La proposta tedesca di riforma del Regolamento generale sulla protezione dei dati si inserisce nel più ampio progetto europeo “Digital Omnibus IV–V”, un’iniziativa volta a ridurre gli oneri burocratici e a rendere la compliance più proporzionata alla realtà delle imprese. L’obiettivo ambizioso è quello di tagliare del 25% gli obblighi amministrativi per le aziende e del 35% per le piccole e medie imprese. La Germania, in questo contesto, suggerisce una revisione del GDPR che privilegi la sostanza rispetto alla forma, con un approccio più pragmatico e meno gravoso.
Un nuovo paradigma nella gestione dei dati
Secondo la visione di Berlino, non tutti i trattamenti meritano lo stesso livello di controllo. Le attività a basso rischio, come la gestione di elenchi clienti o comunicazioni interne, dovrebbero essere esentate dagli obblighi più complessi previsti oggi dal GDPR. Il cuore della riforma è quindi il principio di proporzionalità: la protezione dei dati deve basarsi sull’effettivo rischio per gli interessati, non su adempimenti uguali per tutti. In questo modo la normativa potrebbe trasformarsi da fardello burocratico a strumento di gestione consapevole e flessibile.
Tra le modifiche più significative proposte dalla Germania spicca la semplificazione delle informative: queste potrebbero essere fornite tramite link o QR code, rendendo i testi più agili e comprensibili. Il consenso verrebbe chiarito come una delle basi legittime del trattamento, ma non la principale, superando interpretazioni eccessivamente formalistiche che negli anni hanno complicato la vita delle imprese.
Equilibrio tra semplificazione e tutela
Un altro aspetto riguarda la gestione delle richieste di accesso ai dati, spesso strumentali o eccessive: il titolare potrebbe respingere quelle abusive o chiedere un contributo spese minimo. Inoltre, le deroghe per il trattamento dei dati sanitari verrebbero estese anche ai volontari della protezione civile e ai soccorritori, per garantire coerenza con il principio di parità di trattamento rispetto ai lavoratori dipendenti. Le organizzazioni senza scopo di lucro e le microimprese, infine, godrebbero di esenzioni parziali in base alla natura e all’impatto delle loro attività.
Questa prospettiva di semplificazione, se da un lato promette efficienza e competitività, dall’altro apre un confronto delicato. Un alleggerimento eccessivo rischia infatti di minare la tutela dei diritti fondamentali e di generare disparità interpretative tra Stati membri. La vera sfida sarà mantenere saldo il principio di responsabilità, cardine del GDPR, in un contesto normativo più flessibile e meno uniforme.
Prospettive per imprese e professionisti
La Commissione europea esaminerà la proposta entro il 2025, nell’ambito della revisione complessiva dell’ecosistema digitale che include anche AI Act, Data Act e Digital Services Act. Se approvata, la riforma segnerebbe l’avvio di un “GDPR 2.0”. Un’evoluzione adattata al tempo dell’intelligenza artificiale e della gestione dei dati transnazionali. Per imprese, consulenti e DPO, significherebbe ripensare i modelli di compliance e aggiornare le politiche interne, passando da un approccio di mera osservanza a uno di reale valutazione del rischio.
In prospettiva, il pacchetto “Digital Omnibus” potrebbe rappresentare il ponte tra il primo ciclo regolatorio del digitale europeo e la nuova fase della governance dei dati. Se ben calibrata, questa riforma potrebbe conciliare libertà d’impresa e diritti individuali, restituendo al GDPR la sua funzione originaria e facendolo tornare alleato dell’innovazione.
