27 Giu Omnibus IV: una nuova spinta alla semplificazione della normativa europea in materia di protezione dati personali

Autori: Kate Francis, Davide Baldini, Laura Senatore, Lorenzo Covello

 

 

Background

Il 21 maggio 2025 la Commissione europea ha pubblicato una proposta di Regolamento[1] recante l’aggiornamento di diversi Regolamenti ad oggi in vigore (“Proposta”),[2] tra cui il Regolamento (UE) 2016/679 (il “Regolamento generale sulla protezione dei dati” o “GDPR”).[3] L’obiettivo della Proposta è quello di estendere alcune misure di mitigazione attualmente disponibili per le piccole e medie imprese (“PMI”) alle piccole società a media capitalizzazione (“SMC”), nonché di introdurre ulteriori misure di semplificazione. La riforma proposta, nota come Simplification Omnibus IV, è stata introdotta a seguito della pubblicazione della c.d. Competitive Compass da parte della Commissione Europea,[4] della relazione Draghi sulla competitività europea,[5] nonché della relazione di Enrico Letta “Much more than a market“.[6] Tale Proposta rientra in una più ampia strategia della Commissione annunciata nel Programma di lavoro del febbraio 2025[7], facendo seguito alle proposte Simplification Omnibus I e II sulla sostenibilità e gli investimenti[8], nonché alla Omnibus III sulla politica agricola.[9]

L’obiettivo della Semplification Omnibus IV è quello di ridurre gli oneri amministrativi, di promuovere la competitività economica, la crescita a lungo termine e l’innovazione. In particolare, la Commissione intende ridurre i costi di compliance, favorire una maggiore chiarezza nell’interpretazione delle norme e offrire opportunità di crescita alle PMI e alle SMC.[10] Il quadro normativo vigente prevede che le SMC siano soggette agli stessi obblighi di conformità delle grandi imprese. Attraverso la Proposta in esame, la Commissione riconosce che tali obblighi possono risultare sproporzionati nei confronti di tali imprese, le quali necessitano un intervento normative in merito.

 

Le modifiche proposte al GDPR

La Proposta della Commissione reca le seguenti modifiche al GDPR:

1. 1. 1. 1. l’articolo 4 del GDPR verrebbe aggiornato al fine di includere le nuove definizioni di “micro, piccole e medie imprese” e di “piccole imprese a media capitalizzazione”;
         2. gli obblighi di tenuta del registro dei trattamenti di cui all’articolo 30 verrebbero revisionati così da ampliare l’ambito di applicazione della deroga attualmente prevista ai sensi dell’articolo 30, paragrafo 5, del GDPR, includendo anche le SMC e le organizzazioni con meno di 750 dipendenti;
         3. gli articoli 40 e 42 del GDPR, rispettivamente sui codici di condotta e sui meccanismi di certificazione, verrebbero modificati inserendo un riferimento alle SMC.

 

Articolo 4 GDPR – Definizioni

La Proposta prevede una modifica dell’articolo 4 del GDPR (rubricato “Definizioni”) che introdurrebbe due nuove definizioni normative, una per le PMI e una per le SMC:

• • • • “27) “micro, piccole e medie imprese”: le imprese definite all’articolo 2 dell’allegato alla raccomandazione 2003/361/CE della Commissione” (traduzione dell’autore)[11], ovvero imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di EUR oppure il cui totale di bilancio annuo non supera i 43 milioni di EUR;
      • “28) “piccole imprese a media capitalizzazione”: le imprese definite al punto 2 dell’allegato alla raccomandazione della Commissione del 21.5.2025 sulla definizione di piccole imprese a media capitalizzazione – C(2025) 3500 final” (traduzione dell’autore)[12].

L’allegato alla Raccomandazione della Commissione del 21 maggio 2025 sulla definizione di piccole imprese a media capitalizzazione afferma che le SMC sono imprese che non sono PMI “ai sensi della raccomandazione 2003/361/CE, che occupano meno di 750 persone, il cui fatturato annuo non supera i 150 milioni di EUR o il cui totale di bilancio annuo non supera gli 129 milioni di EUR”. Per calcolare gli effettivi e gli importi finanziari utili a determinare se un’organizzazione possa essere qualificata quale SMC, è necessario fare riferimento alla suddetta Raccomandazione, la quale contiene le indicazioni normative da tenere in considerazione in tale calcolo.

