Semplificare il GDPR? Solo se il prezzo non è la privacy

“Snellire”, “alleggerire”, “semplificare”. Parole apparentemente innocue, che evocano efficienza, pragmatismo, buon senso. Ma quando l’oggetto di questa semplificazione è il Regolamento (UE) 2016/679, meglio noto come GDPR, è lecito alzare le antenne. Perché dietro certe retoriche del “meno burocrazia, più innovazione” si cela spesso un’insidiosa erosione dei diritti fondamentali, camuffata da slancio riformista.
La Commissione Europea ha annunciato l’intenzione di proporre modifiche al GDPR entro maggio 2025, con l’obiettivo dichiarato di ridurre gli oneri per le PMI. La notizia, rilanciata da fonti istituzionali e approfondita dal Garante italiano nella sua Relazione annuale 2024, ha acceso un dibattito che non possiamo permetterci di ignorare.
Ma davvero serve “semplificare” il GDPR? E, soprattutto, chi decide cosa è semplificabile e cosa no?
Per approfondire il tema del GDPR, abbiamo organizzato il corso di formazione AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni

1. L’equivoco di fondo: il GDPR non è una legge per giuristi

Chi lavora ogni giorno a contatto con il Regolamento sa bene che non si tratta di un feticcio burocratico, né di una gabbia per l’economia. Al contrario, il GDPR è uno strumento profondamente flessibile, basato su principi generali e su un approccio basato sul rischio, che consente alle imprese – grandi e piccole – di modulare le misure di compliance in base alla natura dei trattamenti effettuati, nel nome dell’onnipervadente principio di accoutnability.
L’articolo 24 del GDPR, per esempio, prevede che il titolare “mette in atto misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento è effettuato conformemente al presente regolamento, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche”.
Tradotto: non c’è un modulo standard da compilare, non c’è una checklist identica per tutti. C’è invece la responsabilità – sì, quella “accountability” tanto temuta – di scegliere, documentare, giustificare. E questo richiede competenza, visione, consapevolezza. Non una riforma.

2. Le PMI non sono cavie: servono strumenti, non scorciatoie

La narrazione secondo cui il GDPR sarebbe “troppo complicato” per le PMI è una semplificazione essa stessa pericolosa. È vero che molte microimprese hanno incontrato difficoltà nell’implementazione iniziale della normativa. Ma la soluzione non è abbassare gli standard di tutela. È rendere più accessibili gli strumenti, semplificare il linguaggio, finanziare la formazione dei professionisti e supportare concretamente la transizione digitale.
Il Garante italiano, nella Relazione annuale, è stato chiaro: semplificare sì, ma senza smantellare i diritti. La protezione dei dati non è un lusso riservato ai cittadini che interagiscono con big tech. È un diritto trasversale, che riguarda anche la piccola bottega che gestisce un CRM, il dentista con il gestionale cloud, la cooperativa che lavora con soggetti fragili.
Proposte come “esonerare le PMI da alcuni adempimenti” o “limitare la tenuta del Registro dei trattamenti” (art. 30 GDPR) possono sembrare sensate a prima vista. Ma basta poco perché diventino scorciatoie pericolose verso una compliance apparente.

3. Semplificare cosa, esattamente?

Serve allora porsi una domanda preliminare: di quali semplificazioni stiamo parlando? L’attuazione del GDPR si basa su norme che – per loro natura – richiedono interpretazione, adattamento, cultura del dato.
Le criticità reali non derivano da “troppa normativa”, ma da assenza di cultura giuridica digitale, da carenti investimenti in formazione, da mancata armonizzazione tra normative europee e nazionali (vedi il caso Italia, con un Codice Privacy ancora poco digeribile in molte parti).
I dati dell’EDPB e della Commissione UE dimostrano che, a quasi sette anni dall’entrata in vigore, i cittadini europei sono più consapevoli dei propri diritti e le imprese hanno, nella stragrande maggioranza dei casi, trovato un equilibrio tra obblighi normativi e attività di business. Non servono rivoluzioni, serve manutenzione ordinaria, chiarimenti interpretativi, indicazioni operative. E, soprattutto, servono controlli seri, perché un sistema normativo è tanto forte quanto è efficace il suo enforcement.

