El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido hoy un dictamen conjunto sobre la propuesta de Reglamento de la Comisión Europea por el que se modifican determinados Reglamentos, incluido el RGPD 2016/679.

La propuesta, que forma parte de la cuarta simplificación general, tiene por objeto simplificar las normas de la UE y reducir la carga administrativa, ampliando determinadas medidas de mitigación disponibles para las pequeñas y medianas empresas (pymes) a las pequeñas empresas de mediana capitalización, e incluye nuevas medidas de simplificación.

La propuesta tiene por objeto modificar el artículo 30, apartado 5, del RGPD 2016/679, estableciendo una excepción a la obligación de llevar un registro de las operaciones de tratamiento de datos. En la actualidad, esta excepción solo se aplica a las empresas y organizaciones de menos de 250 empleados, salvo en determinados casos. En virtud de la propuesta, la excepción se aplicaría a una empresa u organización que emplee a menos de 750 personas, a menos que la operación de tratamiento llevada a cabo pueda dar lugar a un alto riesgo para los derechos y libertades de las personas, en el sentido del artículo 35 del RGPD 2016/679.

Además, la propuesta introduce una definición de PYME y SMC en el artículo 4 del RGPD 2016/679 y amplía el ámbito de aplicación del artículo 40, apartado 1, y del artículo 42, apartado 1, del RGPD 2016/679 a los SMC, que se refieren a códigos de conducta y certificación. Estas herramientas están diseñadas actualmente para ayudar a las empresas y organizaciones a demostrar el cumplimiento del RGPD centrándose en las necesidades específicas de las pymes.

Opinión conjunta EDPB-EDPS 01/2025

Opinión conjunta EDPB-EDPS 01/2025 sobre la Propuesta de Reglamento sobre medidas de simplificación para pymes y SMC, en particular la obligación de mantener un registro conforme al Art. 30(5) del RGPD 2016/679.

Resumen ejecutivo:

El 21 de mayo de 2025, la Comisión Europea emitió una propuesta de reglamento para modificar ciertas normativas, incluido el RGPD 2016/679, a fin de extender medidas de alivio para las pequeñas y medianas empresas (pymes) a las pequeñas empresas de mediana capitalización (SMC), introduciendo además medidas de simplificación adicionales.

La propuesta modificaría la excepción del artículo 30(5) del RGPD 2016/679 estableciendo que la obligación de llevar un registro no aplicaría a empresas u organizaciones con menos de 750 empleados, salvo que el tratamiento de datos suponga un alto riesgo para los derechos y libertades de los interesados según el artículo 35 del RGPD 2016/679.

La EDPB y el EDPS apoyan el objetivo general de reducir la carga administrativa para pymes y SMC, siempre que esto no implique una reducción en la protección de los derechos fundamentales, especialmente el derecho a la protección de datos personales.

También destacan que no se ha realizado una evaluación del impacto sobre los derechos fundamentales, lo cual consideran necesario. Valoran los esfuerzos de aclaración y simplificación, y subrayan que el tratamiento de datos cubierto por los artículos 9 y 10 del RGPD 2016/679 es clave para evaluar el riesgo.

Sobre el umbral revisado, se cuestiona por qué se elevó a 750 empleados, y se recomienda referirse explícitamente a las definiciones introducidas de pymes y SMC. Asimismo, sugieren aclarar que el término “organización” no incluye a autoridades públicas.

Por último, se apoya la extensión de los artículos 40(1) y 42(1) del RGPD 2016/679 a las SMC, de forma que se consideren sus necesidades específicas en la elaboración de códigos de conducta y mecanismos de certificación.