Il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) hanno pubblicato un parere congiunto sulla proposta di regolamento della Commissione europea che modifica alcuni regolamenti UE, tra cui il GDPR.
La proposta di modifica del GDPR, che fa parte del quarto pacchetto di semplificazione Omnibus, mira a semplificare le norme dell’UE e a ridurre gli oneri amministrativi, estendendo alcune misure di mitigazione per le piccole e medie imprese (PMI), alle piccole imprese a media capitalizzazione (SMC).
La proposta, in particolare, mira a modificare l’art. 30, par. 5, del GDPR, prevedendo una deroga all’obbligo di tenere un registro delle operazioni di trattamento dei dati: attualmente, tale deroga si applica solo alle imprese e alle organizzazioni con meno di 250 dipendenti, salvo in determinati casi.
In base alla proposta, la deroga si applicherebbe alle imprese o alle organizzazioni con meno di 750 dipendenti, a meno che il trattamento effettuato non comporti un rischio elevato per i diritti e le libertà delle persone fisiche, ai sensi dell’art. 35 del GDPR.
Inoltre, la proposta introduce una definizione di PMI e microimpresa nell’art. 4 del GDPR ed estende l’ambito di applicazione degli artt. 40, par. 1, e 42, par. 1, del GDPR, alle microimprese, che facciano riferimento ai codici di condotta e alla certificazione.
Nel parere congiunto, per quanto concerne le organizzazioni soggette alla deroga, l’EDPB e l’EDPS si aspettano ulteriori chiarimenti sul motivo per cui la nuova soglia di imprese o organizzazioni che impiegano meno di 750 persone sarebbe più appropriata ai sensi del GDPR, piuttosto che la soglia di 500 dipendenti inizialmente considerata.
Inoltre, la nuova esenzione di cui all’art. 30, par. 5, fa riferimento alle “imprese che impiegano meno di 750 dipendenti” senza fare riferimento alle definizioni di PMI e SMC recentemente introdotte, che includono anche criteri finanziari: al fine di garantire che l’esenzione vada a beneficio delle PMI e delle SMC, il parere congiunto EDPB – EDPS raccomanda quindi di fare riferimento alle definizioni di PMI e SMC recentemente introdotte.
L’EDPB e l’EDPS chiedono inoltre di chiarire nella proposta che il termine “organizzazione”, che rientra nell’ambito di applicazione della deroga proposta ai sensi dell’art. 30, par. 5, del GDPR, non includa le autorità e gli organismi pubblici.