come si cambia per non morire

Il 12 settembre 2023, la Commissione Europea ha presentato il pacchetto di misure di sostegno alle PMI, con l’obiettivo dichiarato di rafforzare la loro capacità di competere e crescere, nonché di rispondere in modo mirato alle esigenze delle imprese che superano le soglie tradizionali della definizione di PMI, e delle piccole imprese a media capitalizzazione. In tale ambito, nell’Azione 18 del pacchetto di misure, è stato sottolineato l’impegno della Commissione a sviluppare una definizione armonizzata per le piccole imprese a media capitalizzazione, a costruire un insieme di dati basati su tale definizione e a valutare possibili misure di supporto alla crescita di queste imprese, inclusa l’applicazione adattata di alcune misure già in essere per le PMI.

Il 21 maggio è stata resa pubblica la proposta di accompagnare lo scaling delle imprese, con particolare attenzione ai settori chiave. L’attuale definizione di PMI, che comprende imprese con meno di 250 dipendenti, verrebbe ampliata, includendo imprese di dimensioni fino a tre volte superiori, cioè nella fascia compresa tra 250 e 749 dipendenti. In questo modo, la Commissione intende agevolare una transizione più fluida delle PMI in piccole imprese a media capitalizzazione compreso anche un numero maggiore di aziende sotto il regime delle misure di sostegno.

Tra le modifiche l’introduzione della definizione di Microimprese, piccole e medie imprese e Imprese a media capitalizzazione di piccole dimensioni all’interno dell’art. 4 relativo alle definizioni del GDPR.

La Commissione ha previsto una modifica all’articolo 30.5 con la proposta di abolire l’obbligo di predisposizione e tenuta del registro delle attività di trattamento per le organizzazioni con meno di 750 dipendenti. Attualmente, l’obbligo si applica alle organizzazioni con meno di 250 dipendenti, a condizione che il trattamento dei dati non comporti rischi significativi. La proposta punta a semplificare gli obblighi burocratici per le PMI e le imprese a media capitalizzazione, riducendo gli oneri amministrativi per queste realtà economiche, a meno che il trattamento dei dati non comporti rischi elevati per i diritti degli interessati e non sia soggetto all’obbligo di valutazione di impatto. Un’ulteriore modifica riguarda gli articoli 40.1 e 42, in particolare, la proposta prevede che gli Stati membri, le autorità di controllo e la Commissione incoraggino l’elaborazione di codici di condotta e l’istituzione di meccanismi di certificazione che tengano conto delle esigenze specifiche delle micro, piccole e medie imprese, nonché delle imprese a media capitalizzazione di piccole dimensioni.

Nonostante l’intento della Commissione Europea di semplificare la regolamentazione per le PMI e le imprese a media capitalizzazione, le modifiche proposte sollevano diverse questioni critiche, tanto sul piano pratico quanto su quello teorico. L’inclusione delle imprese a media capitalizzazione di piccole dimensioni nella definizione di PMI e la semplificazione delle norme sul registro delle attività di trattamento potrebbero non rispondere in modo adeguato alle reali esigenze di sicurezza e protezione dei dati, soprattutto alla luce della crescente complessità tecnologica e delle minacce cibernetiche.

Sebbene le PMI siano storicamente svantaggiate in termini di risorse, è necessario riconoscere che la parità tecnologica tra PMI e grandi imprese è un concetto che la proposta di riforma non sembra considerare pienamente. Se, da un lato, le PMI sono oggettivamente svantaggiate in termini di risorse rispetto alle grandi imprese, dall’altro la parità di rischio non dipende solo dalle dimensioni aziendali, ma dalla tipologia e intensità dei dati trattati. Non è più solo la tipologia di dati a determinare i rischi; l’intensità del trattamento e il volume dei dati trattati, specie nel contesto della digitalizzazione e della crescita dei dati in tempo reale, pongono le PMI di fronte a sfide simili a quelle delle grandi imprese. In questo contesto, la semplificazione del registro delle attività di trattamento che esonera le imprese con meno di 750 dipendenti salvo rischio elevato, potrebbe rivelarsi più un ostacolo che un aiuto. La sua abolizione, sebbene intesa a ridurre gli oneri burocratici, rischia di compromettere proprio quella capacità di monitorare e documentare correttamente i trattamenti, un aspetto essenziale per garantire la compliance al GDPR e proteggere i diritti degli interessati.

Il concetto di semplificazione normativa come applicato dalla Commissione trae storicamente origine da logiche di deburocratizzazione e defiscalizzazione, che intendono ridurre gli adempimenti, (e in questo, contesto senza entrare nel merito delle reali necessità di protezione dei dati). Tali misure, potrebbero apparire insufficienti per affrontare la crescente complessità tecnologica e le minacce cibernetiche cui le PMI e le imprese a media capitalizzazione sono quotidianamente esposte. La proposta di modificare gli articoli 40 e 41, relativi ai codici di condotta e alle certificazioni, sembra rientrare in questa stessa logica di semplificazione passiva. Se da un lato si riconosce la necessità di comprendere le PMI nei meccanismi di autoregolamentazione, dall’altro non vi è un chiaro riferimento alla necessità di misure proattive che rispondano alle specifiche vulnerabilità delle piccole e medie imprese.

Il modello regolatorio europeo, così come configurato attualmente, ha definitivamente abbandonato la tradizionale logica di semplificazione standardizzata a favore di un sistema di compliance sostanziale. Le misure di semplificazione che una volta avevano come obiettivo quello di facilitare l’accesso delle PMI agli obblighi normativi, cede ora il passo a un sistema che assegna priorità alla protezione dei dati, alla sicurezza delle informazioni e alla resilienza operativa. Sebbene la semplificazione continui ad essere necessaria, questa non può più ridursi ad una semplice riduzione degli oneri burocratici; essa deve essere produttiva, quindi orientata a garantire strumenti che consentano alle PMI di proteggere i dati e adattarsi agli imperativi di sicurezza digitale. Lo dimostra, tra l’altro, il recente recepimento della Direttiva NIS 2 che non opera – in taluni settori – una differenza di categoria.

La crescente complessità normativa impone l’impiego di competenze specializzate che inevitabilmente gravano sulle PMI in termini di oneri e costi. Le conseguenze della tecnologia e i relativi trattamenti di dati, che inevitabilmente generano nuove forme di rischio non sono più prevedibili, in quanto variano notevolmente in base al contesto di implementazione e alla natura dei dati trattati. In questo scenario, la semplificazione non può più limitarsi ad una riduzione delle formalità, ma deve prevedere un adeguamento sostanziale della normativa attraverso misure che supportino le PMI nel garantire una compliance efficace e nel mitigare i rischi legati alla protezione dei dati. in particolare, in un ambiente in cui la crescente digitalizzazione e la proliferazione delle minacce cibernetiche pongono sfide sempre più complesse. Tale evoluzione normativa dovrebbe essere finalizzata a promuovere un’economia basata sui dati, come delineato dalle strategie dell’Unione Europea, che intende sviluppare un ecosistema digitale robusto, sicuro e inclusivo, in cui le PMI possano operare con gli stessi standard di protezione delle grandi imprese.

Copyright © – Riproduzione riservata