Menu
GDPR-2.0

GDPR 2.0: cosa aspettarsi dalla nuova disciplina per la protezione dei dati

A quasi dieci anni dall’entrata in vigore del Regolamento (UE) 2016/679, meglio noto come GDPR, e a sette anni dalla sua piena applicazione, la Commissione Europea ha ritenuto necessario avviare un percorso di revisione e aggiornamento della normativa. Da ciò è quindi nato il cosiddetto GDPR 2.0, il quale mira a semplificare gli adempimenti, ridurre gli oneri amministrativi e introdurre nuove categorie di imprese che possano beneficiare di misure di attenuazione.

La ragione principale per cui si è reso necessario il suddetto upgrade legislativo risiede nel fatto che, se da un lato il GDPR ha rappresentato una pietra miliare nella tutela dei dati personali a livello globale, dall’altro ha però evidenziato una serie di criticità che rischiano di ostacolare l’innovazione, la competitività e lo sviluppo economico, soprattutto per le piccole e medie imprese (PMI).

 Obiettivi principali della riforma

Il cuore della proposta di revisione del GDPR ruota intorno a tre direttrici fondamentali:

  1. proporzionalità degli oneri amministrativi: non tutte le imprese hanno le stesse risorse organizzative ed economiche. Applicare indistintamente i medesimi obblighi a una multinazionale e a una PMI può generare squilibri e ostacoli alla crescita;
  2. semplificazione burocratica: ridurre la complessità delle procedure e degli adempimenti, eliminando passaggi ridondanti e alleggerendo la gestione documentale;
  3. sostegno alla competitività e all’innovazione: favorire un ambiente regolatorio che permetta alle imprese europee di competere a livello globale, senza essere frenate da eccessivi vincoli amministrativi.

Una delle novità più significative introdotte dal GDPR 2.0 riguarda la creazione di una nuova categoria di aziende chiamate piccole imprese a media capitalizzazione (small-mid cap, SMC). Queste realtà si collocano a metà strada tra le PMI e le grandi imprese, con una forza lavoro compresa tra 250 e 499 dipendenti.

L’obiettivo è estendere a tali organizzazioni alcune delle misure di attenuazione già previste per le PMI, permettendo alle stesse di ridurre i costi di conformità e di liberare risorse per investimenti strategici. Secondo le stime della Commissione, i suddetti aggiornamenti potrebbero generare un risparmio complessivo di circa 400 milioni di euro l’anno in termini di oneri amministrativi.

Tra le proposte concrete del GDPR 2.0 si evidenziano altresì alcune innovazioni destinate ad avere un impatto significativo sulla gestione quotidiana della compliance:

  • esenzione da obblighi sproporzionati di conservazione documentale: eliminazione di istruzioni e archiviazioni cartacee non essenziali;
  • modalità semplificate di conformità: possibilità di dimostrare il rispetto dei requisiti normativi anche in assenza di standard formalmente riconosciuti;
  • abolizione dell’obbligo generalizzato del registro delle attività di trattamento (art. 30): le organizzazioni con meno di 750 dipendenti non saranno più tenute a redigere il registro, salvo i casi in cui il trattamento comporti un rischio elevato ai sensi dell’art. 35;
  • revisione dei codici di condotta (art. 40): maggiore attenzione alle esigenze delle imprese SMC, con linee guida più mirate e settoriali;
  • certificazioni più accessibili (art. 42): estensione anche alle imprese a media capitalizzazione di piccole dimensioni, con l’obiettivo di offrire strumenti di compliance alternativi e più flessibili.

È interessante notare come la revisione del GDPR si concentri in maniera particolare sulle PMI e sulle small-mid cap, considerate l’ossatura del tessuto produttivo europeo. Le suddette aziende spesso faticano a rispettare gli stessi requisiti previsti per le grandi imprese, sia per limiti di budget che di risorse umane qualificate. La semplificazione normativa mira quindi a:

  • ridurre il rischio di over-compliance, ossia un eccesso di adempimenti che rallentano le attività operative;
  • incentivare la crescita senza temere conseguenze sproporzionate in caso di violazioni minori;
  • garantire un livello adeguato di tutela dei dati personali, non sacrificando la competitività sul mercato globale.

