Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

La Comisión Europea propone modificar el RGPD

La Comisión Europea presentó, el 21 de mayo de 2025, su Propuesta de Reglamento, por el que se modifican los Reglamentos (UE) 2016/679, (UE) 2016/1036, (UE) 2016/1037, (UE) 2017/1129, (UE) 2023/1542 y (UE) 2024/573 en lo que respecta a la ampliación a las pequeñas y medianas empresas (PYME) de determinadas medidas de mitigación disponibles para ellas, así como a otras medidas de simplificación.

El 8 de julio de 2025, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) emitieron su Dictamen Conjunto 01/2025 sobre la propuesta. En términos generales, apoyan el objetivo de reducir la carga administrativa para las PYMES y las sociedades de mediana capitalización (SMC), siempre que la consecución de este objetivo no dé lugar a una reducción de la protección de los derechos fundamentales de las personas, incluido el derecho a la protección de datos personales.

El CEPD y el SEPD recuerdan que la simplificación debe ser proporcionada, equilibrada y basada en la necesidad, al tiempo que advierten que la propuesta no incluye una evaluación de las consecuencias para los derechos fundamentales de las personas, que debería haberse realizado.

La Comisión Europea quiere ampliar la exención del deber de mantener un registro de actividades de tratamiento (RAT) a las organizaciones con menos de 750 empleados, siempre que no realicen tratamientos que sean «probablemente de alto riesgo» para los derechos y libertades de los interesados. Que las PYMES y las SMC puedan estar exentas de mantener un RAT no las exime del cumplimiento del RGPD. Llegado el caso, estas empresas deberán implementar métodos alternativos que les permitan demostrar la conformidad con el principio de responsabilidad proactiva.

El CEPD y el SEPD advierten que la redacción de la propuesta de simplificación del RGPD puede resultar ambigua, en cuanto a si la exención para mantener un RAT se aplica también a las autoridades y organismos públicos. Llevan razón, pues la redacción es confusa. Por ello, recomiendan a los colegisladores que incluyan una aclaración explícita en los considerandos para dejar claro que la palabra «organización» en este contexto no incluye a autoridades y organismos públicos. 

Conclusión

La propuesta no redefine las PYME (que siguen siendo las empresas con menos de 250 empleados según la Recomendación 2003/361/CE), sino que introduce la categoría de SMCs (empresas que no son PYME, con menos de 750 empleados y volumen de negocios anual ≤ 150 millones de euros o balance general ≤ 129 millones de euros) y eleva el umbral de exención del registro de actividades de tratamiento a <750 empleados (salvo alto riesgo). 

Que estas organizaciones puedan quedar exentas de llevar un registro de las actividades de tratamiento me parece una mala idea, por las siguientes razones:

  • Los RAT ofrecen una visión global y detallada de todas las operaciones de tratamiento de datos personales.

  • Facilitan la identificación de una base legal conforme al artículo 6 del RGPD.

  • Ayudan a los responsables del tratamiento a garantizar el ejercicio de los derechos de los interesados.

  • Permiten realizar una evaluación objetiva del riesgo asociado a las actividades de tratamiento.

  • Constituyen una fuente esencial de información para las evaluaciones de impacto en la protección de datos conforme al artículo 35 del RGPD.

  • Los delegados de protección de datos pueden apoyarse en estos registros para desempeñar funciones de supervisión, cumplimiento, asesoramiento e información tanto al responsable como al encargado del tratamiento.

  • En las transferencias internacionales de datos personales, los registros facilitan la valoración de las medidas complementarias necesarias para asegurar su adecuación.

  • Son una herramienta clave para que responsables y encargados del tratamiento mapeen y comprendan sus actividades, especialmente al implementar nuevas tecnologías como la inteligencia artificial.

  • Los responsables pueden solicitar a los encargados que compartan partes relevantes de sus registros para asegurar una comprensión completa del procesamiento y verificar las garantías exigidas por el artículo 28 del RGPD.

  • Facilitan la identificación e implementación de medidas de seguridad adecuadas para proteger los datos personales.

  • Ayudan a los auditores a la hora de supervisar las actividades de tratamiento.

Que no sea obligatorio llevar un RAT no impide adoptarlo de forma voluntaria. Dejo enlazado aquí un artículo anterior en el que les detallo que es una RAT.

No se pierda nuestro podcast sobre el artículo

 

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es