Memoria del Presidente del Garante per la protezione dei dati personali, Pasquale Stanzione
Proposte di Regolamento del Parlamento europeo e del Consiglio (COM(2025) 501 final) e di direttiva del parlamento europeo e del consiglio (COM(2025) 502 final)
Esame congiunto per la verifica della conformità al principio di sussidiarietà

Camera dei deputati - XIV Commissione Politiche dell'Unione europea
(24 luglio 2025)

Ringrazio, anzitutto, la Commissione, per aver inteso acquisire l’avviso del Garante in ordine alle proposte di regolamento e direttiva componenti il quarto pacchetto di semplificazione (c.d. Omnibus IV), presentato dalla Commissione europea nell’ambito del programma REFIT, teso a verificare l’adeguatezza della regolazione rispetto, peraltro, alle esigenze di competitività delle realtà imprenditoriali.

Le proposte sono volte, in particolare, a estendere alle piccole imprese a media capitalizzazione (small mid-caps o SMC) alcune disposizioni attualmente applicate alle sole piccole e medie imprese tout court (PMI).

La ratio complessiva delle proposte risiede nell’introduzione di misure che rimuovano gli ostacoli regolatori all'agevole trasformazione delle PMI in SMC, evitando i c.d. cliff effects che possono verificarsi nella soggezione, sproporzionata, delle realtà imprenditoriali in crescita alle regole delle grandi imprese.

Tra le misure proposte vi sono anche alcune modifiche al regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati, infra: GDPR), volte a estendere alle SMC talune deroghe oggi limitate alle sole PMI (art.1 della proposta di regolamento). In ragione delle competenze del Garante la presente analisi si concentrerà, naturalmente, su tali modifiche, limitatamente agli aspetti suscettibili di rilevare ai fini della verifica della conformità al principio di sussidiarietà.

Da questo punto di vista, sembra opportuno rilevare come la Commissione non abbia allegato alla proposta la valutazione d'impatto- funzionale peraltro in questo caso al controllo di competitività – in ragione dell’asserita assenza di opzioni strategiche pertinenti e della portata circoscritta delle modifiche introdotte. Tale motivazione è stata, come noto, addotta- unitamente o alternativamente all’urgenza dell'intervento- rispetto a diverse proposte legislative presentate dalla Commissione all’inizio della presente legislatura, in assenza appunto di valutazione d’impatto. Tale carenza priva, naturalmente, l’analisi in ordine al rispetto del principio di sussidiarietà di elementi valutativi che sarebbero stati, invece, utili.

Analogamente, la valutazione d’impatto avrebbe potuto fornire contributi rilevanti anche ai fini della verifica del rispetto del principio di proporzionalità, particolarmente importante in termini di esame delle politiche legislative dell’Unione.

Pur in assenza di tali elementi valutativi, si possono tuttavia formulare alcune osservazioni sul merito delle modifiche introdotte dalla proposta di regolamento, utili a comprenderne l’incidenza sul riparto di attribuzioni tra l’Unione e gli Stati membri.

Anzitutto si apprezza- come chiarito anche dal parere congiunto del Garante europeo per la protezione dei dati e del Comitato europeo per la protezione dei dati n. 1 del 2025– la natura circoscritta delle modifiche introdotte. Esse, infatti, pur promuovendo una semplificazione del quadro regolatorio e una parziale riduzione degli oneri amministrativi, non incidono sui principi e sulle norme-cardine del GDPR. Le deroghe introdotte riguardano, infatti, una misura che, seppure importante in quanto utile strumento di compliance, lascia comunque intatta la complessiva architettura normativa del Regolamento generale sulla protezione dei dati.  

In particolare, la proposta di regolamento introduce, all’art. 1, all’interno delle definizioni contenute nell’art. 4 del GDPR, anche quella di micro, piccole e medie imprese e di piccole imprese a media capitalizzazione con rinvio alle definizioni contenute nelle relative raccomandazioni della Commissione, così da garantire coerenza al sistema normativo.

Coerentemente con l’obiettivo di riduzione degli oneri amministrativi per le realtà imprenditoriali più piccole, l’art.1, n.2, modifica l’art. 30, p.5, estendendo alle imprese e organizzazioni con meno di 750 dipendenti l'ambito di applicazione della deroga – già vigente limitatamente a realtà con meno di 250 dipendenti – rispetto all'obbligo di tenere registri delle attività di trattamento.

Sul punto, il parere congiunto del Garante e del Comitato europei per la protezione dei dati sottolinea l'assenza di indicazioni in ordine alla scelta della soglia dei 750 dipendenti. Per un verso, infatti, essa non è motivata con specifico riferimento al contesto della protezione dei dati (essendo invece riferita a varie normative incidenti su ambiti eterogenei).

