Modificaciones específicas del RGPD: El CEPD y el SEPD acogen con satisfacción la simplificación de las obligaciones de conservación de registros y solicitan aclaraciones adicionales

9 July 2025

Bruselas, 9 de julio de 2025 - El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido hoy un dictamen conjunto sobre la propuesta de Reglamento de la Comisión Europea por el que se modifican determinados Reglamentos, incluido el RGPD

La propuesta, que forma parte de la cuarta simplificación general, tiene por objeto simplificar las normas de la UE y reducir la carga administrativa, ampliando determinadas medidas de mitigación disponibles para las pequeñas y medianas empresas (pymes) a las pequeñas empresas de mediana capitalización, e incluye nuevas medidas de simplificación.  

La propuesta tiene por objeto modificar el artículo 30, apartado 5, del RGPD, estableciendo una excepción a la obligación de llevar un registro de las operaciones de tratamiento de datos. En la actualidad, esta excepción solo se aplica a las empresas y organizaciones de menos de 250 empleados, salvo en determinados casos. En virtud de la propuesta, la excepción se aplicaría a una empresa u organización que emplee a menos de 750 personas, a menos que la operación de tratamiento llevada a cabo pueda dar lugar a un alto riesgo para los derechos y libertades de las personas, en el sentido del artículo 35 del RGPD. 

Además, la propuesta introduce una definición de PYME y SMC en el artículo 4 del RGPD y amplía el ámbito de aplicación del artículo 40, apartado 1, y del artículo 42, apartado 1, del RGPD a los SMC, que se refieren a códigos de conducta y certificación. Estas herramientas están diseñadas actualmente para ayudar a las empresas y organizaciones a demostrar el cumplimiento del RGPD centrándose en las necesidades específicas de las pymes. 

Wojciech Wiewiórowski, SEPD, ha declarado: «Apoyamos el objetivo general de la propuesta de reducir la carga administrativa para las pymes y los SMC, siempre que ello no reduzca la protección de los derechos fundamentales de las personas, en particular los derechos a la intimidad y a la protección de los datos personales. A tal fin, acogemos con satisfacción que las modificaciones propuestas para simplificar y aclarar la obligación de llevar un registro del tratamiento sean específicas y de naturaleza limitada, y no afecten a los principios básicos y otras obligaciones en virtud del RGPD».  

Anu Talus, presidente del CEPD, ha declarado: « «El CEPD apoya el objetivo general de la propuesta de reducir la carga administrativa para las pymes y los SMC y garantizar que, en la práctica, puedan disfrutar de una excepción a la obligación de llevar registros de las actividades de tratamiento. La excepción actual no siempre logró su objetivo. Al mismo tiempo, el registro de las actividades de tratamiento es una herramienta útil para apoyar el cumplimiento de otras obligaciones, como la de transparencia o para hacer efectivos los derechos de los interesados. La simplificación ofrecerá una mayor flexibilidad a las pymes y los SMC para elegir el método más adecuado para cumplir la normativa».

Por lo que se refiere a las organizaciones sujetas a la excepción, teniendo en cuenta que la propuesta afecta a la legislación en otros ámbitos políticos, el CEPD y el SEPD esperan más aclaraciones sobre por qué el nuevo umbral de empresas u organizaciones que emplean a menos de 750 personas sería más adecuado con arreglo al RGPD, en lugar del umbral de 500 empleados inicialmente considerado. Además, la nueva exención del artículo 30, apartado 5, se refiere a las «empresas que empleen a menos de 750 trabajadores», sin hacer referencia a las definiciones recientemente introducidas de pyme y SMC, que también incluyen criterios financieros. Con el fin de garantizar que la exención beneficie a las pymes y los SMC, el CEPD y el dictamen conjunto del SEPD recomiendan hacer referencia a las definiciones recientemente introducidas de pyme y SMC. 

El CEPD y el SEPD también piden a los colegisladores que aclaren en la propuesta que el término «organización», que entra en el ámbito de aplicación de la excepción propuesta en virtud del artículo 30, apartado 5, del RGPD, no incluye a las autoridades y organismos públicos.  
 

El comunicado de prensa publicado aquí ha sido traducido automáticamente del inglés.  El CEPD no garantiza la exactitud de la traducción. Por favor, consulte el texto oficial en su versión en inglés si hay alguna duda.