La Commissione europea sta valutando una revisione del GDPR per alleggerire gli oneri di compliance sulle piccole imprese e favorire lo sviluppo dell’intelligenza artificiale. Per gli studi legali che assistono clienti in materia di protezione dei dati, questo significa rivedere i modelli di consulenza e anticipare i cambiamenti prima che diventino vincolanti. La finestra temporale tra proposta e adozione è quella giusta per aggiornare le policy e i contratti già in essere.
Punti chiave
- Punto 1 — La Commissione UE valuta semplificazioni GDPR per PMI e sistemi di intelligenza artificiale.
- Punto 2 — Le basi giuridiche del trattamento dati per finalità AI potrebbero essere ampliate rispetto all’art. 6 GDPR.
- Punto 3 — Gli studi devono aggiornare subito i contratti DPA e le informative dei clienti esposti al cambiamento.
Per gli studi che curano la compliance privacy di PMI o aziende tech, il segnale che arriva da Bruxelles vale più di qualsiasi aggiornamento formale: le regole del GDPR potrebbero cambiare nella sostanza, non solo nella forma. Anticipare la direzione della revisione significa evitare di consegnare ai clienti documenti già superati nel giro di pochi mesi.
La Commissione europea ha avviato una riflessione strutturata su una revisione del Regolamento (UE) 2016/679 — il GDPR — con l’obiettivo dichiarato di ridurre gli oneri burocratici per le imprese, in particolare le PMI, e di creare un quadro più compatibile con lo sviluppo dell’intelligenza artificiale. Lo riporta Diritto.it.
Il contesto normativo
Il GDPR, applicabile dal 25 maggio 2018 in tutti gli Stati membri, fissa all’art. 6 le basi giuridiche del trattamento: consenso, contratto, obbligo legale, interesse vitale, interesse pubblico e interesse legittimo. Proprio quest’ultima base — l’interesse legittimo ex art. 6, par. 1, lett. f) — è quella su cui si concentra il dibattito: la sua applicazione ai trattamenti connessi all’AI è controversa e le linee guida dell’EDPB (European Data Protection Board) del 2024 sull’AI generativa hanno confermato la tensione interpretativa. Parallelamente, il Reg. (UE) 2024/1689 — AI Act — impone obblighi di trasparenza e gestione del rischio che si sovrappongono parzialmente al GDPR, creando zone grigie operative che i clienti chiedono già di chiarire.
Cosa cambia per lo studio
- I contratti di Data Processing Agreement (DPA) ex art. 28 GDPR stipulati con fornitori di servizi AI andranno probabilmente rinegoziati: inserisci già ora clausole di adeguamento automatico in caso di modifica normativa.
- Le informative sul trattamento dati (art. 13 e 14 GDPR) dei clienti che usano strumenti AI generativa sono oggi incomplete se non indicano le finalità di addestramento dei modelli: segnalalo subito e proponi un aggiornamento.
- Le PMI potrebbero beneficiare di esenzioni o soglie semplificate per il Registro dei trattamenti (art. 30 GDPR): monitora la proposta formale della Commissione e tieniti pronto a riadattare la documentazione già predisposta.
- L’AI Act impone una valutazione del rischio per i sistemi ad alto rischio che si integra — ma non sostituisce — la DPIA ex art. 35 GDPR: i clienti che già usano questi strumenti hanno bisogno di una valutazione coordinata dei due regimi.
- Se assisti startup o scale-up tech, verifica se rientrano nella definizione di PMI che potrebbe beneficiare della flessibilità annunciata: la soglia standard UE è sotto i 250 dipendenti e 50 milioni di euro di fatturato.
Attenzione a
Il rischio più concreto è consigliare ai clienti di allentare la compliance in attesa della revisione. Fino a quando il GDPR non cambia formalmente, le sanzioni del Garante restano intatte: il Garante italiano ha irrogato nel solo 2023 sanzioni per oltre 10 milioni di euro, con procedimenti ancora aperti. Rilassare i presidi oggi, in attesa di una riforma ancora in fase consultiva, espone i clienti a responsabilità concrete.
Secondo rischio: confondere la flessibilità annunciata con una deregolamentazione dei diritti degli interessati. La direzione europea punta a semplificare gli adempimenti formali per le imprese, non a ridurre i diritti di accesso, rettifica e cancellazione ex artt. 15-17 GDPR. Qualsiasi consulenza che vada in quella direzione è fuori bersaglio e potenzialmente dannosa per il cliente.
Domande frequenti
Il GDPR sarà modificato per le imprese che usano intelligenza artificiale?
La Commissione europea ha avviato una riflessione formale su una revisione del GDPR per ridurre gli oneri sulle PMI e rendere il quadro normativo più compatibile con l’AI Act (Reg. UE 2024/1689). Nessuna modifica è ancora vigente: fino all’adozione di un testo formale, il GDPR si applica integralmente con tutte le sanzioni previste.
Come si coordina il GDPR con l’AI Act per i trattamenti di dati personali?
L’AI Act impone valutazioni del rischio per i sistemi ad alto rischio, mentre il GDPR richiede la DPIA ex art. 35 quando un trattamento presenta rischi elevati per gli interessati. I due obblighi si sovrappongono ma non si sostituiscono: un’azienda che usa AI ad alto rischio deve condurre entrambe le valutazioni, coordinando le due procedure in un unico documento integrato.
Le PMI possono già beneficiare di esenzioni GDPR sui registri dei trattamenti?
L’art. 30, par. 5, GDPR prevede già un’esenzione dall’obbligo del Registro dei trattamenti per le organizzazioni con meno di 250 dipendenti, salvo che il trattamento sia non occasionale, riguardi dati sensibili o comporti rischi per i diritti degli interessati. Nella pratica, la quasi totalità delle PMI non può applicare l’esenzione: meglio verificare caso per caso prima di escludere il Registro.
Fonte di riferimento: Diritto.it