Propuesta de simplificación de obligaciones en el RGPD

El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido un dictamen conjunto sobre la propuesta de Reglamento de la Comisión Europea por el que se modifican determinados Reglamentos, incluido el RGPD.

Estas autoridades analizan la propuesta de la Comisión Europea de mayo de 2025 para modificar el RGPD a fin de simplificar, principalmente, la obligación de llevar un registro de actividades de tratamiento (contemplada en el artículo 30 del RGPD) y extender ciertas medidas a las denominadas pequeñas y medianas empresas (PYME) y, de manera novedosa, a las SMC (del inglés “Small Mid-Cap Enterprises”). Puede consultarse el análisis que hicimos de la propuesta de la Comisión Europea en este enlace.

A continuación, se exponen los puntos más destacados y las conclusiones principales del dictamen.

Supresión de la obligación de llevar un registro de actividades del tratamiento (artículo 30.5 RGPD)

En la actual versión del RGPD, las empresas con menos de 250 empleados no tienen la obligación de llevar a cabo un registro de actividades de tratamiento salvo que realizaran tratamientos que no fuesen ocasionales, o involucrasen datos sensibles, entre otros requisitos.

Con la nueva propuesta, el umbral de empleados se elevaría a 750, facilitando que empresas con hasta 749 trabajadores queden exentas de llevar dicho registro, salvo que el tratamiento de datos sea “susceptible de entrañar un alto riesgo” para los derechos y libertades de las personas interesadas.

El hecho de que se traten datos especiales (p. ej., de salud u origen étnico) ya no se establece como una excepción a la exención. Con la reforma propuesta, la excepción no dependerá automáticamente del tipo de datos, sino de la evaluación de si existe o no un riesgo elevado.

El dictamen recalca que, aunque no se mantenga el registro en ciertos supuestos, las obligaciones fundamentales del RGPD se mantienen inalteradas, y se insiste en la conveniencia de que las organizaciones conserven ciertos mecanismos internos de control para la debida responsabilidad proactiva.

Valoración de la evaluación de riesgos y protección de derechos fundamentales y adhesión a códigos de conducta y certificaciones

El dictamen resalta la relevancia de que la propuesta final de modificación del RGPD recoja que los responsables y encargados deban llevar a cabo una evaluación de riesgos previa, ya que determinará si un tratamiento puede considerarse de “alto riesgo” (y por ende, requerir la elaboración de un registro y una evaluación de impacto).

Se destaca la necesidad de un análisis caso por caso para confirmar que los tratamientos que incluyen datos sensibles o métodos de tratamiento intensivo efectivamente se sometan a las garantías apropiadas.

Adicionalmente, la propuesta introduce la referencia a las SMC en los artículos relativos a la posibilidad de presentar y adherirse a códigos de conducta (art. 40 RGPD) y a la certificación (art. 42 RGPD). De este modo, se promueve que las necesidades específicas de las SMC se integren y reconozcan al elaborar estos instrumentos de autorregulación y verificación de cumplimiento en protección de datos.

Conclusiones y recomendaciones clave del Dictamen

El CEPD y el SEPD apoyan la intención de reducir cargas administrativas de las PYMES y SMC sin menoscabar el derecho fundamental de los ciudadanos a la protección de datos. Resaltan igualmente que la revisión propuesta es “limitada y específica” y que las obligaciones nucleares del RGPD permanecen inalteradas.

Subrayan la importancia de seguir llevando a cabo evaluaciones de impacto allí donde el tratamiento conlleve riesgos elevados y en la responsabilidad proactiva de las empresas en dar cumplimiento a las previsiones del RGPD. El mero hecho de tener menos de 750 empleados no exonera de cumplir con los principios esenciales del RGPD, así como de proveer las garantías adecuadas cuando proceda.

Se sugiere que, pese al nuevo umbral, las compañías beneficiadas tomen medidas internas para documentar y supervisar adecuadamente cualquier tratamiento, incluso si no están obligadas a llevar un registro formal, pues esta documentación interna facilita el cumplimiento.

En síntesis, la propuesta analizada por el dictamen extiende las ventajas de simplificación concebidas originalmente para PYME a un conjunto más amplio de empresas de tamaño intermediario, siempre en equilibrio con la protección de los derechos de las personas interesadas. El dictamen concluye que la iniciativa es consistente con los objetivos de promover competitividad, siempre que se fortalezcan las salvaguardas aplicables a tratamientos de alto riesgo y que, en todo caso, las obligaciones clave —como los principios de protección de datos— sigan plenamente vigentes.