NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • I garanti europei per la protezione dei dati accolgono con favore le semplificazioni del GDPR, ma chiedono ulteriori chiarimenti

I garanti europei per la protezione dei dati accolgono con favore le semplificazioni del GDPR, ma chiedono ulteriori chiarimenti

Il Comitato europeo per la protezione dei dati (European Data Protection Board) e il Garante europeo della protezione dei dati (European Data Protection Supervisor) hanno pubblicato un parere congiunto sulla proposta di regolamento della Commissione Europea che modifica determinati regolamenti, tra cui il GDPR.

La proposta, che fa parte del "Pacchetto Omnibus IV°", mira a semplificare le norme dell'UE e a ridurre gli oneri amministrativi, estendendo alcune misure di attenuazione disponibili per le piccole e medie imprese (PMI) alle piccole imprese a media capitalizzazione, e comprende ulteriori misure di semplificazione.

La proposta in questione mira a modificare l'articolo 30, paragrafo 5 del GDPR, prevedendo una deroga all'obbligo di tenere un registro delle operazioni di trattamento dei dati. Attualmente, questa deroga si applica solo alle imprese e alle organizzazioni con meno di 250 dipendenti, tranne in alcuni casi. Ai sensi della proposta, la deroga si applicherebbe a un'impresa o a un'organizzazione con meno di 750 dipendenti, a meno che il trattamento effettuato non sia suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone, ai sensi dell'articolo 35 del GDPR.

Inoltre, la proposta introduce le definizioni di “microimprese, piccole e medie imprese" (SME) e "imprese a media capitalizzazione di piccole dimensioni" (SMC) all'articolo 4 del GDPR ed estende l'ambito di applicazione per queste ultime dell'articolo 40, paragrafo 1, e dell'articolo 42, paragrafo 1 del Regolamento sulla protezione dei dati in riferimento ai codici di condotta e di certificazione.

Questi strumenti sono attualmente progettati per aiutare le imprese e le organizzazioni a dimostrare la conformità al GDPR concentrandosi sulle esigenze specifiche delle PMI.

A proposito delle semplificazioni proposte dalla Commissione UE, il Garante europeo, Wojciech Wiewiórowski, ha dichiarato:

"Sosteniamo l'obiettivo generale della proposta di ridurre gli oneri amministrativi per le microimprese, piccole e medie imprese e le imprese a media capitalizzazione di piccole dimensioni, purché ciò non riduca la tutela dei diritti fondamentali delle persone, in particolare il diritto alla vita privata e alla protezione dei dati personali. A tal fine, accogliamo con favore il fatto che le modifiche proposte per semplificare e chiarire l'obbligo di tenere un registro del trattamento siano di natura mirata e limitata e non incidano sui principi fondamentali e sugli altri obblighi previsti dal GDPR".

Mentre Anu Talus, presidente dell'European Data Protection Board, ha dichiarato:

"L'EDPB sostiene l'obiettivo generale della proposta di ridurre gli oneri amministrativi per le microimprese, piccole e medie imprese e le imprese a media capitalizzazione di piccole dimensioni, e di garantire che, nella pratica, possano beneficiare di una deroga all'obbligo di tenere registri delle attività di trattamento. L'attuale deroga non ha sempre raggiunto il suo obiettivo. Allo stesso tempo, il registro delle attività di trattamento è uno strumento utile per sostenere il rispetto di altri obblighi, come quello di trasparenza o per dare effetto ai diritti degli interessati. La semplificazione offrirà alle microimprese, piccole e medie imprese e alle imprese a media capitalizzazione di piccole dimensioni una maggiore flessibilità nella scelta del metodo più appropriato per essere conformi."

Per quanto riguarda le organizzazioni soggette alla deroga, considerando che la proposta incide sulla legislazione in altri settori strategici, l'EDPB e il GEPD si aspettano comunque ulteriori chiarimenti sul motivo per cui la nuova soglia di imprese o organizzazioni che occupano meno di 750 persone sarebbe più appropriata ai sensi del GDPR, piuttosto che la soglia di 500 dipendenti inizialmente presa in considerazione.

Inoltre, la nuova esenzione di cui all'articolo 30, paragrafo 5, si riferisce alle "imprese con meno di 750 dipendenti" senza fare riferimento alle nuove definizioni di “microimprese, piccole e medie imprese" (SME) e "imprese a media capitalizzazione di piccole dimensioni"(SMC), che includono anche criteri finanziari. Al fine di garantire che l'esenzione vada a vantaggio di tali categorie di imprese, il parere congiunto dei Garanti europei raccomandano di fare riferimento alle definizioni di “microimprese, piccole e medie imprese" (SME) e "imprese a media capitalizzazione di piccole dimensioni"(SMC) recentemente introdotte.

L'European Data Protection Board e l’European Data Protection Supervisor chiedono inoltre ai colegislatori di chiarire nella proposta che il termine "organizzazione", che rientra nell'ambito di applicazione della deroga proposta a norma dell'articolo 30, paragrafo 5 del GDPR, non include le autorità e gli organismi pubblici.

Fonte: European Data Protection Board

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Articoli correlati

Prev La ISO/IEC 27005:2022: la linea guida per la gestione dei rischi sulla sicurezza delle informazioni
Next La Commissione UE presenta una roadmap per garantire l’accesso ai dati nelle indagini penali da parte delle forze dell’ordine

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza