23

Immagine creata con IAAI-generated image

Registro dei trattamenti e PMI: la semplificazione dell’articolo 30, paragrafo 5, GDPR vista da EDPB ed EDPS

Estendere l’esenzione dall’obbligo di tenuta del registro dei trattamenti alle organizzazioni con meno di 750 dipendenti: è la proposta della Commissione su cui EDPB ed EDPS si sono espressi con la Joint Opinion 01/2025. Favore per l’alleggerimento, ma con un monito: il registro non è solo un adempimento, è uno strumento di compliance. Cosa devono sapere le PMI, e perché disfarsi del ROPA potrebbe essere un errore.

Nel cantiere europeo della semplificazione, uno dei primi tasselli ha riguardato il registro delle attività di trattamento, c.d. ROPA, di cui all’articolo 30 del GDPR. Con la proposta del 21 maggio 2025 sulle misure di semplificazione per PMI e small mid-cap, la Commissione ha proposto di modificare l’articolo 30, paragrafo 5, estendendo l’esenzione dall’obbligo di tenuta del registro alle imprese e organizzazioni con meno di 750 dipendenti, salvo che i trattamenti possano presentare un rischio elevato per i diritti e le libertà degli interessati. Su tale proposta il Comitato europeo per la protezione dei dati e il Garante europeo si sono espressi con la Joint Opinion 01/2025, adottata l’8 luglio 2025. Riteniamo questa sia la sede opportuna per esaminarne il contenuto, a beneficio, in particolare, delle organizzazioni di minori dimensioni.

La posizione delle autorità: favore condizionato

Il giudizio complessivo è di apertura: EDPB ed EDPS sostengono l’obiettivo generale della proposta di ridurre l’onere amministrativo per le PMI e le imprese a media capitalizzazione, purché il perseguimento di tale obiettivo non si traduca in un abbassamento della protezione dei diritti fondamentali delle persone.

Apprezzata, in particolare, la natura chirurgica dell’intervento: EDPB ed EDPS accolgono con favore, al riguardo, il fatto che le modifiche proposte al GDPR per semplificare e chiarire l’obbligo di tenuta del registro dei trattamenti siano mirate e limitate nella loro portata e non incidano sui principi fondamentali né sugli altri obblighi previsti dal GDPR. La semplificazione, in altri termini, è accettabile perché tocca un adempimento documentale, non i principi: liceità, minimizzazione, sicurezza e accountability restano intatti, per tutti.

Il monito: il registro serve, anche quando non è obbligatorio

Il passaggio più utile per la pratica è però un altro. Le autorità ricordano che, oltre a facilitare la dimostrazione ex post della conformità, i registri delle attività di trattamento costituiscono un mezzo molto utile per supportare il rispetto di diversi requisiti del GDPR.

Il punto merita di essere ben compreso dalle PMI: l’eventuale esenzione dall’obbligo non rende il registro inutile. Il ROPA è, nella prassi, la spina dorsale dell’intero impianto di conformità: senza una mappatura dei trattamenti non si redige un’informativa completa, non si valuta la necessità di una DPIA, non si gestisce un data breach nei termini, non si risponde compiutamente a un’istanza di esercizio dei diritti, né, per ciò che attiene ai fronti più recenti, si censiscono i trattamenti connessi ai sistemi di Intelligenza Artificiale. Rinunciare al registro perché non più dovuto significherebbe, per molte organizzazioni, rinunciare allo strumento con cui dimostrano tutto il resto.

Va peraltro rammentato che l’esenzione proposta è condizionata: ove i trattamenti siano suscettibili di presentare un rischio elevato, l’obbligo permane a prescindere dalla soglia dimensionale. E le organizzazioni che trattano categorie particolari di dati su larga scala, o che impiegano tecnologie innovative, difficilmente potranno considerarsi fuori perimetro.

Il quadro in movimento

La proposta sulle PMI non è un episodio isolato: si inserisce nella più ampia stagione del c.d. Digital Omnibus, sulla cui parte GDPR le medesime autorità si sono espresse con la Joint Opinion 2/2026 del 10 febbraio 2026, salutando le semplificazioni su data breach e DPIA e respingendo con fermezza la modifica della definizione di dato personale. Il metodo che ne emerge è costante: sì alla riduzione degli oneri documentali, no ad ogni intervento che riduca il perimetro o il livello della tutela.

Per il DPO di una PMI, il consiglio operativo è dunque duplice: seguire l’iter legislativo per conoscere l’assetto finale dell’articolo 30, paragrafo 5; e, nel frattempo, non smantellare nulla, semmai razionalizzare il registro esistente, che resta la fotografia più efficiente dei trattamenti dell’organizzazione, oltre che la base di ogni futura semplificazione documentale.

Conclusioni

La vicenda del ROPA è emblematica del rapporto tra semplificazione e accountability: si può alleggerire l’obbligo, non il bisogno. Il registro nasce come strumento di consapevolezza prima che di conformità, e la consapevolezza dei propri trattamenti non è un lusso burocratico: è la precondizione di ogni scelta difendibile in materia di dati.

Alla luce di quanto esposto, ci si domanda se le organizzazioni esentate sapranno distinguere tra ciò che non è più dovuto e ciò che resta necessario, cogliendo la semplificazione senza perdere la mappa dei propri trattamenti, affinché l’alleggerimento documentale non si traduca in un arretramento sostanziale della protezione.

Autore: Avv. Valentina Grazia Sapuppo