Criticità e dibattito sulla riforma

Non mancano, tuttavia, posizioni critiche sulla direzione intrapresa. Alcuni esperti sottolineano come l’eliminazione del registro delle attività di trattamento potrebbe impoverire la capacità di analisi dei rischi e di valutazione dell’impatto: strumenti fondamentali per prevenire violazioni e incidenti di sicurezza.

Il registro, se ben implementato, rappresenta infatti il “biglietto da visita” della compliance di un’organizzazione. Un documento chiave che consente di mappare i trattamenti e garantire trasparenza. Privarsene potrebbe comportare una perdita di controllo e un abbassamento del livello di protezione.

 Il tema delle sanzioni

Il GDPR ha introdotto un sistema sanzionatorio estremamente severo, con multe fino a 20 milioni di euro o al 4% del fatturato mondiale annuo. Nel corso degli anni, l’applicazione delle sanzioni ha generato un impatto economico notevole: si stimano oltre 2.500 provvedimenti per un valore complessivo superiore ai 6 miliardi di euro. Tra i casi più eclatanti ricordiamo:

  • 1,2 miliardi di euro a Meta (2023);
  • 746 milioni di euro ad Amazon (2021);
  • 405 e 390 milioni di euro sempre a Meta (2022 e 2023);
  • 345 milioni di euro a TikTok (2023).

La concentrazione delle sanzioni su grandi colossi tecnologici dimostra come la normativa sia stata applicata in maniera esemplare verso le imprese più strutturate. Tuttavia, resta il problema di numerose organizzazioni medio-piccole che, nonostante gli anni trascorsi, non risultano ancora pienamente conformi al GDPR.

Connessione con il Rapporto Draghi e l’AI Act

La spinta alla revisione del GDPR nasce anche dal Rapporto Draghi sulla competitività europea (2024), che ha evidenziato come la complessità normativa rischi di soffocare l’innovazione. Lo stesso rapporto ha sottolineato in particolare:

  • la frammentazione nell’applicazione del GDPR tra gli Stati membri;
  • la sovrapposizione con altre normative (in primis l’AI Act), che crea un quadro regolatorio complesso per le aziende tecnologiche;
  • l’esigenza di armonizzare e rendere più prevedibili le regole.

Un’interpretazione disomogenea del GDPR genera infatti incertezza giuridica e ostacola l’imprenditorialità transfrontaliera, incidendo negativamente su settori strategici tipo l’intelligenza artificiale e la cybersecurity.

Per scongiurare le sopra elencate eventualità, la Commissione Europea ha quindi fissato obiettivi precisi da raggiungere entro il 2029. Nello specifico si punta alla riduzione del 25% degli oneri amministrativi per le imprese in generale e alla riduzione del 35% per le PMI.

Questa strategia si inserisce nel più ampio “quarto pacchetto Omnibus di semplificazione”, che mira a creare un ambiente favorevole alla crescita, agli investimenti e alla generazione di posti di lavoro di qualità.

Alice Sommacal

Sono una project manager, giornalista e blogger fortemente appassionata di scrittura. Penso che tutte le frasi possano sempre essere migliorate e che OGNI prima versione di un testo vada perfezionata, solleticando le parole fino a raggiungere un RISULTATO emozionante. Solo grazie a QUESTE stesse convinzioni ho imparato la differenza tra l'essere ordinari e straordinari: una differenza abissale, che chi vuole soddisfare le aspettative dei lettori NON PUÒ permettersi di trascurare.

→ Alice Sommacal

Post Correlati

Questo sito utilizza i cookie per migliorare la tua esperienza di navigazione e garantire il corretto funzionamento del sito. Continuando a utilizzare questo sito, riconosci e accetti l'uso dei cookie.

Accetta tutto Accetta solo i necessari