La Commissione europea offrirà sollievo alle piccole società a metà capitalizzazione gravate dall’attuale ambito del regolamento generale sulla protezione dei dati (GDPR) in un pacchetto di semplificazione di regola noto come Omnibus che sarà pubblicato mercoledì, secondo un documento di lavoro visto da EuroneWS.
Attualmente, le aziende con meno di 250 dipendenti sono esenti dalle regole sulla privacy dei dati per ridurre i loro costi amministrativi, la Commissione ora propone di estendere questa deroga alle cosiddette piccole società a capitalizzazione.
Le piccole aziende a metà capitalizzazione possono impiegare fino a 500 dipendenti e effettuare fatturati più elevati. In base al piano – il quarto omnibus della Commissione – tali società dovranno tenere un registro dell’elaborazione dei dati degli utenti quando è considerato “alto rischio”, ad esempio informazioni mediche private.
Il cambiamento arriva sette anni dopo che il GDPR è entrato in vigore. Da allora il libro delle regole ha protetto i dati dei consumatori dai giganti della tecnologia statunitense, ma è anche percepito come oneroso per le aziende più piccole e di medie dimensioni che spesso non avevano i mezzi per assumere avvocati di protezione dei dati.
La più grande multa rilasciato Secondo le regole finora sono stati di € 1,2 miliardi sul gigante della tecnologia statunitense Meta: l’Irish Data Protection Authority ha multato la società nel 2023 per trasferimenti di dati non validi.
Sebbene le multe siano generalmente inferiori per le piccole imprese, fino a € 20 milioni o il 4% del fatturato annuo rimangono significative.
Nei Paesi Bassi, ad esempio, VoetBaltv, una piattaforma video per le partite di calcio amatoriale, è stata multata di € 575.000 dal regolatore della privacy olandese nel 2018. Sebbene la società abbia fatto appello e la Corte ha annullato la multa, ha dovuto presentare istanza di fallimento.
Multe più basse
Sia il legislatore dell’UE Axel Voss (Germania/EPP), che è stato coinvolto nella guida della legislazione attraverso il Parlamento europeo, sia l’attivista della privacy austriaca Max Schrems, la cui organizzazione NOYB ha presentato numerosi denunce di protezione dei dati con i regolatori, chiamato Per regole diverse per le aziende più piccole all’inizio di quest’anno.
Secondo il piano, il 90% delle aziende-piccoli rivenditori e produttori-avrebbe solo compiti minori di conformità e non avrebbero più bisogno di un responsabile della protezione dei dati interni, nessuna documentazione eccessiva e multe amministrative più basse, limitato a € 500.000.
Voss ha affermato che la sua proposta non indebolirà gli standard sulla privacy dell’UE, ma lo renderebbe “più applicabile e più proporzionato”.
Chiamate simili provengono dagli Stati membri: il nuovo governo tedesco ha sottolineato nella sua coalizione piano che funzionerà a livello dell’UE per garantire che “le attività non commerciali (ad esempio, le associazioni), le piccole e medie imprese e l’elaborazione dei dati a basso rischio siano esenti dall’ambito del GDPR”.
Preoccupazioni dalla società civile
Al contrario, la società civile e i gruppi di consumatori hanno avvertito che il piano della Commissione per alleviare le regole del GDPR potrebbe avere conseguenze non intenzionali.
Martedì, il gruppo di difesa della privacy Edri ha dichiarato in aperto Letter Il fatto che il cambiamento rischi di “indebolire le principali salvaguardie di responsabilità” facendo dipendere dagli obblighi di protezione dei dati dalla dimensione dell’azienda piuttosto che dal rischio effettivo per i diritti delle persone. Teme anche che ciò possa portare a un’ulteriore pressione per ripristinare altre parti del GDPR.
I sostenitori dei consumatori condividono preoccupazioni simili, in una lettera di fine aprile, il gruppo di consumatori pan-europeo Beuc ha avvertito che anche le piccole aziende possono causare gravi danni a causa delle violazioni dei dati. Ha sostenuto che l’uso del personale o il fatturato come base per le esenzioni potrebbe creare incertezza legale e andare contro i diritti fondamentali dell’UE.
Entrambi i gruppi affermano che l’attenzione dovrebbe invece essere su una migliore applicazione delle regole esistenti e un supporto più pratico per le piccole aziende.
Talk paralleli sulle regole di applicazione del GDPR
Nel frattempo le riforme della legge sulla privacy dei dati sono in fase di negoziazione tra il Consiglio e il Parlamento europeo. Si prevede che un nuovo giro di discussioni politiche sulla regolamentazione procedurale del GDPR si svolgerà mercoledì.
Le istituzioni dell’UE stanno tentando di finalizzare un accordo tanto atteso per migliorare la cooperazione tra le autorità nazionali di protezione dei dati. Il regolamento ha lo scopo di affrontare ritardi e incoerenze nel modo in cui i casi transfrontalieri vengono gestiti ai sensi del GDPR, armonizzando procedure e tempistiche.
Secondo gli esperti che hanno familiarità con il file, uno dei principali punti di attacco è se introdurre scadenze vincolanti per le autorità nazionali per agire sui reclami. Mentre il parlamento ha spinto le tempistiche più chiare per accelerare l’applicazione, alcuni Stati membri sostengono che le scadenze fisse potrebbero sopraffare le autorità e aumentare i rischi legali.
Questa modifica non dovrebbe tuttavia influire sul 4 ° pacchetto omnibus della Commissione.
Image:Getty Images
