Il principio di accountability, inteso nella sua accezione tecnica di responsabilizzazione dimostrabile, mutuata dalla tradizione anglosassone di governance aziendale e declinata nel diritto europeo della protezione dei dati, costituisce l’asse portante del Regolamento (UE) 2016/679.
Non si tratta di un principio tra gli altri: è il meccanismo che consente al GDPR di funzionare come sistema autoregolato, in cui i titolari del trattamento non attendono un controllo esterno per conformarsi, ma sono tenuti a costruire e documentare internamente la propria conformità in modo tale che essa possa essere verificata in qualsiasi momento dall’autorità di controllo.
L’articolo 5, paragrafo 2, del Regolamento sancisce questa struttura con nettezza, il titolare del trattamento è competente per il rispetto dei principi e deve essere in grado di comprovarlo.
L’articolo 30 impone la tenuta di un registro delle attività di trattamento che è lo strumento operativo principale attraverso cui il principio di accountability si traduce in una pratica verificabile. Esso è la rappresentazione sistematica del trattamento che un titolare fa con i dati delle persone che vi sono sottoposte, delle finalità perseguite, delle basi giuridiche invocate, dei tempi di conservazione, delle misure di sicurezza adottate, dei destinatari e dei trasferimenti verso paesi terzi. La sua funzione è biunivoca, infatti il registro deve essere messo a disposizione dell’autorità di controllo su richiesta, ai sensi dell’articolo 30, paragrafo 4, ma costituisce anche il presupposto logico e operativo per ogni successiva valutazione di rischio, per la conduzione di eventuali DPIA e per l’esercizio dei diritti degli interessati.
L’analisi muove dalla constatazione che la proposta di modifica dell’articolo 30, paragrafo 5, contenuta nel quarto pacchetto di semplificazione Omnibus – la proposta di regolamento COM(2025)0501, approvata in prima lettura dalla commissione congiunta ECON-ENVI-LIBE del Parlamento europeo il 25 febbraio 2026 – non sia una semplificazione procedurale di portata limitata. Si sostiene che essa produce uno spostamento strutturale nei confini dell’obbligo di accountability che incide sul diritto fondamentale alla protezione dei dati in modo non proporzionato agli obiettivi di semplificazione dichiarati e che le modifiche introdotte dal Parlamento europeo rispetto alla proposta originale della Commissione, pur migliorative, non eliminano le aporie di fondo che la revisione dell’articolo 30 porta con sé.
Indice degli argomenti
La disciplina vigente sulla tenuta di un registro delle attività di trattamento
L’articolo 30 in commento, nella sua versione vigente, dispone che l’obbligo di tenuta del registro non si applica alle imprese o organizzazioni con meno di 250 dipendenti, salvo che il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato oppure il trattamento non sia occasionale oppure includa il trattamento di categorie particolari di dati ai sensi dell’articolo 9, paragrafo 1, o di dati relativi a condanne penali e reati ai sensi dell’articolo 10.
La struttura logica di questa disposizione è quella di un’esenzione tripartita, costruita su tre condizioni alternative, non cumulative, che fanno scattare l’obbligo anche per le organizzazioni sotto la soglia dimensionale. Le tre condizioni rispecchiano altrettante ragioni di rilevanza del trattamento dal punto di vista della tutela degli interessati: la rischiosità intrinseca del trattamento, la non occasionalità che implica un’attività sistematica e, quindi, meritevole di documentazione e la particolare sensibilità delle categorie di dati trattati. L’esenzione, in altri termini, non è strutturata sul solo criterio dimensionale, ma su una combinazione di criteri dimensionali e qualitativi che riflette una valutazione sostanziale del rischio per i diritti fondamentali.
Vale la pena sottolineare che il Garante per la protezione dei dati personali italiano, così come l’EDPB nel suo documento interpretativo del 19 aprile 2018, ha raccomandato la tenuta del registro a tutti i titolari e responsabili del trattamento, indipendentemente dall’applicabilità dell’esenzione, qualificandolo come strumento che contribuisce a meglio attuare il principio di accountability. Questa raccomandazione ha un alto rilievo interpretativo poiché segnala che la funzione del registro trascende il profilo dell’adempimento obbligatorio e attiene alla corretta gestione sistemica dei dati personali, alla quale sono chiamati tutti i titolari, indipendentemente dalla propria dimensione.
