Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

Semplificare il GDPR: le osservazioni sulla bozza della riforma

Semplificazioni GDPR per le SMC: l’EDPB e l’EDPS esprimono riserve nella Opinione congiunta 01/2025.

Scarica PDF Stampa Allegati

“Snellire”, “alleggerire”, “semplificare”. Parole apparentemente innocue, che evocano efficienza, pragmatismo, buon senso. Ma quando l’oggetto di questa semplificazione è il Regolamento (UE) 2016/679, meglio noto come GDPR, è lecito alzare le antenne. Perché dietro certe retoriche del “meno burocrazia, più innovazione” si cela spesso un’insidiosa erosione dei diritti fondamentali, camuffata da slancio riformista.
La Commissione Europea ha pubblicato la sua bozza per la riforma del regolamento GDPR, con l’obiettivo dichiarato di ridurre gli oneri per le PMI. La notizia, rilanciata da fonti istituzionali e approfondita dal Garante italiano nella sua Relazione annuale 2024, ha acceso un dibattito che non possiamo permetterci di ignorare.
Ma davvero serve “semplificare” il GDPR? E, soprattutto, chi decide cosa è semplificabile e cosa no? L’EDPB e l’EDPS esprimono riserve nella Opinione congiunta 01/2025.
Per approfondire il tema del GDPR, abbiamo organizzato il corso di formazione AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni

Scarica la bozza in PDF

1747833811285.pdf 610 KB

Iscriviti alla newsletter per poter scaricare gli allegati

Grazie per esserti iscritto alla newsletter. Ora puoi scaricare il tuo contenuto.

Indice

1. L’equivoco di fondo: il GDPR non è una legge per giuristi


Chi lavora ogni giorno a contatto con il Regolamento sa bene che non si tratta di un feticcio burocratico, né di una gabbia per l’economia. Al contrario, il GDPR è uno strumento profondamente flessibile, basato su principi generali e su un approccio basato sul rischio, che consente alle imprese – grandi e piccole – di modulare le misure di compliance in base alla natura dei trattamenti effettuati, nel nome dell’onnipervadente principio di accoutnability.
L’articolo 24 del GDPR, per esempio, prevede che il titolare “mette in atto misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento è effettuato conformemente al presente regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche”.
Tradotto: non c’è un modulo standard da compilare, non c’è una checklist identica per tutti. C’è invece la responsabilità – sì, quella “accountability” tanto temuta – di scegliere, documentare, giustificare. E questo richiede competenza, visione, consapevolezza. Non una riforma.

2. Le PMI non sono cavie: servono strumenti, non scorciatoie


La narrazione secondo cui il GDPR sarebbe “troppo complicato” per le PMI è una semplificazione essa stessa pericolosa. È vero che molte microimprese hanno incontrato difficoltà nell’implementazione iniziale della normativa. Ma la soluzione non è abbassare gli standard di tutela. È rendere più accessibili gli strumenti, semplificare il linguaggio, finanziare la formazione dei professionisti e supportare concretamente la transizione digitale.
Il Garante italiano, nella Relazione annuale, è stato chiaro: semplificare sì, ma senza smantellare i diritti. La protezione dei dati non è un lusso riservato ai cittadini che interagiscono con big tech. È un diritto trasversale, che riguarda anche la piccola bottega che gestisce un CRM, il dentista con il gestionale cloud, la cooperativa che lavora con soggetti fragili.
Proposte come “esonerare le PMI da alcuni adempimenti” o “limitare la tenuta del Registro dei trattamenti” (art. 30 GDPR) possono sembrare sensate a prima vista. Ma basta poco perché diventino scorciatoie pericolose verso una compliance apparente.

3. Semplificare cosa, esattamente?


Serve allora porsi una domanda preliminare: di quali semplificazioni stiamo parlando? L’attuazione del GDPR si basa su norme che – per loro natura – richiedono interpretazione, adattamento, cultura del dato.
Le criticità reali non derivano da “troppa normativa”, ma da assenza di cultura giuridica digitale, da carenti investimenti in formazione, da mancata armonizzazione tra normative europee e nazionali (vedi il caso Italia, con un Codice Privacy ancora poco digeribile in molte parti).
I dati dell’EDPB e della Commissione UE dimostrano che, a quasi sette anni dall’entrata in vigore, i cittadini europei sono più consapevoli dei propri diritti e le imprese hanno, nella stragrande maggioranza dei casi, trovato un equilibrio tra obblighi normativi e attività di business. Non servono rivoluzioni, serve manutenzione ordinaria, chiarimenti interpretativi, indicazioni operative. E, soprattutto, servono controlli seri, perché un sistema normativo è tanto forte quanto è efficace il suo enforcement.

