La Commissione europea ha pubblicato ieri la propria proposta di regolamento contenente alcune modifiche al GDPR (Regolamento 2016/679/UE), quale parte del pacchetto di misure c.d. Omnibus IV, volte a ridurre gli oneri di conformità e amministrativi in capo alle PMI.
Lo scopo delle proposte incluse nel pacchetto Omnibus IV è infatti quello di riconoscere le piccole imprese a media capitalizzazione (Small mid cap) come una categoria separata di imprese intermedie, ed evitare un’impennata degli obblighi di conformità quando le imprese superano la categoria delle PMI.
In sintesi, le modifiche al GDPR incluse nelle misure proposte di cui al pacchetto Omnibus IV, e precisamente nell’art. 1 della proposta di regolamento modificativo, sono relative alle seguenti norme:
- art. 4 GDPR: si aggiungono due nuove definizioni:
- (27) “microimprese, piccole e medie imprese“, ovvero le imprese come definite all’art. 2 dell’allegato alla Raccomandazione 2003/361/CE della Commissione
- (28) “imprese a media capitalizzazione di piccole dimensioni“, ovvero quelle imprese che verranno definite da una nuova Raccomandazione della Commissione (come annunciata nell’azione 18 dello SME Relief Package del settembre 2023
- art. 30, par. 5 GDPR, relativo al registro delle attività di trattamento: nella proposta viene abolito l’obbligo di predisposizione e tenuta del registro per le organizzazioni che impiegano meno di 750 persone, salvo che il trattamento effettuato possa presentare un rischio elevato ai sensi dell’art. 35 del GDPR; attualmente, il paragrafo 5 prevede una deroga per le PMI con meno di 250 dipendenti (purché siano soddisfatte determinate condizioni), non 750.
- art. 40, par. 1 GDPR, relativo ai codici di condotta: si aggiunge un riferimento alle “small mid-cap enterprises“, per cui la norma verrebbe così modificata: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese, nonché delle imprese a media capitalizzazione di piccole dimensioni“;
- art. 42, par. 1, GDPR, sulle certificazioni: anche qui, si aggiunge il riferimento alle “small mid-cap enterprises“, per cui la norma viene così modificata: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese, nonché delle imprese a media capitalizzazione di piccole dimensioni“.