La proposta della Commissione e le sue implicazioni
La proposta COM(2025)0501, nella sua versione originaria, modifica l’articolo 30, paragrafo 5, del GDPR su due estensioni principali e correlate.
La soglia dimensionale e l’estensione dell’esenzione
La prima è dimensionale: la soglia per l’accesso all’esenzione viene innalzata da 250 a 750 dipendenti, con un’estensione dell’ambito applicativo della deroga che triplica il perimetro soggettivo originario. La Commissione motiva questa scelta con la necessità di estendere alle cosiddette small mid-cap enterprises (imprese che hanno superato la soglia delle PMI ma restano significativamente al di sotto delle grandi imprese) le misure di mitigazione già previste per le PMI, in conformità agli obiettivi dell’agenda di semplificazione normativa e alle raccomandazioni dei rapporti Draghi e Letta sulla competitività europea.
Il passaggio dal rischio generale al rischio elevato
La seconda dimensione è qualitativa ed è più significativa della prima sotto il profilo della tutela dei diritti. La proposta modifica il contenuto delle condizioni che azzerano l’esenzione; laddove il testo vigente fa riferimento a trattamenti che possano presentare un rischio per i diritti e le libertà degli interessati con una formula volutamente ampia che include anche rischi non elevati, la proposta della Commissione restringe la condizione ai soli trattamenti likely to result in a high risk, corrispondente alla nozione di rischio elevato ai sensi dell’articolo 35, cioè la soglia che impone la conduzione di una DPIA. Contestualmente, la proposta elimina le altre due condizioni alternative (la non occasionalità del trattamento e il trattamento di categorie particolari di dati) riducendo il contenuto delle eccezioni a un unico criterio, quello del rischio elevato ex articolo 35.
L’EDPB e l’EDPS, nel parere congiunto adottato il 9 luglio 2025, hanno segnalato con precisione che questa seconda dimensione di modifica è più incisiva dell’innalzamento della soglia dimensionale. La rimozione della condizione relativa alla non occasionalità del trattamento significa, in concreto, che un’impresa con 600 dipendenti che tratta sistematicamente i dati dei propri clienti o utenti potrebbe essere esonerata dall’obbligo di tenere un registro, in assenza di trattamenti classificabili come ad alto rischio ai sensi dell’articolo 35. La rimozione della condizione relativa ai dati di categoria particolare ai sensi dell’articolo 9, nella misura in cui il considerando introdotto dalla proposta esclude dal rischio elevato i trattamenti di dati relativi a salute o appartenenza sindacale condotti in adempimento di obblighi di diritto del lavoro, amplifica ulteriormente questa lacuna, aprendo la possibilità che trattamenti di dati sensibili, sistematici e di rilevante impatto individuale restino privi di documentazione obbligatoria.
Si ritiene che questa struttura produca una dissociazione tra la dimensione organizzativa dell’impresa – misurata attraverso il numero di dipendenti – e la dimensione del rischio per gli interessati, misurata attraverso la natura e la sistematicità del trattamento. Una dissociazione che il testo vigente aveva intenzionalmente evitato, costruendo la soglia dimensionale come criterio presuntivo suscettibile di essere superato dalla rilevanza qualitativa del trattamento.
Le modifiche del Parlamento europeo: un miglioramento strutturalmente insufficiente
Il voto del 25 febbraio 2026 della commissione congiunta ECON-ENVI-LIBE ha introdotto modifiche significative rispetto alla proposta della Commissione che meritano un’analisi distinta, poiché non si tratta di variazioni marginali, ma di interventi che alterano in parte la logica della proposta.
Nuova soglia e definizione di mid-cap enterprise
Il Parlamento ha innalzato ulteriormente la soglia dimensionale, portandola a 1000 dipendenti, e ha modificato la definizione di mid-cap enterprise per includervi le imprese con meno di 1000 dipendenti e un fatturato non superiore a 200 milioni di euro o un totale di bilancio non superiore a 172 milioni di euro. Questa modifica amplia la platea dei potenziali beneficiari rispetto alla proposta della Commissione, ma introduce anche un criterio combinato (dimensionale e finanziario) che riconnette la soglia alla realtà economica dell’impresa in modo più articolato del solo numero di dipendenti.
