Semplificazione del GDPR: le ultime proposte dell’EDPB e dell’EDPS

Contenuti

Alla proposta di modifica del Regolamento (UE) 2016/679 (“GDPR”) presentata dalla Commissione Europea il 21 maggio 2025 (la “Proposta”) hanno fatto seguito due rilevanti iniziative da parte delle autorità europee di protezione dei dati.
Il 2 luglio 2025, il Comitato Europeo per la Protezione dei Dati (“EDPB”) ha adottato “The Helsinki Statement on enhanced clarity, support and engagement: a fundamental rights approach to innovation and competitiveness” (la “Dichiarazione di Helsinki”), un documento programmatico che definisce nuove iniziative volte a facilitare la conformità al GDPR, migliorare il dialogo con le parti interessate, rafforzare la coerenza e sviluppare la cooperazione tra le diverse normative nel panorama regolamentare digitale.
L’8 luglio 2025 l’EDPB e il Garante Europeo per la Protezione dei Dati (“EDPS”) hanno adottato l’Opinione Congiunta 01/2025 (l’“Opinione Congiunta”), nella quale accolgono generalmente con favore la Proposta di semplificazione del GDPR, pur richiamando la necessità di garantire che le misure di semplificazione siano proporzionate, non pregiudichino la tutela dei diritti fondamentali e siano accompagnate da un’adeguata valutazione dei rischi.

La dichiarazione di Helsinki

Nel corso dell’incontro tenutosi a Helsinki, i membri dell’EDPB hanno concordato in primo luogo una serie di iniziative volte a semplificare l’adempimento degli obblighi previsti dal GDPR, che mirano a supportare le micro, piccole e medie imprese, a promuovere un’innovazione responsabile e a rafforzare la competitività a livello europeo. I nuovi strumenti includeranno i seguenti:

  • una serie di modelli “ready-to-use” per le imprese, basati sull’armonizzazione del lavoro già svolto a livello nazionale;
  • un modello comune a livello europeo, per le notifiche di violazione dei dati (data breach) destinato alle autorità per la protezione dei dati personali (Data Protection Authorities, di seguito le “DPA”), con l’obiettivo di snellire le procedure di notifica e alleggerire il carico per le imprese;
  • risorse dirette e di facile applicazione, tra cui checklist, guide pratiche (c.d. how-to) e FAQ, per aiutare le imprese a comprendere i loro obblighi.

Nell’ottica di rafforzare il dialogo con le parti interessate e individuare le aree che richiedono ulteriori chiarimenti e supporto, la Dichiarazione di Helsinki prevede anche la possibilità di segnalare possibili incongruenze e fornire feedback nel contesto di consultazioni pubbliche, nonché di elaborare linee guida accessibili e pratiche per le micro, piccole e medie imprese, in linea con un approccio basato sul rischio.

La Dichiarazione di Helsinki sottolinea inoltre la necessità di migliorare la coerenza nell’applicazione e nell’attuazione del GDPR da parte delle DPA, attraverso una serie di azioni strategiche, che includeranno le seguenti:

  • la raccolta delle posizioni assunte dalle DPA su questioni prioritarie, come espresse nelle linee guida e nelle pronunce dei tribunali nazionali, al fine di agevolare le imprese a conformarsi a tali orientamenti;
  • costanti aggiornamenti e follow-up alle linee guida per assicurarne l’efficacia e l’applicazione coerente;
  • continui sforzi per allineare le linee guida nazionali e quelle dell’EDPB;
  • una maggiore armonizzazione delle attività di enforcement, attraverso lo sviluppo di pratiche, metodologie, strumenti e azioni condivise;
  • nel contesto di tematiche strategiche di rilievo transfrontaliero, le DPA dovranno attribuire priorità alla elaborazione di posizioni comuni a livello europeo, al fine di garantire coerenza e armonizzazione.

La Dichiarazione di Helsinki promuove inoltre l’impegno dell’EDPB a collaborare proattivamente con le altre autorità di regolamentazione per supportare il nuovo contesto normativo digitale. Ciò include la predisposizione di ulteriori linee guida congiunte, la promozione di una cooperazione strutturata per condividere esperienze e affrontare sfide legali e pratiche, nonché l’invito attivo di altre autorità a partecipare alle riunioni dell’EDPB.

La Dichiarazione di Helsinki si inserisce nel più ampio percorso di rafforzamento della cooperazione tra autorità avviato dall’EDPB già a partire dal 28 aprile 2022 con l’adozione del “Vienna Statement on Enforcement Cooperation”, richiamata espressamente dalla stessa Dichiarazione di Helsinki, con la quale l’EDPB proponeva di intensificare la collaborazione sui casi strategici e di diversificare le metodologie di cooperazione. In tale contesto, l’EDPB ribadiva l’importanza di garantire un’applicazione efficace e tempestiva del GDPR, invitando le DPA a collaborare nell’individuazione congiunta di casi transfrontalieri di rilevanza strategica, nella definizione di piani d’azione e nella promozione di un’efficace condivisione tempestiva delle informazioni pertinenti.

