Dal GDPR al GDPR 2.0: le sfide della privacy digitale moderna

Sono passati quasi dieci anni da quando è entrato in vigore il Regolamento (UE) 2016/679 meglio noto come GDPR e sette anni dalla sua piena applicazione ricordando tutti quel 25 maggio 2018. Data storica che ha imposto a tutte le organizzazioni, più o meno strutturate, di adeguarsi a detta normativa.

Ciò ha determinato, nella realtà, non pochi problemi concreti che sono così giunti sul banco della Commissione europea, la quale sta pensando a una revisione del Regolamento.

Scopriamo in che termini

GDPR 2.0: le novità al vaglio della Commissione UE

Il 21 maggio 2025 la Commissione UE ha reso noto di una nuova proposta di Regolamento che modifica tra gli altri il GDPR circa “… l’estensione di alcune misure di attenuazione disponibili per le piccole e medie imprese alle piccole imprese a media capitalizzazione e ulteriori misure di semplificazione”.

L’obiettivo è chiaro: sostenere politicamente le organizzazioni affinché possano crescere e potenziarsi, in particolare nei settori pertinenti e importanti. L’esigenza è quella di mettere in campo misure di mitigazione per le PMI.

Il cuore della proposta mira, come si legge direttamente nel testo, “a includere considerazioni sulle PMI e sulla proporzionalità in materia di oneri amministrativi […] anziché essere soggette alle stesse regole delle grandi imprese”, meglio attrezzate e con risorse maggiori anche per far fronte agli adempimenti del GDPR.

Non solo, la Commissione intende anche – e sta lavorando per questo – ridurre la burocrazia superflua e creare un contesto normativo che stimoli innovazione, crescita, posti di lavoro di qualità e investimenti, con l’obiettivo entro il 2029, di semplificare le norme e ridurre gli oneri amministrativi per le imprese del 25% e per le PMI del 35%.

Il tutto rientra nel “quarto pacchetto Omnibus di semplificazione“.

Misure di semplificazione nella proposta di riforma del GDPR

Sempre la Commissione UE propone “misure di semplificazione per far risparmiare alle imprese dell’UE 400 milioni di euro all’anno” di costi amministrativi annuali, e per attuarle contempla una nuova categoria di aziende, le cd “small-mid cap” – SMC ovvero “piccole imprese a media capitalizzazione”.

Ricordiamo che per “capitalizzazione di mercato”, o market cap, si intende per definizione “il valore totale delle azioni di un’azienda, calcolato moltiplicando il prezzo corrente di mercato per il numero di azioni in circolazione”.

Si tratta di un parametro che dalla dimensione di un’azienda è possibile analizzarne la posizione della stessa sul mercato e il potenziale di crescita. Parliamo di aziende di una dimensione intermedia tra le piccole e medie imprese (PMI) e le grandi imprese, con un numero di dipendenti compreso tra 250 e 499.

L’intento della Commissione UE è quello di prevedere delle misure che alleggeriscano gli obblighi di conformità e liberino risorse per la crescita e gli investimenti. D’altra parte, tanti oneri (di conformità) è indiscusso che possano scoraggiare la crescita e limitare la competitività.

Tra le misure chiave rientrano in particolare:

1. esenzione da oneri sproporzionati di conservazione dei dati, eliminando istruzioni e altri documenti cartacei;
2. modalità più semplici per dimostrare che i prodotti soddisfano i requisiti della UE, anche in assenza di standard.

Proposta di riforma del GDPR: principali novità

Tra le novità oltre alle due nuove definizioni (art. 4) “microimprese, piccole e medie imprese” e “imprese a media capitalizzazione di piccole dimensioni”, c’è al centro il “registro delle attività di trattamento” (art. 30) proponendo di abolirne l’obbligo per quelle organizzazioni che impiegano meno di 750 persone, salvo il caso in cui il trattamento presenti un “rischio elevato” (art. 35). Mentre oggi, il registro è un “obbligo generalizzato”.

Altro punto di attenzione da parte della Commissione va al tema dei “codice di condotta” (art. 40) con riferimento al quale viene aggiunto un riferimento alle cd “small mid-cap enterprises” di cui si è detto.

D’altronde, la ratio dei codici di condotta risiede proprio nel costituire un punto di riferimento univoco per (categorie di) titolari o responsabili del trattamento, tenendo conto delle specificità dei vari settori che le stesse rappresentano.

Infine, la Commissione UE propone di modificare il regime delle certificazioni (art. 42) analogamente ai codici di condotta, estendendole alle imprese a media capitalizzazione di piccole dimensioni.

GDPR: le principali sanzioni a livello europeo e italiano

In generale, come noto, il Garante per la privacy può applicare sanzioni amministrative pecuniarie fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (art 83) per violazioni di obblighi specifici come il registro dei trattamenti, la valutazione di impatto, la notifica delle violazioni e il ruolo del DPO.