Recupero parziale dei criteri qualitativi
Su aspetti più rilevanti sotto il profilo della tutela, il Parlamento ha operato due correzioni di sostanza. La prima è il recupero parziale della struttura tripartita dell’esenzione originaria, infatti il testo approvato in commissione prevede che l’obbligo di registro resti operativo non solo per i trattamenti ad alto rischio ex articolo 35, ma anche per le attività core che richiedono la designazione del DPO ai sensi dell’articolo 37, paragrafo 1, lettere b) e c), ossia i trattamenti che per natura, portata o finalità richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o che consistono nel trattamento su larga scala di categorie particolari di dati. Questa integrazione recupera, almeno in parte, la logica di tutela che la proposta della Commissione aveva eliminato, ancorandola non più al criterio qualitativo generico della rischiosità, ma alla categoria operativa dell’attività di core business che giustifica la designazione obbligatoria del DPO.
Esclusione delle pubbliche amministrazioni dalla deroga
La seconda correzione riguarda l’esclusione delle pubbliche amministrazioni dall’esenzione: il testo parlamentare chiarisce espressamente che la deroga non si applica alle autorità e agli organismi pubblici, in linea con le raccomandazioni dell’EDPB e dell’EDPS, che avevano segnalato come l’estensione della deroga agli enti pubblici sarebbe stata in contrasto con i vincoli di accountability che il GDPR impone specificamente a questi soggetti, tra cui l’obbligo di designare un DPO ai sensi dell’articolo 37, paragrafo 1, lettera a).
Queste correzioni sono migliorative ed il loro peso non va sottostimato. Resta, tuttavia, irrisolto il problema di fondo che si sostiene essere il nucleo critico dell’intervento, ossia la scelta di operare attraverso una soglia dimensionale come criterio primario di esclusione dall’obbligo di accountability, anziché attraverso criteri fondati sulla natura, la sistematicità e l’impatto del trattamento. Anche nella versione parlamentare, un’impresa con 900 dipendenti che tratta in modo sistematico i dati comportamentali dei propri clienti per finalità di profilazione commerciale – senza che il trattamento raggiunga la soglia del rischio elevato ex articolo 35 e senza che esso costituisca l’attività core dell’impresa nel senso tecnico dell’articolo 37 – potrebbe essere esonerata dall’obbligo di registro. Questa è la situazione ordinaria di un’ampia categoria di imprese di medie dimensioni che operano nell’economia dei dati.
Il registro come infrastruttura epistemica dei diritti
Per valutare appieno le implicazioni della modifica proposta, è necessario considerare la funzione che il registro delle attività di trattamento svolge non solo nell’architettura della compliance, ma nel sistema complessivo di garanzia dei diritti degli interessati.
Il registro non è un documento che riguarda esclusivamente il rapporto tra il titolare del trattamento e l’autorità di controllo. È lo strumento attraverso cui il titolare acquisisce o dovrebbe acquisire piena consapevolezza di ciò che fa con i dati delle persone. Dalla prospettiva delle scienze cognitive applicate all’organizzazione aziendale, la costruzione e l’aggiornamento di una mappatura sistematica dei trattamenti è il presupposto per decisioni informate, posto che senza una rappresentazione strutturata dell’attività di trattamento, non è possibile condurre valutazioni di rischio accurate, individuare i trattamenti che richiedono una DPIA, verificare la corrispondenza tra le finalità dichiarate e quelle effettivamente perseguite o rispondere in modo completo e tempestivo alle richieste di esercizio dei diritti degli interessati.
In questo senso, il registro svolge ciò che in teoria dell’organizzazione e in epistemologia applicata alle istituzioni si definisce una funzione di organizational memory, una forma di conoscenza istituzionalizzata che non risiede nella testa di singoli individui, ma nella struttura documentale dell’organizzazione e che è accessibile, verificabile e trasmissibile indipendentemente dal turnover del personale o dalla frammentazione delle responsabilità interne. Esonerare un’organizzazione dall’obbligo di tenere questo documento non significa soltanto ridurre un costo di compliance, bensì significa rimuovere il presupposto per l’esercizio consapevole della responsabilità sul trattamento dei dati.
