Proposta de simplificação de obrigações no RGPD

O Comité Europeu de Proteção de Dados (CEPD) e a Autoridade Europeia para a Proteção de Dados (AEPD) emitiram um parecer conjunto sobre a proposta de Regulamento da Comissão Europeia que altera determinados Regulamentos, incluindo o RGPD.

Estas autoridades analisam a proposta da Comissão Europeia, de maio de 2025, de alterar o RGPD para simplificar, principalmente, a obrigação de manter um registo das atividades de tratamento (prevista no artigo 30.º do RGPD) e alargar determinadas medidas às chamadas pequenas e médias empresas (PME) e, de forma inovadora, às pequenas empresas de média capitalização (do inglês “Small Mid-Cap Enterprises”). A nossa análise da proposta da Comissão Europeia está disponível neste link.

Os destaques e as principais conclusões do parecer são apresentados a seguir.

Eliminação da obrigação de manutenção de registo de atividades de tratamento (artigo 30.º, n.º 5 do RGPD)

Na versão atual do RGPD, as empresas com menos de 250 trabalhadores não são obrigadas a manter um registo das atividades de tratamento, a menos que efetuem operações de tratamento que não sejam ocasionais ou que envolvam dados sensíveis, entre outros requisitos.

De acordo com a nova proposta, o limiar de trabalhadores seria aumentado para 750, facilitando que empresas com até 749 trabalhadores estejam isentas de manter esse registo, a menos que o tratamento de dados seja “suscetível de resultar num elevado risco” para os direitos e liberdades das pessoas em causa.

O facto de serem tratadas categorias especiais de dados (por exemplo, relativos à saúde ou à origem étnica) deixa de constituir uma exceção à isenção. Com a reforma proposta, a isenção não dependerá automaticamente do tipo de dados, mas da avaliação da existência ou não de um risco elevado.

O parecer salienta que, mesmo que o registo não seja mantido em certos casos, as obrigações fundamentais do RGPD permanecem inalteradas e sublinha que as organizações devem manter certos mecanismos de controlo interno para uma responsabilização proativa.

Avaliação de risco e proteção dos direitos fundamentais e adesão a códigos de conduta e certificações

O parecer salienta a relevância de que a proposta final de alteração do RGPD preveja que os responsáveis pelo tratamento e os subcontratantes efetuem uma avaliação de risco prévia, uma vez que esta determinará se uma operação de tratamento pode ser considerada de “alto risco” (e, por conseguinte, exigir um registo e uma avaliação de impacto).

Salienta a necessidade de uma análise caso a caso para confirmar que as operações de tratamento que envolvem dados sensíveis ou métodos de tratamento intensivo estão efetivamente sujeitas a garantias adequadas.

Além disso, a proposta introduz a referência às pequenas empresas de média capitalização nos artigos relativos à possibilidade de apresentar e aderir a códigos de conduta (artigo 40.º do RGPD) e à certificação (artigo 42.º do RGPD). Desta forma, promove-se que as necessidades específicas das pequenas empresas de média capitalização sejam integradas e reconhecidas aquando do desenvolvimento destes instrumentos de autorregulação e verificação do cumprimento em matéria de proteção de dados.

Principais conclusões e recomendações do Parecer

A CEPD e a AEPD apoiam a intenção de reduzir os encargos administrativos para as PME e as pequenas empresas de média capitalização sem pôr em causa o direito fundamental dos cidadãos à proteção de dados. Sublinham igualmente que a revisão proposta é “limitada e direcionada” e que as obrigações fundamentais do RGPD permanecem inalteradas.

Sublinham a importância de continuar a realizar avaliações de impacto quando o tratamento envolve riscos elevados e a responsabilidade proativa das empresas de cumprir as disposições do RGPD. O simples facto de ter menos de 750 funcionários não isenta as empresas de cumprirem os princípios fundamentais do RGPD, nem de preverem salvaguardas adequadas, se for caso disso.

Sugere-se que, apesar do novo limiar, as empresas beneficiárias tomem medidas internas para documentar e monitorizar adequadamente qualquer tratamento, mesmo que não sejam obrigadas a manter um registo formal, uma vez que essa documentação interna facilita o cumprimento.

Em suma, a proposta analisada pelo parecer alarga os benefícios da simplificação originalmente concebidos para as PME a um conjunto mais vasto de empresas de dimensão intermédia, sempre em equilíbrio com a proteção dos direitos das pessoas em causa. O parecer conclui que a iniciativa é coerente com os objetivos de promoção da competitividade, desde que as salvaguardas aplicáveis ao tratamento de alto risco sejam reforçadas e que, em qualquer caso, as obrigações fundamentais - como os princípios da proteção de dados - continuem plenamente em vigor.