiosi: si pensi, ad esempio, ai trattamenti di dati personali dei dipendenti.
Ad ogni modo, la nuova proposta della Commissione mira a semplificare il quadro normativo esistente, prevedendo un’estensione del perimetro di esenzione dalla tenuta del Registro: la deroga si applicherebbe alle imprese con meno di 750 dipendenti (innalzando in modo significativo la soglia attuale), salvo che le attività di trattamento comportino un rischio elevato, da valutare secondo l’art. GDPR, per i diritti e le libertà degli interessati.
L’ulteriore modifica proposta dalla Commissione riguarda i codici di condotta e i meccanismi di certificazione.
Come noto, l’art. 40 del GDPR promuove l’elaborazione di codici di condotta settoriali, con l’obiettivo è quello di favorire una corretta applicazione del Regolamento, adattandolo alle specificità dei vari settori, come ad esempio quello sanitario, della ricerca o dell’informazione commerciale. Per questo i Codici possono fornire indicazioni pratiche su aspetti come la gestione della sicurezza, il trasferimento dei dati verso paesi terzi, la necessità di svolgimento delle valutazioni d’impatto e così via.
Ad oggi, sono stati approvati diversi Codici di condotta, in Italia e in Europa. Tra i più recenti, si ricordano ad esempio il Codice di Condotta EUCROF per i trattamenti nell’ambito degli studi clinici, il Codice di condotta del Garante spagnolo per la ricerca scientifica e farmacovigilanza, il Codice di condotta per le imprese di sviluppo e produzione di software gestionale.
Parallelamente, l’art. 42 GDPR descrive il funzionamento dei meccanismi di certificazione, anch’essi strumenti volontari per promuovere la trasparenza e rafforzare la fiducia degli interessati. Infatti, anche se ottenere una certificazione non equivale automaticamente ad essere conformi alla normativa, quello della certificazione è uno strumento di supporto che contribuisce a dimostrare in modo concreto di aver adottato misure adeguate per proteggere i dati e rispettare gli obblighi previsti dal GDPR.
L’attuale formulazione degli articoli 40 e 42 GDPR prevedono un ruolo primario di associazioni e organismi rappresentativi, anche con il coinvolgimento delle autorità di controllo, del Comitato e della Commissione.
La proposta di modifica della Commissione sottolinea l’importanza di tener conto anche delle specificità delle micro, piccole e medie imprese: per questo viene previsto che le esigenze delle PMI siano sistematicamente considerate nella definizione sia dei codici di condotta, sia dei meccanismi di certificazione. In particolare, le certificazioni in materia di protezione dei dati personali dovranno riflettere le caratteristiche delle PMI a bassa capitalizzazione, promuovendo strumenti di conformità sostenibili e proporzionati.
Leggendo la proposta della Commissione ci si chiede quanto queste modifiche – se adottate – possano incidere sui sistemi di gestione dei dati personali (già implementati o da implementare) di società, associazioni, enti e pubbliche amministrazioni.
Per rispondere a questa domanda è opportuno tornare ai principi fondanti del GDPR, e in particolare alla filosofia di fondo del Regolamento: il principio di accountability.
Come sappiamo, l’impianto del GDPR è fondato sul principio di accountability (“responsabilizzazione”), che impone che titolari e responsabili del trattamento abbiano piena consapevolezza dei trattamenti di dati personali che svolgono e dei rischi connessi a ciascuno di essi.
Tale consapevolezza si traduce in una costante attività di mappatura e monitoraggio delle attività svolte, di modo da avere una panoramica di ciascun trattamento e delle rispettive caratteristiche.
In questo contesto, il Registro dei trattamenti si rivela, nella maggior parte dei casi, uno strumento agile e prezioso per fotografare la situazione aziendale e tenerla monitorata: la tenuta del Registro si rivela, pertanto, un adempimento sostanzialmente necessario, e utile ad avere un buon punto di partenza per individuare gli adempimenti che il Titolare deve soddisfare.
Infatti, il Registro è uno strumento molto valido per:
In definitiva, il registro de trattamenti costituisce uno strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce ad attuare con modalità semplici e accessibili il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso, anche nei casi in cui esso non sia obbligatorio.
In definitiva, la proposta di modifica avanzata dalla Commissione Europea non sembra introdurre cambiamenti sostanziali, tali da alleggerire in modo significativo gli adempimenti delle organizzazioni, anche se piccole o medie imprese.
Per quanto riguarda il Registro dei trattamenti, infatti, è ragionevole ritenere che, anche in presenza di nuove soglie dimensionali, le PMI continueranno a ricorrere al Registro come strumento fondamentale per la mappatura dei trattamenti e per contribuire alla compliance del proprio sistema di gestione dei dati.
Più interessanti potrebbero rivelarsi invece, nel medio periodo, le aperture contenute nella proposta in tema di codici di condotta e certificazioni, laddove riconoscono espressamente l’esigenza di costruire strumenti calibrati sulle specificità e sulle capacità organizzative delle PMI: in quest’ottica, la partecipazione attiva degli organismi rappresentativi di categoria potrà favorire l’elaborazione di standard sostenibili e realmente utili alla semplificazione.
È in ogni caso importante evidenziare come rimanga sempre centrale – e invariata – la logica di fondo del GDPR: ogni organizzazione, indipendentemente dalle sue dimensioni, è chiamata a farsi carico in modo consapevole delle proprie responsabilità in materia di protezione dei dati: il principio di accountability rimane il fulcro del sistema, richiedendo a titolari e responsabili di conoscere a fondo i trattamenti svolti, valutarne i rischi e adottare misure adeguate e proporzionate.