Si badi che la correlazione tra assenza del registro e limitazione effettiva dei diritti degli interessati è verificabile sul piano pratico. Un interessato che esercita il diritto di accesso ai sensi dell’articolo 15 del GDPR o il diritto di cancellazione ai sensi dell’articolo 17 oppure che intende verificare la base giuridica del trattamento a cui è sottoposto, dipende dalla capacità del titolare di rispondere in modo completo, accurato e tempestivo. Un titolare privo di un registro aggiornato delle proprie attività di trattamento è strutturalmente meno attrezzato a soddisfare queste richieste, non per malafede, ma per assenza di uno strumento che renderebbe sistematica la conoscenza interna del trattamento. Il diritto dell’interessato resta formalmente intatto; la sua effettività è ridotta.
Perché il criterio dimensionale indebolisce l’accountability GDPR
La scelta di ricorrere al numero di dipendenti come criterio principale per modulare l’intensità degli obblighi di accountability riflette una logica di proporzionalità che ha una sua razionalità perché le organizzazioni più piccole dispongono di risorse più limitate ed un obbligo di compliance uguale per tutte le imprese produce effetti distorsivi, pesando in modo sproporzionato sulle realtà più piccole. Questa logica è riconosciuta dal considerando 13 dello stesso GDPR che invita a tenere conto delle esigenze specifiche delle micro, piccole e medie imprese nella sua applicazione.
Tuttavia, il numero di dipendenti è un indicatore della dimensione organizzativa, non della dimensione del rischio per gli interessati. La correlazione tra le due dimensioni (quella organizzativa e quella del rischio) era già imperfetta nella versione originaria del GDPR, in cui la soglia dei 250 dipendenti era corretta, almeno in parte, dalle tre condizioni qualitative alternative che ne limitavano l’operatività. Con l’Omnibus IV, e in misura ancora più accentuata nella proposta originaria della Commissione rispetto al testo parlamentare, quella correzione viene attenuata, rendendo il criterio dimensionale sempre più preponderante rispetto ai criteri qualitativi.
Un’alternativa metodologicamente più coerente con la struttura del GDPR, il quale, non si dimentichi, costruisce l’intero impianto di obblighi sull’approccio basato sul rischio, sarebbe stata quella di modulare gli obblighi di registro in funzione di criteri compositi che includessero, accanto alla dimensione organizzativa, variabili qualitative come il volume dei dati trattati, la tipologia delle attività di trattamento, la natura delle relazioni con gli interessati e la presenza di trattamenti automatizzati con impatto significativo sulle persone. Modelli di questo tipo esistono già in altri ordinamenti, si pensi al California Consumer Privacy Act, nella versione modificata dal California Privacy Rights Act, che adotta un approccio multidimensionale che combina soglie di fatturato, volume di dati trattati e percentuale di ricavi derivanti dalla vendita di dati, riconoscendo che la dimensione privacy di un’impresa non coincide con la sua dimensione economica o occupazionale tradizionale. La LGPD, poi, brasiliana prevede analoga flessibilità, delegando all’autorità di controllo la definizione di norme semplificate calibrate non sulla dimensione, ma sulla natura dell’attività.
Il legislatore europeo ha scelto di non percorrere questa strada, preferendo la rapidità e la semplicità applicativa del criterio dimensionale. La scelta è politicamente comprensibile nel contesto dell’agenda di semplificazione, ma teoricamente fragile nella misura in cui non trova rispondenza nella logica interna del GDPR che è costruita sull’approccio basato sul rischio e non sulla dimensione dell’organizzazione.
Il trilogo e le questioni ancora aperte
Il voto del 25 febbraio 2026 ha autorizzato l’avvio dei negoziati interistituzionali (trilogo) tra Parlamento europeo, Consiglio e Commissione. Le posizioni delle tre istituzioni presentano divergenze su più punti della proposta ed il testo dell’Omnibus IV non è ancora nella sua forma definitiva.
Sul punto specifico dell’articolo 30, paragrafo 5, la posizione del Consiglio non è ancora consolidata al momento della stesura di questo contributo, ma le indicazioni circolate nelle sessioni di lavoro del secondo semestre 2025 suggeriscono una preferenza per una soglia intermedia – intorno ai 500 dipendenti, in linea con l’emendamento n. 97 presentato in sede parlamentare – con il mantenimento di condizioni qualitative di esclusione dall’esenzione più vicine a quelle del testo vigente. La posizione del Parlamento, fissata nel voto del 25 febbraio, si colloca a 1000 dipendenti con il sistema bipartito che prevede l’obbligo per i trattamenti ad alto rischio e per le attività core che richiedono il DPO. La proposta originaria della Commissione è a 750 dipendenti con il solo criterio del rischio elevato ex articolo 35.
