¿Qué implica la propuesta de simplificación del RGPD para pymes y SMCs?
La Comisión Europea ha presentado una propuesta para la simplificación del RGPD, orientada a flexibilizar las obligaciones administrativas de las pequeñas y medianas empresas (pymes) y empresas de mediana capitalización (SMCs).
La medida más destacada es la ampliación de la exención del deber de mantener un registro de actividades de tratamiento, bajo el artículo 30.5 del RGPD, a organizaciones con menos de 750 empleados, siempre que no realicen tratamientos de alto riesgo.
El Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) han apoyado la propuesta, reconociendo su carácter limitado y enfocado. Sin embargo, advierten sobre la importancia de no debilitar los derechos fundamentales, como la protección de los datos personales.
La propuesta de simplificación del RGPD mantiene condiciones para el tratamiento de alto riesgo
Aunque se elimina el requisito automático de mantener registros para tratamientos ocasionales o de categorías especiales de datos, sigue siendo obligatorio conservar registros cuando se prevea un alto riesgo para los derechos y libertades de los interesados. Esto se alinea con la obligación de realizar evaluaciones de impacto (DPIA) según el artículo 35 del RGPD.
Los tratamientos que involucren datos sensibles (salud, religión, antecedentes penales) aún deben evaluarse para determinar si presentan un riesgo alto. Esta evaluación sigue siendo responsabilidad de cada organización, incluso si tiene menos de 750 empleados.
Las pymes y SMCs siguen obligadas a cumplir el RGPD sin necesidad de registros formales
La propuesta de simplificación del RGPD no elimina otras obligaciones esenciales del reglamento. Las empresas que estén exentas del registro formal deben asegurarse de contar con métodos alternativos para demostrar el cumplimiento, como exige el principio de responsabilidad proactiva (accountability).
Entre las buenas prácticas sugeridas se encuentran:
- Elaborar inventarios internos de tratamientos.
- Documentar decisiones sobre bases legales y medidas de seguridad.
- Contar con procedimientos para responder a derechos de los interesados.
¿Cuáles son las implicaciones para los entes públicos y grandes empresas?
La propuesta excluye expresamente a las autoridades y organismos públicos de esta simplificación del RGPD. Así, estos entes deberán seguir manteniendo sus registros completos sin excepciones. Del mismo modo, las grandes empresas con más de 750 empleados continúan sujetas a la obligación sin cambios.
El EDPB y el EDPS recomiendan que se aclare en los considerandos que la palabra «organizaciones» no incluye a autoridades públicas, evitando malentendidos.
Claridad normativa, menor carga administrativa y protección de derechos
La simplificación del RGPD para pymes y SMCs busca aliviar cargas burocráticas sin debilitar el marco normativo. Esta modificación permite a unas 38.000 SMCs europeas beneficiarse de un tratamiento regulatorio similar al de las pymes, fomentando la competitividad sin menoscabar los derechos de los ciudadanos.
Los órganos europeos de supervisión han pedido ajustes menores al texto para mantener la coherencia legal, en especial sobre el uso de términos como «empresas» frente a «SMEs y SMCs». También han destacado que el uso de registros sigue siendo una buena práctica recomendable.
- Transferencias internacionales de datos personales: retos y aspectos clave
- Fuerza mayor en contratos SaaS: cómo proteger tu empresa ante caídas y ciberataques
- Acceso a instalaciones mediante control biométrico: identificación vs autenticación
- Pacto de socios en startups tecnológicas: manual de supervivencia para fundadores
- Autoridad Independiente de Protección al Informante (AIPI) en España: qué es y cómo funciona
- El derecho al olvido en el caso de Cecilia Sopeña