El EDPB y el SEPD se pronuncian a favor de la simplificación del RGPD
El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) y el Supervisor Europeo de Protección de Datos (EDPS) han publicado este 9 de julio de 2025 un dictamen conjunto sobre la propuesta de simplificación del RGPD de la Comisión Europea.
La propuesta de la Comisión tiene por objeto simplificar las obligaciones en materia de protección de datos para las pequeñas y medianas empresas (PYME) y las pequeñas empresas de mediana capitalización (SMC), reduciendo la carga administrativa para dichas entidades. Concretamente, la propuesta se centra en modificar el artículo 30.5 del RGPD, relativo a la excepción a la obligación de llevar un Registro de Actividades de Tratamiento (RAT). La propuesta de la Comisión Europea también incluye añadir las definiciones de PYME y SMC al artículo 4 del RGPD, así como extender el ámbito de aplicación de los artículos 40.1 y 42.1 a las SMC, aunque sobre estas propuestas no nos pronunciaremos en este artículo.
Actualmente, la excepción de la obligación de disponer un RAT solo se aplica a empresas y organizaciones de menos de 250 empleados, siempre que concurran el resto de los requisitos contemplados por el mismo artículo: que los tratamientos de datos llevados a cabo no puedan entrañar un riesgo para los derechos y libertades de los interesados, no sean ocasionales y no incluyan categorías de datos especialmente sensibles o datos relativos a condenas e infracciones penales. En la práctica, esta excepción no resulta de aplicación en la mayoría de los casos (por no decir que la totalidad), ya que es complicado encontrar una empresa que lleve a cabo un tratamiento de datos que sea meramente ocasional.
En caso de aprobarse la propuesta, la excepción aplicará para aquellas empresas de menos de 750, salvo cuando los tratamientos de datos puedan entrañar un alto riesgo para los derechos y libertades de las personas. Eliminar la condición de que el tratamiento de datos sea ocasional podría hacer aplicable en la práctica esta excepción, por lo que muchas empresas se podrían ver liberadas de la obligación de llevar un RAT. No obstante lo anterior, disponer de un RAT es una medida esencial para tener un mapeo de los tratamientos de datos realizados por una entidad y así poder cumplir con el resto de obligaciones de la normativa (tener una base de legitimación, informar, cumplir con los plazos de conservación, etc.), obligaciones que de momento no se plantea reducir y cuyo cumplimiento sería difícil de conseguir si no se dispone de un RAT.
En relación con lo anterior, si bien es esperable que muchas empresas continúen llevando un RAT de manera instrumental para cumplir con el resto de las obligaciones de la normativa, la entrada en vigor de esta simplificación supondría que no podrían ser sancionadas por no llevar dicho registro o por llevarlo de manera deficiente. En todo caso, al menos en España no se han visto muchas sanciones por estos motivos.
Por su parte, el CEPD y el SEPD han añadido un par de salvedades a la propuesta, como el hecho de que la redacción hable de empresas de menos de 750 empleados y no de PYME o SMC (términos con requisitos adicionales, como facturación), la inclusión de las administraciones públicas en la excepción, aunque ello no repercuta en una mayor competitividad y productividad (finalidades de la propuesta), el hecho de que no se incluya una evaluación de los riesgos que supondrían estas modificaciones para el derecho fundamental a la protección de datos y la sugerencia de que, de cara a sasi un iun tratamiento entrañará un alto riesgo, los responsables del tratamiento deberían llevar a cabo un análisis previo.