Potrebbe interessarti anche: Aziende: come crescere oggi nel rispetto dell’AI ACT e del GDPR

4. Il pericolo della “deregulation selettiva”


In questo contesto, si fa strada un rischio sempre più concreto: quello di una deregolamentazione selettiva, “di classe”, che esonera alcune categorie di soggetti da obblighi fondamentali, generando un sistema a doppia velocità. Dove i grandi sono costretti a investire in compliance e i piccoli vivono in una zona grigia di “semi-legalità tollerata”.
Questo approccio, oltre a minare la fiducia dei cittadini (che non capiranno più quali tutele valgono per chi), potrebbe indebolire l’intero impianto europeo. E lo diciamo mentre il Digital Services Act, il Digital Markets Act e l’AI Act spingono per un rafforzamento del controllo pubblico sull’economia digitale. Una semplificazione maldestra del GDPR rischia di andare in direzione contraria, compromettendo l’efficacia sistemica dell’ecosistema normativo UE.

5. Il ruolo dei Garanti: vigili, non notai


I Garanti europei, con il Board (EDPB) in prima linea, stanno già lanciando segnali di attenzione. La Presidente dell’EDPB, Anu Talus, ha ribadito che il GDPR ha retto l’urto del tempo e che non esistono, al momento, motivi sostanziali per una revisione della cornice normativa.
Anche il Garante italiano ha espresso con fermezza la necessità di non sacrificare i diritti fondamentali sull’altare dell’efficienza apparente. Il diritto alla protezione dei dati – lo ricordiamo – è sancito dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea. E proprio questa forza costituzionale deve renderlo indisponibile a compromessi al ribasso.

6. L’EDPB e l’EDPS esprimono riserve nella Opinione congiunta 01/2025


In data 10 luglio 2025, il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo (EDPS) hanno pubblicato l’Opinione congiunta 01/2025, esprimendo alcune riserve significative sulla proposta della Commissione del 21 maggio. Pur riconoscendo l’intento di semplificare gli obblighi per le imprese a media capitalizzazione (SMC), i due organismi sottolineano il rischio di abbassare il livello di tutela dei diritti fondamentali, in particolare laddove le SMC operano su larga scala o trattano dati sensibili. L’EDPB e l’EDPS raccomandano quindi una valutazione caso per caso piuttosto che una deroga generalizzata, e invitano la Commissione a definire con maggiore precisione le condizioni in cui tali semplificazioni si applicherebbero, in coerenza con il principio di responsabilizzazione (accountability) previsto dal GDPR.

7. Conclusioni: la vera semplificazione è culturale


Se davvero vogliamo semplificare il GDPR, iniziamo da ciò che serve davvero:

  • Un lessico più chiaro, senza rinunciare alla precisione giuridica.
  • Linee guida pratiche e casi d’uso diffusi.
  • Una PA che sia esempio di compliance, non zavorra procedurale.
  • Incentivi alla formazione per DPO e responsabili.
  • Modelli standard personalizzabili, non check-box vuoti.

Ma soprattutto, iniziamo a chiamare le cose con il loro nome: se si vuole ridurre il livello di tutela della privacy, si abbia il coraggio politico di dirlo chiaramente. Altrimenti, lasciamo che il GDPR continui a fare il suo lavoro: essere un baluardo di civiltà in un mondo che corre verso il controllo pervasivo e l’automazione opaca.

Formazione per professionisti


AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni
Il percorso formativo è rivolto alle Pubbliche Amministrazioni, ai giuristi, alle imprese e a tutti i professionisti coinvolti nei processi con l’obiettivo di approfondire i profili pratici per garantire la conformità all’AI ACT e GDPR alle aziende e Amministrazioni che sviluppano o utilizzano sistemi di intelligenza artificiale.
La prima sessione mira a fornire una panoramica generale dell’AI e introdurre i partecipanti ai profili normativi ed etici connessi all’AI ACT. 
La seconda sessione si concentra sui profili pratici degli adeguamenti richiesti: gli obblighi di documentazione e trasparenza, il ruolo del DPO e dei responsabili della conformità, la valutazione d’impatto dei sistemi AI (AI Impact Assessment) e la protezione dei dati personali. Durante questa sessione, i partecipanti prenderanno parte a un workshop pratico che prevede la simulazione di una valutazione di conformità.
La terza sessione è dedicata alla sicurezza informatica dei sistemi AI e ai modelli di responsabilità legale in caso di danni da essi causati.
>>>Per info ed iscrizioni<<<

Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Privacy e Cybersecurity
Australia, social e minori: il divieto under-16 come esperimento legislativo globale?

L’Australia introduce il divieto assoluto ai social per gli under-16: un esperimento legislativo glo…

Luisa Di Giacomo 05/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Chat control: gli sviluppi più recenti e le novità introdotte

Dopo l’ampio dibattito sulla proposta originaria nota come “Chat Control”, gli ultimi mesi hanno seg…

Luisa Di Giacomo 02/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Conservazione dei dati biometrici: la Corte UE chiarisce i limiti

La Corte UE si pronuncia su raccolta e conservazione dei dati biometrici e genetici da parte della p…

Lorena Papini 24/11/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Cloudflare va in blackout e il web inciampa: la fragilità dell’infrastruttura digitale

Un blackout globale Cloudflare il 18 novembre 2025 ha reso instabili servizi web in tutto il mondo, …

Luisa Di Giacomo 21/11/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;