Per altro verso, non è stata chiarita la ragione della sostituzione della soglia di 500 dipendenti, originariamente prevista, con quella di 750 e l'assenza della valutazione di impatto non consente di evincerne le motivazioni. Condivisibilmente, dunque, il citato parere congiunto suggerisce di inserire nel novellato paragrafo 5 dell’art. 30 un più puntuale riferimento alle nozioni di PMI e SMC, introdotte appunto all’interno delle definizioni utilizzate dal GDPR, così da conferire maggiore coerenza al sistema normativo. Ancora e condivisibilmente, il citato parere congiunto suggerisce di chiarire che il riferimento alle organizzazioni con meno di 750 dipendenti non include le pubbliche amministrazioni, caratterizzate da altre peculiarità che non le rendono alle prime assimilabili.

Inoltre, la novella indica, quale presupposto di applicazione della deroga, la circostanza per la quale il trattamento non comporti un "rischio elevato" per i diritti e le libertà degli interessati, ai sensi dell'articolo 35 del GDPR stesso. Rispetto al testo attuale, che tra le condizioni ostative per l’applicazione della deroga richiama il mero “rischio” – non altrimenti qualificato – connesso al trattamento, la proposta pare dunque ampliare i presupposti per l’esenzione dall’obbligo di tenuta del registro. Il parere del Comitato e del Garante europei per la protezione dei dati suggerisce, peraltro, di riferire il concetto di rischio alle operazioni di trattamento, così da rendere più specifica e puntuale la valutazione.

Il Considerando 9 della proposta chiarisce che la deroga non dovrebbe comunque ritenersi applicabile in presenza delle circostanze delineate al paragrafo 3 dell’articolo 35 citato, rinviando dunque a uno spettro ampio di condizioni tali da imporre – nella sistematica di tale disposizione – l’effettuazione di una valutazione d’impatto sulla protezione dei dati.

Il Considerando 10 precisa, per altro verso, che il trattamento di dati appartenenti alle categorie particolari, se necessario per l'assolvimento degli obblighi e l'esercizio di diritti in materia di diritto del lavoro, di sicurezza e protezione sociali, di cui all'articolo 9, paragrafo 2, lettera b), del GDPR stesso, non dovrebbe di per sé essere ostativo all’applicazione della deroga. Il citato parere congiunto indica, sul punto, l’opportunità di chiarire che la deroga è applicabile, in tali casi, salvo che una specifica valutazione del trattamento ne indichi la rischiosità, così da verificarne in concreto -e in coerenza con le altre misure di compliance- l'effettivo impatto.

L’articolo 1, par. 3, della proposta, coerentemente con il contenuto del Considerando 11, inserisce le SMC nell’alveo applicativo dell'articolo 40, par. 1, del GDPR. Ne consegue che, ai fini dell'elaborazione dei codici di condotta, si dovrà tenere conto anche delle esigenze specifiche delle piccole imprese a media capitalizzazione. Si tratta di una modifica importante, nella misura in cui consente a uno strumento di co-regulation quale quello dei codici di condotta, di riflettere la prospettiva anche di realtà imprenditoriali rilevanti quali quelle delle SMC.

Specularmente, l’articolo 1, par. 4, della proposta include le SMC nell'ambito applicativo dell'articolo 42, par. 1, del GDPR. In tal modo, ai fini dell'istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati si dovrà tener conto anche delle esigenze specifiche delle SMC.

Pur con i perfezionamenti suggeriti dal citato parere n.1 del 2025 e con i limiti derivanti dalla mancata predisposizione della valutazione d’impatto, si può tuttavia ritenere che la proposta non presenti elementi di contrarietà rispetto ai principi di sussidiarietà e proporzionalità.

Essa, infatti, si limita a intervenire su contesti normativi già disciplinati dal legislatore europeo circoscrivendo alcuni oneri amministrativi, non incidendo su ambiti rimessi alla discrezionalità degli Stati membri o, comunque, alla loro sfera di attribuzione. Inoltre, le norme proposte non incidono su principi e istituti essenziali del GDPR, limitandosi a introdurre le sole modifiche alle disposizioni vigenti, ritenute necessarie a fini di semplificazione e alleggerimento degli oneri amministrativi. Peraltro, la proposta estende alle SMC lo spettro applicativo di alcune deroghe o parametri normativi riferiti a realtà imprenditoriali affini, di cui le misure introdotte condividono l’eadem ratio. L’intervento non pare, dunque, eccedere lo scopo dichiarato non introducendo, peraltro, norme irragionevoli rispetto a una legittima esigenza di promozione di realtà imprenditoriali costituenti una parte importante del tessuto produttivo europeo.