CE propõe reformas ao RGPD para simplificar a conformidade das PME e SMC

A Comissão Europeia apresentou um novo pacote de medidas com o objetivo de simplificar o Mercado Único e reduzir a burocracia: Simplificar o Mercado Único.  Estas iniciativas destinam-se a facilitar as operações empresariais, promover a inovação e apoiar o crescimento, mantendo ao mesmo tempo uma forte proteção dos consumidores e do ambiente.

No dia 21 de maio de 2025, a Comissão Europeia publicou um projeto de Proposta de Regulamento que altera vários regulamentos fundamentais da UE, incluindo:

• Regulamento (UE) 2016/679, Regulamento Geral sobre a Proteção de Dados (“RGPD”);
• Regulamento (UE) 2016/1036 relativo à proteção contra as importações objeto de dumping provenientes de países não membros da União Europeia;
• Regulamento (UE) 2016/1037 relativo à proteção contra as importações objeto de subvenção provenientes de países não membros da União Europeia;
• Regulamento (UE) 2017/1129 relativo ao prospeto a publicar quando valores mobiliários são oferecidos ao público ou admitidos à negociação num mercado regulamentado;
• Regulamento (UE) 2023/1542 relativo a baterias e resíduos de baterias;
• Regulamento (UE) 2024/573 relativo aos gases fluorados com efeito de estufa.

Este pacote legislativo faz parte de uma estratégia mais ampla para reforçar a competitividade e o crescimento sustentável do setor empresarial da União Europeia, conhecida como Pacote Omnibus, com um foco particular nas pequenas e médias empresas (PME) e, pela primeira vez, nas empresas de média capitalização de pequena dimensão (SMCs). A iniciativa visa garantir que as empresas que ultrapassam o estatuto de PME não ficam sujeitas a obrigações de conformidade desproporcionais, apoiando assim a inovação, a criação de emprego e a resiliência económica em toda a UE. Esta proposta, apresentada a 21 de maio de 2025, é designada como o quarto pacote Omnibus de Simplificação.

Para mais informações sobre o Pacote Omnibus:

Legal Flash | Para uma simplificação da informação de sustentabilidade

Post | Proposta da Comissão Europeia de modificação da Diretiva CS3D

Post | A Bússola para a Competitividade da UE e as primeiras propostas Omnibus

Post | Proposta Omnibus I. Alteração da taxonomia ambiental

Post | A proposta Omnibus I e o seu impacto na Diretiva CS3D

Post | Aprovação da Diretiva Stop-the-Clock: efeitos nas empresas

As alterações propostas ao RGPD visam tornar as obrigações de proteção de dados mais proporcionais para organizações de menor dimensão.

• Obrigações de Registo Revistas

O âmbito da obrigação de registo das atividades de tratamento prevista no artigo 30.º, n.º 5, do RGPD foi revisto:

• Empresas e organizações com menos de 750 trabalhadores estão isentas de manter registos das atividades de tratamento, a menos que essas atividades de tratamento sejam suscetíveis de implicar um risco elevado para os direitos e liberdades dos titulares dos dados, conforme o disposto no artigo 35.º.
• Isto representa um aumento significativo face ao limiar anterior de 250 trabalhadores, refletindo o reconhecimento de que as pequenas e médias empresas (PME), tal como as SMC, muitas vezes não dispõem dos recursos necessários para gerir uma documentação de conformidade tão extensa.
• Implica também um alargamento significativo do âmbito material da exceção, uma vez que agora está apenas limitada ao facto de o tratamento ser suscetível de implicar um elevado risco – e não meramente um risco, como estabelecia o texto original. As condições de que o tratamento não seja ocasional ou de que inclua categorias especiais de dados também foram removidas na proposta.
• No mesmo sentido, a alteração esclarece que o tratamento de categorias especiais de dados pessoais exclusivamente para fins laborais ou de segurança social não desencadeia, por si só, a obrigação de manter registos (Considerando 10).

Impacto: Esta abordagem direcionada visa aliviar tarefas administrativas desnecessárias para organizações cujas atividades de tratamento de dados são rotineiras e de baixo risco, mantendo, contudo, salvaguardas robustas nos casos em que existam riscos mais elevados.

• Códigos de Conduta Específicos para Diferentes Setores e Mecanismos de Certificação

Além disso, a proposta altera os Artigos 40.º e 42.º para garantir que o desenvolvimento de códigos de conduta específicos para diferentes setores e mecanismos de certificação de proteção de dados tem explicitamente em consideração as necessidades das SMCs, além das PME.

Benefício: Isto garante que as organizações que ultrapassam o estatuto de PME continuam a beneficiar de apoio adaptado à sua dimensão para que garantam a conformidade com as suas obrigações, bem como de orientações práticas.

• Definições Formais de PME e SMC

As alterações introduzem também definições formais tanto para as PME como para as SMC no âmbito do RGPD.

A definição de microempresas e de PME remete para a Recomendação da Comissão de 6 de maio de 2003. São definidas como empresas que empregam menos de 250 trabalhadores e cujo volume de negócios anual não excede 50 milhões de euros ou cujo balanço total anual não excede 43 milhões de euros. Por outro lado, a definição de SMC remete para os critérios do Ponto 2 do Anexo à Recomendação 2025/1099 da Comissão Europeia. São empresas que, não sendo PMEs, têm menos de 750 trabalhadores, um balanço total não superior a 129 milhões de euros e um volume de negócios não superior a 150 milhões de euros.

Resultado:  Tal está em conformidade com as recomendações existentes da UE e proporciona uma maior segurança jurídica e consistência em toda a legislação da União Europeia.

Estas alterações específicas visam reduzir os encargos administrativos e simplificar o cumprimento das obrigações para as PME e SMC, mantendo padrões rigorosos de proteção de dados.

Ao adaptar as obrigações à dimensão e ao perfil de risco das organizações, a Comissão Europeia procura promover um ambiente empresarial mais dinâmico e resiliente no Mercado Único.