In concomitanza con il nono anniversario del GDPR e il settimo dalla sua piena applicazione, la Commissione europea ha reso noto di star lavorando a una nuova proposta di modifica del Regolamento con l’obiettivo di sostenere la crescita delle organizzazioni e mitigare gli oneri amministrativi per le PMI.
Le modifiche riguardano, nello specifico, una serie di semplificazioni in merito a determinate definizioni (relativamente alle imprese), adempimenti burocratici ma soprattutto un vincolo da sempre al centro della normativa: quello legato alla tenuta del “registro delle attività di trattamento” (art. 30), prevedendo di abolirne l’obbligo per quelle organizzazioni che impiegano meno di 750 persone, salvo casi specifici.
La possibile abolizione del registro dei trattamenti sembra essere destinato a diventare il nuovo “pomo della discordia” poichè, se davvero dovesse diventare realtà, rischierebbe di causare conseguenze significative sulle valutazioni di impatto e di svilire il ruolo stesso del DPO. Lo ha confermato l’Avv. Andrea Lisi in un intervento sul suo profilo Linkedin ripreso dall’Avv. Chiara Ponti su Cybersecurity360.
“Semplificazione che non sia semplicismo” le parole dell’Avv. Andrea Lisi
“Ho visto che è stata pubblicata la prima bozza di regolamento di riforma del GDPR. Sull’onda del semplicismo (che purtroppo non è semplificazione) si richiede di riformulare il 5º paragrafo dell’art. 30 che notoriamente riduceva a sporadica eccezione l’esenzione dall’obbligo di dotarsi dei registri dei trattamenti, essenziale strumento di compliance. Ora mi/vi chiedo, come si fa ad effettuare un’analisi del rischio e una valutazione approfondita, come prevista nell’articolo 35, senza aver mappato documentalmente i trattamenti effettuati? […] È vero che troppo spesso vedo curiosi registri di trattamento che sono frutto di autocompilazioni fornite da “miracolosi” software di “compliance privacy“, i quali finiscono per svilire l’utilità di questo strumento operativo che può essere un grandissimo alleato per noi DPO, se pervasivo e proattivo nella sua formulazione. Ma pensare che la soluzione del problema sia eliminarlo del tutto è davvero svilente e tristemente esilarante. Spero che sia corretta questa macroscopica svista.“
Puoi leggere il contributo completo su Cybersecurity360: