CE propone modificaciones del RGPD para simplificar el cumplimiento normativo de pymes y mid-caps

La Comisión Europea ha introducido un nuevo paquete de medidas orientado a simplificar el mercado único y reducir la burocracia: Simplificación del mercado único. El objetivo de estas iniciativas es facilitar la actividad de las empresas, fomentar la innovación y apoyar el crecimiento, manteniendo al mismo tiempo unas garantías robustas de protección de los consumidores y del medio ambiente.

El 21 de mayo de 2025, la Comisión Europea publicó una propuesta de reglamento por la que se modifican varios reglamentos fundamentales de la UE; en concreto, los siguientes:

• Reglamento (UE) 2016/679, el Reglamento general de protección de datos (“RGPD”);
• Reglamento (UE) 2016/1036 relativo a la defensa contra las importaciones que sean objeto de dumping por parte de países no miembros de la Unión Europea;
• Reglamento (UE) 2016/1037 sobre la defensa contra las importaciones subvencionadas originarias de países no miembros de la Unión Europea;
• Reglamento (UE) 2017/1129 sobre el folleto que debe publicarse en caso de oferta pública o admisión a cotización de valores en un mercado regulado;
• Reglamento (UE) 2023/1542 relativo a las pilas y baterías y sus residuos;
• Reglamento (UE) 2024/573 sobre los gases fluorados de efecto invernadero.

Este paquete legislativo forma parte de una estrategia más amplia para reforzar la competitividad y el crecimiento sostenible del sector empresarial en la UE —conocida como paquete Ómnibus— y se centra en pequeñas y medianas empresas (“pymes”) y, por primera vez, en pequeñas empresas de mediana capitalización (“mid-caps”). El propósito de la iniciativa es garantizar que las empresas en crecimiento que vayan a superar la categoría de pymes no se encuentren sujetas a obligaciones de cumplimiento desproporcionadas y, de este modo, apoyar la innovación, la creación de empleo y la resiliencia económica en toda la UE. Esta propuesta, presentada el 21 de mayo de 2025, se conoce como el cuarto paquete de simplificación Ómnibus.

Para más información sobre el paquete Ómnibus:

Legal Flash | Hacia una simplificación de la información de sostenibilidad

Publicación | Propuesta de la Comisión Europea de modificación de la Directiva CS3D

Publicación | El EU Competitiveness Compass y las primeras propuestas ómnibus

Publicación | Propuesta Ómnibus I. Modificación de la taxonomía ambiental

Publicación | La Propuesta Ómnibus I y su impacto en la CS3D

Publicación | Aprobación de la Directiva Stop-the-Clock: efectos empresariales

Las modificaciones del RGPD propuestas están diseñadas para ajustar de forma más proporcionada las obligaciones en materia de protección de datos en el caso de las organizaciones más pequeñas.

• Revisión de las obligaciones de conservación de registros

Se ha revisado el alcance de la obligación de conservar los registros contenida en el artículo 30(5) del RGPD:

• Las empresas y organizaciones con menos de 750 empleados están exentas de mantener un registro de las actividades de tratamiento, salvo que estas entrañen un riesgo elevado para los derechos y libertades de los interesados según el artículo 35.
• Esto supone un aumento significativo respecto al umbral anterior de 250 empleados y, de este modo, se reconoce que las mid-caps, igual que las pymes, carecen con frecuencia de los recursos para gestionar grandes cantidades de documentación en materia de cumplimiento normativo.
• También conlleva una ampliación considerable del alcance material de la excepción, ya que solo se exigirá que el tratamiento no entrañe un riesgo elevado, y no simplemente un riesgo, como dice el texto original. Las condiciones de que el tratamiento sea ocasional o no incluya categorías especiales de datos también se han eliminado en la propuesta.
• Asimismo, la modificación aclara que el tratamiento de categorías especiales de datos personales únicamente con fines laborales o de seguridad social no activa, de por sí, la obligación de conservar registros (considerando 10).

Impacto: Con este enfoque específico se pretende reducir las tareas administrativas innecesarias en el caso de las organizaciones cuyas actividades de tratamiento de datos sean rutinarias y de bajo riesgo, sin dejar de exigir sólidas garantías en aquellos casos en que existen riesgos mayores.

• Códigos de conducta y mecanismos de certificación específicos por sector

La propuesta también modifica los artículos 40 y 42 para garantizar que el desarrollo de códigos de conducta y mecanismos de certificación de protección de datos específicos de cada sector tenga en cuenta de forma explícita, además de las necesidades de las pymes, las de las mid-caps.

Beneficio: Esto garantiza que las organizaciones que crezcan y dejen de ser pymes se sigan beneficiando de unas pautas y un apoyo en materia de cumplimiento normativo prácticos y a su medida.

•  Definiciones formales de pymes y mid-caps

Las modificaciones también introducen en el RGPD definiciones formales de pymes y mid-caps.

La definición de las microempresas y pymes se remite a la Recomendación de la Comisión, de 6 de mayo de 2003. Son, por tanto, aquellas que cuentan con menos de 250 empleados y cuya facturación anual no supera los 50 millones de euros, o cuyo balance general anual no excede los 43 millones de euros. Por otra parte, la definición de las mid-caps se remite a los criterios del apartado 2 del Anexo de la Recomendación de la Comisión Europea (UE) 2025/1099. Se trata, por tanto, de las empresas que no son pymes con arreglo a la definición anterior, ocupan a menos de 750 personas y cuyo volumen de negocios anual no excede de 150 millones de euros o cuyo balance general anual no excede de 129 millones de euros.

Resultado: Esto encaja con las recomendaciones de la UE existentes y proporciona mayor seguridad jurídica y uniformidad al derecho de la Unión Europea.

Estas modificaciones específicas tienen como objetivo reducir la carga administrativa de las pymes y mid-caps y facilitarles el cumplimiento normativo sin dejar de mantener unas normas estrictas de protección de datos.

Al adaptar las obligaciones al perfil de las organizaciones en función de su tamaño y riesgo, la Comisión Europea busca fomentar un ecosistema empresarial más dinámico y resiliente dentro del mercado único.