Potrebbe interessarti anche: Aziende: come crescere oggi nel rispetto dell’AI ACT e del GDPR

4. Il pericolo della “deregulation selettiva”

In questo contesto, si fa strada un rischio sempre più concreto: quello di una deregolamentazione selettiva, “di classe”, che esonera alcune categorie di soggetti da obblighi fondamentali, generando un sistema a doppia velocità. Dove i grandi sono costretti a investire in compliance e i piccoli vivono in una zona grigia di “semi-legalità tollerata”.
Questo approccio, oltre a minare la fiducia dei cittadini (che non capiranno più quali tutele valgono per chi), potrebbe indebolire l’intero impianto europeo. E lo diciamo mentre il Digital Services Act, il Digital Markets Act e l’AI Act spingono per un rafforzamento del controllo pubblico sull’economia digitale. Una semplificazione maldestra del GDPR rischia di andare in direzione contraria, compromettendo l’efficacia sistemica dell’ecosistema normativo UE.

5. Il ruolo dei Garanti: vigili, non notai

I Garanti europei, con il Board (EDPB) in prima linea, stanno già lanciando segnali di attenzione. La Presidente dell’EDPB, Anu Talus, ha ribadito che il GDPR ha retto l’urto del tempo e che non esistono, al momento, motivi sostanziali per una revisione della cornice normativa.
Anche il Garante italiano ha espresso con fermezza la necessità di non sacrificare i diritti fondamentali sull’altare dell’efficienza apparente. Il diritto alla protezione dei dati – lo ricordiamo – è sancito dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea. E proprio questa forza costituzionale deve renderlo indisponibile a compromessi al ribasso.

6. Conclusioni: la vera semplificazione è culturale

Se davvero vogliamo semplificare il GDPR, iniziamo da ciò che serve davvero:

• Un lessico più chiaro, senza rinunciare alla precisione giuridica.
• Linee guida pratiche e casi d’uso diffusi.
• Una PA che sia esempio di compliance, non zavorra procedurale.
• Incentivi alla formazione per DPO e responsabili.
• Modelli standard personalizzabili, non check-box vuoti.

Ma soprattutto, iniziamo a chiamare le cose con il loro nome: se si vuole ridurre il livello di tutela della privacy, si abbia il coraggio politico di dirlo chiaramente. Altrimenti, lasciamo che il GDPR continui a fare il suo lavoro: essere un baluardo di civiltà in un mondo che corre verso il controllo pervasivo e l’automazione opaca.

Formazione per professionisti

AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni
Il percorso formativo è rivolto alle Pubbliche Amministrazioni, ai giuristi, alle imprese e a tutti i professionisti coinvolti nei processi con l’obiettivo di approfondire i profili pratici per garantire la conformità all’AI ACT e GDPR alle aziende e Amministrazioni che sviluppano o utilizzano sistemi di intelligenza artificiale.
La prima sessione mira a fornire una panoramica generale dell’AI e introdurre i partecipanti ai profili normativi ed etici connessi all’AI ACT. 
La seconda sessione si concentra sui profili pratici degli adeguamenti richiesti: gli obblighi di documentazione e trasparenza, il ruolo del DPO e dei responsabili della conformità, la valutazione d’impatto dei sistemi AI (AI Impact Assessment) e la protezione dei dati personali. Durante questa sessione, i partecipanti prenderanno parte a un workshop pratico che prevede la simulazione di una valutazione di conformità.
La terza sessione è dedicata alla sicurezza informatica dei sistemi AI e ai modelli di responsabilità legale in caso di danni da essi causati.
>>>Per info ed iscrizioni<<<