Registro dei trattamenti: verso l’esenzione per le imprese fino a 750 dipendenti? Il parere di EDPB ed EDPS

10 Luglio 2025
, , , ,

L’European Data Protection Board (“EDPB”) e l’European Data Protection Supervisor (“EDPS”) hanno recentemente pubblicato un parere congiunto (il “Parere”) sulla proposta di regolamento presentata dalla Commissione europea nel contesto del Quarto pacchetto Omnibus di semplificazione normativa (la “Proposta”).

Tra le varie norme oggetto di revisione, la proposta prevede significative modifiche al Regolamento (UE) 2016/679 (“GDPR”), in particolare in relazione alla riduzione degli oneri burocratici per le PMI e all’estensione di alcune misure di mitigazione anche alle imprese di media capitalizzazione (small mid-cap enterprises – SMC), ossia per quelle imprese che impiegano un numero di dipendenti compreso tra 250 e 749, hanno un fatturato fino a 150 milioni di euro o un attivo totale di 129 milioni di euro.

Nello specifico, la Commissione europea ha proposto una serie di emendamenti e semplificazioni che consentirebbero alle SMC di derogare all’obbligo di tenuta del registro delle attività di trattamento di cui all’art. 30 del GDPR, beneficiando così della stessa esenzione già prevista per le PMI. Tuttavia, tale obbligo permane nel caso in cui il trattamento comporti un rischio elevato per i diritti e le libertà degli interessati.

EDPB ed EDPS, pur supportando l’obiettivo generale della Proposta, ritengono che la stessa non debba risultare nella diminuzione della protezione dei diritti fondamentali degli interessati e, in particolare, del diritto alla protezione dei dati personali.

Le novità introdotte con la Proposta esaminate da EDPB e EDPS

1. Nuove definizioni di PMI e SMC nel GDPR

    La proposta introduce, all’interno dell’art. 4 del GDPR, la definizione giuridica di PMI e SMC, con l’obiettivo di estendere a queste ultime alcune semplificazioni già previste per le prime.

    Sebbene EDPB ed EDPS condividano l’obiettivo di favorire una normativa più proporzionata e scalabile, sollevano alcune riserve tecniche:

    • la soglia dei 750 dipendenti richiede chiarimenti in merito alla sua adeguatezza rispetto agli obiettivi del GDPR;
    • la modifica proposta all’art. 30 par. 5 del GDPR introduce la deroga per “imprese con meno di 750 dipendenti”, ma non fa espresso riferimento alle nuove definizioni di PMI e SMC, rischiando così di estendere la deroga anche a imprese che superano i limiti di fatturato o bilancio. Le Autorità raccomandano, dunque, che venga esplicitato il riferimento alle nuove definizioni di PMI e SMC;
    • la deroga si estende anche alle “organizzazioni”, concetto che potrebbe includere anche enti pubblici. EDPB e EDPS raccomandano di chiarire che il termine “organizzazioni” non include le autorità e gli organismi pubblici. Prevedere una deroga anche per questi ultimi sarebbe infatti in contrasto con i vincoli di accountability previsti dal GDPR (si pensi, ad esempio, alla designazione obbligatoria del DPO).

    2. Deroga all’obbligo di tenuta del registro del trattamento (art. 30, par. 5, del GDPR)

    L’intervento normativo più rilevante della Proposta riguarda la modifica dell’art. 30, par. 5, del GDPR, che attualmente prevede l’esenzione dalla tenuta del registro delle attività di trattamento per le imprese con meno di 250 dipendenti, salvo casi specifici[1]. La Proposta innalza la soglia a 750 dipendenti, semplificando così l’adempimento anche per le SMC.

    Tuttavia, la nuova formulazione – pur mantenendo l’obbligo di tenuta del registro nel caso di trattamenti che comportino un rischio elevato per i diritti e le libertà degli interessati – elimina due importanti condizioni attualmente previste:

    • che il trattamento non sia occasionale;
    • che non riguardi categorie particolari di dati (art. 9) o dati giudiziari (art. 10).

