La propuesta europea aligera las cargas documentales sin reducir las garantías de los derechos de los interesados.

El 9 de julio de 2025, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido un Dictamen Conjunto 01/2025 sobre la propuesta de Reglamento presentada por la Comisión Europea en el marco del cuarto programa ómnibus de simplificación. La iniciativa tiene como finalidad introducir modificaciones en diversas normativas de la Unión Europea, incluido el Reglamento General de Protección de Datos (RGPD), con el objeto de reducir la carga administrativa de las pequeñas y medianas empresas (PYME) y de las empresas de mediana capitalización (SMC).

La propuesta persigue un doble objetivo: por un lado, simplificar determinadas obligaciones documentales que el RGPD impone actualmente a estas organizaciones, y por otro, extender mecanismos de cumplimiento ya existentes, tales como los códigos de conducta y la certificación, a entidades de mediana dimensión.

1. Modificación del artículo 30(5) RGPD: elevación del umbral de exención

En su redacción actual, el artículo 30(5) RGPD establece que las empresas con menos de 250 trabajadores están exentas de la obligación de mantener un registro de las actividades de tratamiento, salvo en tres supuestos:

• que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados,
• que el tratamiento no sea ocasional,
• o que incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

La propuesta de Reglamento eleva este umbral de manera significativa, situándolo en empresas u organizaciones con menos de 750 empleados, con la misma reserva para tratamientos que puedan implicar un alto riesgo, en los términos definidos por el artículo 35 RGPD.

De este modo, una parte relevante de las medianas empresas quedarían potencialmente exentas de la obligación formal de mantener el registro de actividades de tratamiento, lo que supone una simplificación sustancial respecto del régimen vigente.

2. Definiciones y delimitación del ámbito subjetivo

Otra novedad relevante reside en la introducción en el artículo 4 RGPD de definiciones específicas de PYME y SMC. No obstante, el Dictamen Conjunto del CEPD y el SEPD advierte que la redacción de la exención prevista en el nuevo artículo 30(5) hace referencia exclusivamente a «empresas que emplean a menos de 750 empleados», sin integrar estos conceptos ni contemplar los criterios financieros que forman parte de las definiciones comunitarias de PYME y SMC.

Por ello, las autoridades europeas recomiendan que la redacción definitiva de la norma haga referencia expresa a las definiciones de PYME y SMC, con el fin de garantizar que el régimen de simplificación beneficie efectivamente a estas entidades y no a organizaciones de mayor capacidad económica.

Adicionalmente, el Dictamen Conjunto sugiere que los colegisladores aclaren que el término «organización», utilizado en el nuevo artículo 30(5), no incluye a las autoridades y organismos del sector público.

3. Extensión de mecanismos de cumplimiento

La propuesta contempla asimismo la extensión del ámbito de aplicación de los artículos 40(1) y 42(1) RGPD, relativos a los códigos de conducta y la certificación, a las SMC. La finalidad es facilitar que estas empresas puedan adherirse a instrumentos que les permitan demostrar de manera eficaz el cumplimiento de sus obligaciones, de forma proporcional a su dimensión y recursos.

Tal como expone la Comisión, estos mecanismos pretenden responder a las necesidades específicas de las empresas de menor tamaño, en línea con el principio de responsabilidad proactiva que constituye uno de los pilares del RGPD.

El cumplimiento del Real Decreto 933/2021 exige a los operadores del sector de la hospitalidad una adecuada ponderación entre las obligaciones legales de registro y los principios de protección de datos personales. La práctica demuestra que el respeto a la minimización de datos, la limitación de la finalidad y la proporcionalidad son criterios esenciales para garantizar la licitud del tratamiento. Por ello es recomendable revisar los protocolos internos de recogida y verificación de datos, a fin de alinear su operativa con los criterios interpretativos de la AEPD, garantizando así un cumplimiento normativo integral y evitando potenciales responsabilidades por vulneración del RGPD.

4. Valoración del CEPD y del SEPD

La presidenta del CEPD, Anu Talus, subrayó que la exención prevista en la versión vigente del RGPD «no siempre logró su objetivo» de simplificar la carga administrativa de las pymes. Según sus palabras, la simplificación proyectada permitirá ofrecer a estas entidades «mayor flexibilidad para elegir el método más adecuado de cumplimiento», sin perjuicio de que el registro de actividades sigue siendo «una herramienta útil para garantizar la transparencia y facilitar el ejercicio de los derechos de los interesados».

Por su parte, el SEPD, Wojciech Wiewiórowski, destacó que las modificaciones propuestas son «específicas y limitadas» y no afectan a los principios fundamentales del RGPD, siempre que se adopten con las debidas salvaguardas.

No obstante, ambas autoridades han manifestado la conveniencia de que se aclaren determinados extremos de la propuesta, en particular:

• Los motivos por los que se ha fijado el nuevo umbral de 750 empleados en lugar del umbral de 500 inicialmente valorado.
• La incorporación de las definiciones de PYME y SMC en la delimitación de los beneficiarios de la exención.
• La exclusión explícita de las autoridades públicas del concepto de organización exenta.

5. Implicaciones prácticas para los responsables del tratamiento

Si bien la propuesta de Reglamento supone una reducción relevante de las obligaciones formales de documentación, conviene precisar que:

• La exención del registro no afecta a la vigencia de las obligaciones sustantivas del RGPD, tales como la licitud del tratamiento, el deber de información, la adopción de medidas de seguridad, el respeto de los derechos de los interesados o la realización de evaluaciones de impacto en tratamientos de alto riesgo.
• La responsabilidad proactiva y la capacidad de demostrar el cumplimiento seguirán siendo exigibles ante las autoridades de control.
• La eventual adhesión a códigos de conducta o esquemas de certificación constituye una herramienta adicional de acreditación del cumplimiento, pero no exime de las obligaciones esenciales.

Por ello, se recomienda que las organizaciones que puedan acogerse a la exención evalúen con carácter previo sus tratamientos de datos, identifiquen eventuales riesgos elevados y documenten internamente sus decisiones, de modo que puedan responder a eventuales requerimientos de la autoridad de protección de datos competente.