L’Opinione Congiunta

L’Opinione Congiunta si concentra principalmente su uno degli interventi più significativi della Proposta, relativo alla disciplina dei registri delle attività di trattamento di cui all’Articolo 30(5) GDPR, che attualmente prevede una deroga all’obbligo di tenuta di tali registri per le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento non comporti un rischio per i diritti e le libertà degli interessati, non sia occasionale o includa categorie particolari di dati o dati personali relativi a condanne penali. La Proposta prevede di elevare la soglia dimensionale per l’obbligo di tenuta del registro a 750 dipendenti, salvo nei casi in cui i trattamenti presentino un rischio elevato ai sensi dell’articolo 35 del GDPR, per i quali il titolare del trattamento è tenuto a effettuare una valutazione d’impatto sulla protezione dei dati personali (“DPIA”). Per maggiori informazioni sulle novità della Proposta, si rinvia al contributo del team Data & Technology Innovation di LEXIA, disponibile cliccando qui.

L’EDPB e l’EDPS si dichiarano favorevoli a detta semplificazione, sottolineando tuttavia l’importanza di non compromettere la protezione dei diritti fondamentali degli individui, in particolare il diritto alla protezione dei dati personali. Da un lato, l’Opinione Congiunta ritiene che le modifiche attualmente proposte al GDPR siano mirate e limitate, senza intaccare i principi fondamentali e gli altri obblighi del GDPR. Dall’altro lato, l’EDPB e l’EDPS rilevano con preoccupazione che la Proposta non include una valutazione delle conseguenze sui diritti fondamentali.

Un punto chiave dell’Opinione Congiunta riguarda la rimozione della condizione che impone la tenuta dei registri in caso di trattamento di categorie particolari di dati (Articolo 9 del GDPR) o di dati personali relativi a condanne penali (Articolo 10 del GDPR) di cui all’attuale formulazione dell’Articolo 30(5) del GDPR. In particolare, il Considerando 10 della Proposta prevede che il trattamento di categorie particolari di dati personali per gli scopi previsti dall’Articolo 9(2)(b) GDPR (come obblighi in materia di diritto del lavoro e della sicurezza sociale), non comporta l’obbligo di tenuta dei registri. L’EDPB e l’EDPS ribadiscono che il trattamento di tali dati dovrà comunque essere tenuto in considerazione ai fini di valutare se un trattamento presenti un rischio elevato e richieda, pertanto, una valutazione d’impatto sulla protezione dei dati ai sensi dell’Articolo 35 del GDPR. Alla luce di ciò, l’Opinione Congiunta suggerisce di chiarire nei Considerando che il trattamento di categorie particolari di dati personali per gli scopi previsti dall’Articolo 9(2)(b) del GDPR non dovrebbe, di per sé, richiedere la tenuta dei registri, a meno che una valutazione non rilevi un rischio elevato.

L’Opinione Congiunta sottolinea l’importanza dei registri delle attività di trattamento non solo per dimostrare la conformità a posteriori, ma anche come strumento utile per supportare la conformità con diversi requisiti del GDPR. Essi aiutano i titolari del trattamento a ottenere una panoramica completa delle attività di trattamento, a identificare una base giuridica legittima, a dare effetto ai diritti degli interessati (come il diritto di accesso), a valutare i rischi e a decidere se effettuare una DPIA. I registri sono inoltre strumenti essenziali per i responsabili della protezione dei dati (DPO), per determinare lo stabilimento principale di un titolare e per valutare le misure di sicurezza appropriate. L’Opinione Congiunta ribadisce altresì la necessità che l’esonero dall’obbligo di redazione del registro non venga interpretato come un’esenzione generale da tutti gli obblighi previsti dal GDPR.

L’Opinione Congiunta raccomanda inoltre di chiarire in un Considerando che il termine “organizzazione” nella proposta di modifica dell’Articolo 30(5) del GDPR non includa le autorità e gli organismi pubblici, i quali, in ragione della loro natura e delle specifiche responsabilità attribuite dal GDPR, dovrebbero rimanere soggetti all’obbligo di tenuta del registro delle attività di trattamento, indipendentemente dalla soglia dimensionale.

Infine, l’EDPB e l’EDPS accolgono con favore l’estensione dell’ambito degli Articoli 40(1) e 42(1) del GDPR alle small mid-cap enterprises (SMC), in modo che le loro esigenze specifiche siano prese in considerazione nella stesura dei codici di condotta e nell’istituzione di meccanismi di certificazione.

Gli interventi dell’EDPB con la Dichiarazione di Helsinki e l’Opinione Congiunta con l’EDPS, nel contesto della Proposta di semplificazione del GDPR presentata dalla Commissione Europea, dimostrano un impegno attivo da parte delle autorità europee per rendere la conformità al GDPR sempre più chiara e accessibile per le imprese, contribuendo a ridurre gli oneri amministrativi eccessivi.

Download Area
Scarica il PDF
Download
Data
Consulta i nostri professionisti