Il trilogo si annuncia complesso ed il suo esito incerto. Ciò che si ritiene importante rilevare, ai fini dell’analisi giuridica, è che le tre posizioni istituzionali condividono una premessa che non è mai stata esplicitamente messa in discussione nel dibattito legislativo: la premessa che il criterio dimensionale (comunque declinato in termini quantitativi) sia il parametro appropriato per modulare l’intensità dell’obbligo di accountability. Questa premessa, per le ragioni esposte nella sezione precedente, merita una riflessione critica che il percorso legislativo in corso non ha ancora affrontato.
Conclusioni sull’accountability GDPR dopo l’Omnibus IV
L’analisi svolta consente di formulare alcune proposizioni conclusive, delle quali si propone una valutazione della tenuta argomentativa, con indicazione delle questioni che restano aperte.
Si è sostenuto, in primo luogo, che la modifica dell’articolo 30, paragrafo 5, del GDPR introdotta dall’Omnibus IV non è una misura di semplificazione procedurale, ma uno spostamento strutturale nei confini dell’obbligo di accountability. Questa tesi trova sostegno nella funzione che il registro delle attività di trattamento svolge nell’architettura del GDPR: non è un adempimento formale, ma lo strumento operativo principale attraverso cui il principio di accountability si traduce in una pratica verificabile e il presupposto logico per l’esercizio effettivo dei diritti degli interessati. La sua tenuta argomentativa dipende dalla qualificazione che si attribuisce al principio di accountability nel sistema del GDPR, qualificazione che la giurisprudenza dell’EDPB e dei Garanti nazionali ha costantemente orientato nel senso di un obbligo sostanziale, non meramente formale.
Si è sostenuto, in secondo luogo, che il criterio dimensionale, pur avendo una razionalità nel quadro dell’agenda di semplificazione, è strutturalmente inadeguato come proxy del rischio per i diritti degli interessati, e che la sua progressiva prevalenza sui criteri qualitativi introdotta dall’Omnibus IV non trova giustificazione nella logica interna del GDPR, costruito sull’approccio basato sul rischio. Questa tesi è più esposta a obiezioni: si può argomentare che la semplicità applicativa del criterio dimensionale produce certezza del diritto, riduce i costi di compliance e favorisce l’adozione di un approccio alla protezione dei dati anche nelle organizzazioni che non dispongono di competenze tecniche specializzate. L’obiezione è pertinente e l’argomento della semplicità applicativa ha un peso pratico che non va sottovalutato. Resta, tuttavia, il fatto che semplificare il criterio di esenzione non equivale a migliorare la qualità della protezione; equivale a ridurne la copertura.
Si è sostenuto, in terzo luogo, che le modifiche introdotte dal Parlamento europeo rispetto alla proposta originaria della Commissione, in particolare il recupero parziale dei criteri qualitativi attraverso il riferimento alle attività core che richiedono il DPO e l’esclusione delle pubbliche amministrazioni dall’esenzione, sono migliorative, ma strutturalmente insufficienti perché non eliminano la dissociazione tra dimensione organizzativa e dimensione del rischio che è il nodo critico dell’intervento.
Le questioni che restano aperte sono almeno tre.
La prima è l’esito del trilogo: quale soglia e quale struttura delle condizioni qualitative emergeranno dal negoziato interistituzionale determinerà in modo significativo il grado di erosione dell’accountability per le organizzazioni di medie dimensioni.
La seconda è di carattere più generale: se e come il legislatore europeo intenda riconciliare l’agenda di semplificazione con la struttura dell’approccio basato sul rischio che distingue il GDPR dalla precedente Direttiva 95/46/CE e che ne costituisce il contributo più innovativo al diritto della protezione dei dati.
La terza è metodologica e riguarda la progettazione legislativa; il confronto con gli ordinamenti extraeuropei, in particolare con l’approccio multidimensionale del CCPA/CPRA e con la flessibilità delegata della LGPD, suggerisce che esistono strumenti tecnici alternativi al solo criterio dimensionale per modulare l’intensità degli obblighi di accountability in funzione della reale dimensione del rischio per gli interessati.
Si reputa, perciò, che a loro applicabilità al contesto europeo, il quale privilegia la certezza giuridica e l’uniformità applicativa tra gli Stati membri, meriti un’analisi approfondita che il percorso legislativo in corso non ha ancora avviato.