Va notato, in ogni caso, che la soglia per qualificarsi come SMC sembra includere le “imprese collegate”, ossia altre società appartenenti allo stesso gruppo imprenditoriale. Ciò significa che, affinché una società facente parte di un gruppo possa qualificarsi come SMC, il gruppo stesso dovrebbe qualificarsi come tale. [13]

 

Articolo 30 GDPR – Registro delle attività di trattamento

Di particolare interesse, la Proposta semplificherebbe e chiarirebbe la deroga all’obbligo di tenere un registro dei trattamenti per le SMC. Attualmente, l’articolo 30, par. 5 del GDPR esenta le organizzazioni con meno di 250 dipendenti dall’obbligo di tenere un Registro delle attività di trattamento, a meno che (i) il trattamento effettuato dall’organizzazione possa avere un impatto sui diritti e le libertà delle persone fisiche, (ii) il trattamento non sia occasionale e (iii) il trattamento includa categorie particolari di dati personali ai sensi dell’articolo 9, par. 1 del GDPR o riguardi condanne penali ai sensi dell’articolo 10 del GDPR.

La Proposta in esame modificherebbe l’articolo 30, paragrafo 5, del GDPR estendendo tale eccezione alle aziende e alle organizzazioni con meno di 750 dipendenti, a condizione che il trattamento effettuato dall’organizzazione non possa comportare un rischio elevato per i diritti e le libertà degli interessati, ai sensi dell’articolo 35 del GDPR. I considerando 9 e 11 della Proposta chiariscono che le SMC sono esenti da tale obbligo e che “il trattamento di categorie particolari di dati personali ai sensi dell’articolo 9, paragrafo 2, lettera b), non fa scattare, in quanto tale, l’obbligo di tenere un registro dei trattamenti” (traduzione dell’autore).[14]

 

Articoli 40 e 42 del GDPR

 L’articolo 40 del GDPR sui codici di condotta e l’articolo 42 del GDPR sulla certificazione fanno attualmente riferimento solo agli Stati membri, alle autorità di vigilanza, al Consiglio e alla Commissione che incoraggiano l’istituzione di tali meccanismi, tenendo conto delle esigenze delle “micro, piccole e medie imprese”. Le modifiche proposte a questi articoli estenderebbero l’ambito di applicazione di queste disposizioni alle SMC, in modo da garantire che le loro esigenze specifiche siano prese in considerazione al momento della stesura dei codici di condotta e del rilascio delle certificazioni.

 

Conclusione

Con Omnibus IV, la Commissione europea intende semplificare il panorama della protezione dei dati per aumentare la competitività economica europea. Resta da vedere come le modifiche proposte saranno accolte dal Parlamento europeo e dal Consiglio. Tuttavia, è il segnale di una crescente consapevolezza del costo della compliance che le imprese, e in particolare le PMI e le SMC, devono sostenere.

Se adottate, le modifiche proposte potrebbero alleggerire la pressione normativa sulle SMC, permettendo loro di riallocare le risorse dalla compliance all’innovazione, alla crescita e all’espansione internazionale. L’estensione della soglia di esenzione del Registro delle attività di trattamento, se interpretata e applicata in modo coerente, rappresenterebbe un cambiamento pratico significativo per alcune imprese di medie dimensioni.

Principale takeway

Man mano che la proposta prosegue l’iter legislativo, le aziende dovrebbero seguire da vicino aggiornamenti e tempistiche di attuazione per anticipare eventuali adeguamenti, al fine di anticipare le valutazioni necessarie nel caso in cui rientrino nell’ambito di applicazione della Proposta.

 

 

 

 

 

 

[1] Proposta di regolamento del Parlamento europeo e del Consiglio che modifica i regolamenti (UE) 2016/679, (UE) 2016/1036, (UE) 2016/1037, (UE) 2017/1129, (UE) 2023/1542 e (UE) 2024/573 per quanto riguarda l’estensione di alcune misure di attenuazione disponibili per le piccole e medie imprese alle piccole imprese a media capitalizzazione e ulteriori misure di semplificazione, disponibile all’indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0501R%2801%29.

[2] La semplificazione Omnibus “introduce modifiche mirate ai seguenti otto atti legislativi:

• Regolamento generale sulla protezione dei dati (GDPR) – Regolamento (UE) 2016/679
• Regolamento relativo alla difesa contro le importazioni oggetto di dumping – Regolamento (UE) 2016/1036
• Regolamento relativo alla difesa contro le importazioni oggetto di sovvenzioni – Regolamento (UE) 2016/1037
• Direttiva relativa ai mercati degli strumenti finanziari – Direttiva (UE) 2014/65/UE
• Regolamento sul prospetto – Regolamento (UE) 2017/1129
• Regolamento sulle batterie – Regolamento (UE) 2023/1542
• Direttiva sulla resilienza dei soggetti critici – Direttiva (UE) 2022/2557
• Regolamento sui gas fluorurati a effetto serra – Regolamento (UE) 2024/573”.