    Secondo EDPB ed EDPS, la rimozione di queste condizioni rappresenta una modifica ben più significativa dell’innalzamento della soglia dimensionale. Le Autorità ritengono che, per determinare se un trattamento possa comportare o meno un rischio elevato per i diritti e le libertà degli interessati (e dunque consentire l’esenzione dall’obbligo di tenuta del registro), i titolari dovranno in ogni caso valutare i rischi connessi alle attività di trattamento, in coerenza con l’art. 35 del GDPR relativo alla c.d. DPIA.

    3. L’estensione di codici di condotta e meccanismi di certificazione alle SMC

    La Proposta intende estendere l’ambito di applicazione degli articoli 40, par. 1 e 42, par. 1 del GDPR alle SMC, in modo che anche le loro esigenze specifiche siano prese in considerazione nella redazione dei codici di condotta e nel contesto dei meccanismi di certificazione.

    EDPB ed EDPS accolgono con favore questa aggiunta, che rilevano essere già in linea con la Strategia 2024-2027 dell’EDPB, volta a continuare a sostenere misure di conformità, quali la certificazione e i codici di condotta, anche attraverso il coinvolgimento dei principali gruppi di stakeholders.

    Conclusioni: il registro come strumento chiave di compliance e accountability

    La Proposta della Commissione rappresenta un’opportunità concreta di semplificazione per le imprese, in particolare per quelle di dimensioni intermedie. Tuttavia, le osservazioni dell’EDPB e dell’EDPS evidenziano come la necessità di semplificazione non deve risultare in un affievolimento dei principi fondamentali e delle garanzie che caratterizzano il GDPR.

    Infatti, nel commentare la Proposta, EDPB ed EDPS, colgono l’occasione per ribadire come il registro rappresenti un elemento cardine di accountability, utile sia ai titolari che ai responsabili del trattamento. In particolare, il registro consente di:

    • avere una visione d’insieme di tutte le attività di trattamento;
    • facilitare il titolare a dare esecuzione alle richieste di esercizio dei diritti da parte degli interessati;
    • supportare il titolare nella valutazione dei rischi connessi al trattamento;
    • agevolare il DPO nello svolgimento delle proprie funzioni;
    • mappare e comprendere i trattamenti anche in relazione alle tecnologie di intelligenza artificiale;
    • documentare i data breach.

    Pertanto, pur riconoscendo l’opportunità di alleggerire gli obblighi per alcune categorie di imprese, in linea con le raccomandazioni dell’EDPB e dell’EDPS, i titolari e i responsabili che beneficeranno della deroga dovranno in ogni caso assicurarsi di scegliere i metodi più appropriati per garantire e dimostrare la compliance, in linea con il principio di accountability, prestando attenzione a che tali metodi non abbiano un impatto negativo sugli interessati.

    [1] Tali casi riguardano: i trattamenti suscettibili di comportare un rischio per i diritti e le libertà degli interessati; i trattamenti non occasionali; e i trattamenti che riguardano categorie particolari di dati o dati giudiziari.

    2026 - Morri Rossetti

    I contenuti pubblicati nel presente sito sono protetti da diritto di autore, in base alle disposizioni nazionali e delle convenzioni internazionali, e sono di titolarità esclusiva di Morri Rossetti e Associati.
    È vietato utilizzare qualsiasi tipo di tecnica di web scraping, estrazione di dati o qualsiasi altro mezzo automatizzato per raccogliere informazioni da questo sito senza il nostro esplicito consenso scritto.
    Ogni comunicazione e diffusione al pubblico e ogni riproduzione parziale o integrale, se non effettuata a scopo meramente personale, dei contenuti presenti nel sito richiede la preventiva autorizzazione di Morri Rossetti e Associati.


    Morri Rossetti S.t.p. S.r.l.

    Sede legale: Piazza Eleonora Duse, 2 - 20122 Milano
    Codice Fiscale/Partita IVA 04110250968
    Registro delle Imprese di Milano n. 04110250968
    Capitale Sociale 100.000,00 i.v.
    cross