Nel cuore delle istituzioni europee si prepara una riforma potenzialmente epocale: la semplificazione del Regolamento generale sulla protezione dei dati (GDPR). A distanza di sette anni dalla sua entrata in vigore, il pilastro della protezione dei dati personali in Europa rischia di finire sotto la scure della Commissione Europea, nel contesto più ampio di una campagna di “alleggerimento normativo” voluta dalla presidente Ursula von der Leyen. L’obiettivo? Rendere il quadro regolatorio europeo più favorevole alla competitività, in particolare per le piccole e medie imprese (PMI), senza rinunciare ai principi fondamentali su cui il GDPR si fonda.

Incredibilmente, quindi, disposizioni di legge come quelle contenute nel GDPR, sino ad oggi ritenute intoccabili, potrebbero presto subire importanti modifiche. Vediamo, di seguito, che cosa potrebbe cambiare all’atto pratico.

Verso un GDPR rinnovato: la pressione competitiva e la spinta alla semplificazione

Nel confronto globale con le economie di USA e Cina, l’Unione Europea sconta una rigidità normativa che secondo autorevoli voci, tra cui quella dell’ex premier italiano Mario Draghi, rischia di soffocare l’innovazione e rallentare la crescita tecnologica. In questo contesto, il GDPR è percepito da molti attori economici come una delle normative più onerose in termini di compliance, con obblighi documentali, valutazioni d’impatto e gestione dei diritti degli interessati che gravano in particolare sulle imprese meno strutturate.

Il commissario europeo alla Giustizia, Michael McGrath, ha confermato l’intenzione della Commissione di presentare entro giugno una proposta concreta di semplificazione. L’attenzione sarà rivolta soprattutto agli obblighi documentali per le organizzazioni con meno di 500 dipendenti, come la tenuta dei registri delle attività di trattamento o le modalità di redazione delle valutazioni d’impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment), ritenute eccessivamente complesse per molte PMI.

Una riforma ad alto rischio: lobbying e diritti fondamentali

Nonostante la volontà politica dichiarata, la revisione del GDPR si annuncia tutt’altro che semplice. Toccare una normativa che ha stabilito uno standard nella protezione dei dati personali significa riaprire una battaglia politica e mediatica senza precedenti. Le grandi aziende tecnologiche da un lato e le organizzazioni che operano a tutela dei diritti digitali dall’altro, sono già pronte a mobilitarsi per difendere i propri interessi.

L’esperienza passata insegna: durante la fase di elaborazione del GDPR, il Parlamento Europeo ricevette oltre 3.000 emendamenti, in quella che fu una delle più intense campagne di lobbying nella storia di Bruxelles. Riaprire il regolamento, anche solo per “snellirlo”, potrebbe scatenare una nuova ondata di pressioni che rischia di minare l’equilibrio raggiunto con fatica.

Riaprire la questione GDPR per semplificare le norme è quindi un’operazione rischiosa, anche se mossa dalle migliori intenzioni. Il timore diffuso tra le organizzazioni che difendono la privacy è che una riforma, per quanto mirata, possa diventare il cavallo di Troia per un indebolimento sostanziale delle garanzie offerte ai cittadini europei.

Max Schrems, attivista austriaco e figura di spicco nelle battaglie legali per la privacy, osserva che qualunque modifica che dovesse minacciare l’essenza del GDPR potrebbe comunque essere annullata dalla Corte di Giustizia dell’Unione Europea.

Prospettive future: evoluzione o involuzione?

La Commissione ha già anticipato che la semplificazione non toccherà gli obiettivi fondamentali del GDPR, ma si concentrerà su aspetti procedurali e amministrativi, nel tentativo di migliorare la proporzionalità e l’efficienza della normativa. Tuttavia, il confine tra semplificazione e deregolamentazione resta sottile.

In parallelo, l’Unione sta lavorando su una nuova normativa procedurale per rafforzare il coordinamento tra le Autorità di protezione dei dati nei casi transfrontalieri, segno che, nonostante le pressioni, l’ambizione di garantire un elevato standard di tutela resta intatta.