Vd. Commissione europea, Domande e risposte sulla semplificazione omnibus IV, 21 maggio 2025, https://ec.europa.eu/commission/presscorner/detail/it/qanda_25_1278.

[3] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

[4] Commissione europea, Bussola dell’UE per riconquistare competitività e garantire prosperità sostenibile, https://ec.europa.eu/commission/presscorner/detail/it/ip_25_339.

[5] Commissione europea, Relazione Draghi sulla competitività dell’UE, https://commission.europa.eu/topics/eu-competitiveness/draghi-report_en#paragraph_47059.

[6] Enrico Letta, Much more than a market, aprile 2024, https://www.consilium.europa.eu/media/ny3j24sm/much-more-than-a-market-report-by-enrico-letta.pdf

[7] Commissione europea, Domande e risposte sulla semplificazione omnibus IV, 21 maggio 2025, https://ec.europa.eu/commission/presscorner/detail/it/qanda_25_1278.

[8] Commissione europea, Commission proposes to cut red tape and simplify business environment, 26 febbraio 2025, https://commission.europa.eu/news-and-media/news/commission-proposes-cut-red-tape-and-simplify-business-environment-2025-02-26_en.

[9] Commissione europea, 2025 CAP simplification and competitiveness package, https://agriculture.ec.europa.eu/overview-vision-agriculture-food/eu-actions-address-farmers-concerns_en#ref-2025-cap-simplification-and-competitiveness-package.

[10] Commissione europea, Semplifying Single Market, https://single-market-economy.ec.europa.eu/single-market/simplification_en.

[11] Racomandazione della Commissione del 6 maggio 2003 relativa alla definizione delle microimprese, piccole e medie imprese (GU L 124 del 20.5.2003, pag. 36, ELI), https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32003H0361.

[12] Raccomandazione della Commissione del 21.5.2025 sulla definizione delle piccole imprese a media capitalizzazione – C(2025) 3500 definitivo, https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L_202501099.

[13] Si veda la definizione di “imprese collegate” https://single-market-economy.ec.europa.eu/document/download/58fb9167-2598-4d53-8478-43b5b68b2b6f_en?filename=Recommendation%20-%20Small%20mid-caps%20%28Annex%29.pdf.

[14] Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2016/1036, (EU) 2016/1037, (EU) 2017/1129, (EU) 2023/1542 and (EU) 2024/573 as regards the extension of certain mitigating measures available for small and medium sized enterprises to small mid-cap enterprises and further simplification measures, disponibile all’indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0501R%2801%29.

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52025PC0501R%2801%29. Il Considerando 9 della Proposta stabilisce quanto segue: “Al fine di riflettere quanto sopra, è necessario modificare l’articolo 30, paragrafo 5, del Regolamento (UE) 2016/679, estendendo l’ambito della deroga all’obbligo di tenuta dei registri anche alle SMC e alle organizzazioni con meno di 750 dipendenti, affinché possano anch’esse beneficiare di tale esenzione, e prevedendo che la deroga si applichi salvo che il trattamento possa comportare un “rischio elevato” per i diritti e le libertà degli interessati, ai sensi dell’articolo 35 del Regolamento (UE) 2016/679. In particolare, il trattamento dei dati personali di cui al paragrafo 3 di tale articolo dovrebbe essere considerato tale da richiedere al titolare del trattamento o al responsabile di tenere i registri delle attività di trattamento”. Il Considerando 11 chiarisce quanto segue: “Inoltre, al fine di estendere alle Small Mid-Caps (SMC) le disposizioni già previste per le micro, piccole e medie imprese dal Regolamento (UE) 2016/679, dovrebbero essere modificati anche i seguenti articoli: L’articolo 4, che contiene le definizioni applicabili ai fini del Regolamento (UE) 2016/679.

Per motivi di chiarezza, dovrebbero essere aggiunte definizioni relative a micro, piccole e medie imprese, nonché alle imprese a media capitalizzazione (Small Mid-Caps).

Per quanto riguarda le piccole e medie imprese, è opportuno seguire la scelta del legislatore co-decisore, come indicato nel considerando (13) del preambolo del Regolamento (UE) 2016/679.

Per quanto concerne le SMC, si dovrebbe fare riferimento al punto 2 della Raccomandazione della Commissione 2025/EC/XXX del XX maggio 2025”.

L’art. 9(2)(b) GDPR fa riferimento al trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale”.