In questi sette lunghi anni di applicazione del GDPR sono state registrate oltre due mila cinquecento sanzioni per violazioni del Regolamento, come risulta dalle statistiche di Enforcement Tracker, e così per un ammontare complessivo di oltre sei miliardi di euro. Ciononostante, molte Organizzazioni non sono ancora GDPR compliant.

Tra le sanzioni amministrative più elevate ricordiamo in primis quella record di 1,2 miliardi di euro a Meta nel 2023, seguita dai 746 milioni di euro ad Amazon nel 2021, al terzo e al quarto posto troviamo ancora un paio di sanzioni inflitte a Meta/Facebook rispettivamente di 405 milioni di euro del 2022 e di 390 milioni di euro nel 2023, e poi al quinto posto quella irrogata nel 2023 a TikTok di 345 milioni di euro.

A livello europeo troviamo il Garante spagnolo che ha irrogato quasi mille sanzioni (932), seguito dal nostro Garante con i suoi centinaia e centinaia (circa 400) provvedimenti emessi. Ricordiamo tra queste le sanzioni a Meta (quattro multe in sette anni, l’ultima da 1,2 miliardi di dollari nel 2023), Amazon Europe (746 milioni di euro nel 2021), TikTok (345 milioni di euro nel 2023), LinkedIn e Uber.

Tra le sanzioni più recenti oltre a quelle di cui si è già scritto, vi è quella del 10 aprile 2025 nei confronti di Replika, per varie violazioni al GDPR dai principi, ai diritti e fino alla by design (artt. 5, 6, 7, 8, 12, 13, 24 e 25).

La riforma del GDPR e il rapporto Draghi

Tutto nasce con il cd “Rapporto Draghi” sulla competitività europea del 9 settembre 2024, in cui si sottolinea come il GDPR presenti una “eccessiva complessità ostacolante di fatto innovazione e competitività delle imprese europee”.

Il Rapporto in questione pone innanzitutto l’attenzione sulle sovrapposizioni tra il GDPR e l’AI Act, creando “una frammentazione normativa che complica il panorama regolatorio per le aziende tecnologiche, rallentando lo sviluppo nel settore dell’intelligenza artificiale”.

Così, per affrontare tali sfide, è nata l’esigenza di una revisione del GDPR volta a semplificare per l’appunto la normativa, ridurre gli oneri amministrativi e armonizzare l’applicazione delle leggi sulla protezione dei dati tra gli Stati membri della UE.

Di qui, il piano per “alleggerire il carico” di piccole e medie imprese (PMI).

Ancora, il rapporto Draghi ha portato in evidenza come un’applicazione disomogenea del GDPR tra i vari Stati membri, generi un onere amministrativo significativo per le imprese europee, oltre a determinare anche incertezza giuridica, portando le Autorità nazionali di protezione dati ad applicare il GDPR in modo diverso con la conseguenza che si ostacola “… l’imprenditorialità e l’innovazione transfrontaliera, incluso lo sviluppo e l’adozione di nuove tecnologie e soluzioni di cyber security”, l’attenzione del momento.

GDPR 2.0: cosa aspettarsi

In conclusione, condividiamo l’opinione dell’avv. Lisi espressa su LinkedIn “sull’onda del semplicismo (che purtroppo non è semplificazione) si propone di eliminare l’obbligo della redazione del registro dei trattamenti per le organizzazioni con meno di 750 dipendenti, salvo che il trattamento sviluppato non sia suscettibile di un rischio elevato, da valutarsi ai sensi dell’articolo 35”.

In poche parole, prosegue il Presidente di Anorc, “si richiede di riformulare il 5º paragrafo dell’art. 30 che notoriamente riduceva a sporadica eccezione l’esenzione dall’obbligo di dotarsi di questo essenziale strumento di compliance”.

Ma, diciamo noi, se si elimina il Registro, come si potrà fare un’analisi dei rischi e vieppiù una valutazione di impatto? E soprattutto il famoso biglietto da visita che dimostra i trattamenti che ci sono da che cosa sarà sopperito?

È vero che troppo spesso vediamo “curiosi registri di trattamento che sono frutto di auto compilazioni fornite da “miracolosi software di compliance privacy”, che finiscono per svilire l’utilità di questo strumento operativo” fedele alleato per i DPO, se pervasivo e proattivo nella sua formulazione.

Ci alleiamo alla speranza espressa dall’avv. Lisi augurandoci che “sia corretta questa macroscopica svista. O forse si pensa davvero che adottando un codice di condotta e firmando una bella certificazione (profumatamente pagata) tutto sia risolto in un battibaleno”. Anche no.