miércoles, 9 de julio de 2025

RGPD y PYMES: Simplificación de Registros bajo el Riesgo

Fuente de la imagen: portada del informe
M. Velasco. 2025. Opinión Conjunta del EDPB y el EDPS sobre la Simplificación de Medidas de Protección de Datos para PYMES y EMC: Análisis de la Propuesta de Reglamento que enmienda el RGPD

Joint Opinion of the EDPB and the EDPS on Simplifying Data Protection Measures for SMEs and Mid-Cap Companies: Analysis of the Proposed Regulation Amending the GDPR

Resumen

El 8 de julio de 2025, el Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) adoptaron la Opinión Conjunta 01/2025, como respuesta a la consulta formal de la Comisión Europea, emitida el 21 de mayo de 2025, sobre una Propuesta de Reglamento que busca enmendar diversas regulaciones, incluyendo el Reglamento General de Protección de Datos (RGPD). El objetivo primordial de la Propuesta es extender ciertas medidas de mitigación para las pequeñas y medianas empresas (PYMES) a las empresas de mediana capitalización (EMC), además de introducir medidas adicionales de simplificación. El EDPB y el EDPS limitaron su análisis a las enmiendas propuestas al RGPD. Aunque apoyan el objetivo general de reducir la carga administrativa, enfatizan la necesidad de no comprometer la protección de los derechos fundamentales y ofrecen recomendaciones para asegurar la claridad, la proporcionalidad y la coherencia de los cambios.

Palabras clave: Protección de Datos, simplificación, registros, alto riesgo, Reglamento

Summary

On July 8, 2025, the European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) adopted Joint Opinion 01/2025, in response to the European Commission's formal consultation, issued on May 21, 2025, on a Proposal for a Regulation seeking to amend various regulations, including the General Data Protection Regulation (GDPR). The primary objective of the Proposal is to extend certain mitigation measures for small and medium-sized enterprises (SMEs) to mid-cap companies (MCCs), in addition to introducing additional simplification measures. The EDPB and the EDPS limited their analysis to the proposed amendments to the GDPR. While supporting the overall goal of reducing administrative burden, they emphasize the need to ensure the protection of fundamental rights and offer recommendations to ensure clarity, proportionality, and consistency of the changes.

Keywords: Data Protection, simplification, records, high risk, Regulation

I. Introducción

La Comisión Europea, el 21 de mayo de 2025, presentó una Propuesta de Reglamento con el fin de simplificar la actividad empresarial y reducir la carga administrativa para las empresas de mediana capitalización (EMC), que a menudo superan el segmento de las PYMES y se enfrentan a normativas aplicables a grandes empresas. Esta Propuesta, sobre la cual el EDPB y el EDPS fueron formalmente consultados según el Artículo 42 del Reglamento (UE) 2018/1725, busca enmendar varias regulaciones, siendo el RGPD una de las principales afectadas. El análisis del EDPB y el EDPS se centró exclusivamente en las modificaciones propuestas al RGPD. Previamente, el 6 de mayo de 2025, la Comisión ya había solicitado retroalimentación informal, a lo que el EDPB y el EDPS respondieron con un apoyo preliminar, condicionado a que no afectara las obligaciones del RGPD y solicitando más información para evaluar el impacto en las organizaciones.

II. Materiales y Métodos

La Opinión Conjunta 01/2025 del EDPB y el EDPS fue adoptada el 8 de julio de 2025. Esta opinión se emitió en respuesta a una consulta formal de la Comisión Europea, con fecha de 21 de mayo de 2025, de acuerdo con el Artículo 42 del Reglamento (UE) 2018/1725. La Propuesta de la Comisión busca enmendar, entre otras, el Reglamento (UE) 2016/679 (RGPD). El ámbito de la Opinión Conjunta se restringió únicamente a las modificaciones propuestas al RGPD.

III. Resultados y Discusión

1. Cambios Propuestos al RGPD por la Comisión La Propuesta de la Comisión introduce varias modificaciones clave al RGPD:

Definición de PYMES y EMC en el Artículo 4 del RGPD. Las PYMES se definirían según la Recomendación de la Comisión 2003/361/CE. Las EMC, por su parte, se definirían como empresas que no son PYMES, emplean a menos de 750 personas, y tienen una facturación anual que no supera los 150 millones de euros o un balance anual que no excede los 129 millones de euros.

Ampliación del alcance de la derogación a la obligación de mantener un registro de las actividades de procesamiento en virtud del Artículo 30 del RGPD.

Actualmente, esta exención se aplica a empresas y organizaciones con menos de 250 empleados, siempre que el procesamiento no suponga un riesgo para los derechos y libertades de los interesados, no sea ocasional y no involucre categorías especiales de datos (Artículo 9 del RGPD) o datos personales relacionados con condenas y delitos penales (Artículo 10 del RGPD).

Bajo la Propuesta, la obligación de mantener registros solo sería obligatoria cuando el procesamiento sea "probable que resulte en un alto riesgo para los derechos y libertades de los interesados", tal como se define en el Artículo 35 del RGPD, y se aplicaría a empresas u organizaciones que empleen a menos de 750 personas. Se eliminan las condiciones relacionadas con el procesamiento no ocasional y el procesamiento de datos personales cubiertos por el Artículo 9 o el Artículo 10 del RGPD.

Extensión del alcance de los Artículos 40 y 42 del RGPD a las EMC. Esto implicaría que sus necesidades específicas también se considerarían al elaborar códigos de conducta y en el contexto de mecanismos de certificación.

2. Posición General del EDPB y EDPS El EDPB y el EDPS apoyan el objetivo general de la Propuesta de reducir la carga administrativa para las PYMES y EMC. No obstante, este apoyo está condicionado a que la persecución de este objetivo no resulte en una disminución de la protección de los derechos fundamentales de las personas, en particular el derecho a la protección de datos personales. Celebran que las modificaciones propuestas al RGPD sean específicas y limitadas en su naturaleza, sin afectar los principios fundamentales ni otras obligaciones del RGPD.

Sin embargo, el EDPB y el EDPS observan que la Propuesta no incluye una evaluación de las consecuencias en los derechos fundamentales de los cambios propuestos al RGPD, evaluación que debería haberse realizado. Subrayan la importancia de que la simplificación sea proporcionada, equilibrada y basada en la necesidad, en línea con el Artículo 52 de la Carta de los Derechos Fundamentales. Es relevante que el EDPB y las Autoridades Supervisoras (AS) ya están trabajando en medidas para facilitar el cumplimiento para las PYMES, incluyendo recursos prácticos y plantillas para el registro de actividades.

3. Análisis Detallado de la Derogación del Artículo 30 del RGPD (Registro de Actividades de Procesamiento)

Aclaración sobre "probable que resulte en un alto riesgo":

El EDPB y el EDPS acogen con satisfacción los esfuerzos de clarificación y simplificación relacionados con las condiciones de aplicación de la derogación del Artículo 30 del RGPD.

Proponen a los colegisladores clarificar en los considerandos que el registro de procesamiento solo sería obligatorio para aquellas actividades "probable que resulten en un alto riesgo". Esto evitaría la interpretación errónea de que un único procesamiento de alto riesgo haga obligatorio el registro de todas las actividades.

Destacan que, para determinar si un procesamiento es "probable que resulte en un alto riesgo", los responsables del tratamiento aún deberán realizar una evaluación de riesgos. La condición de "probable que resulte en un alto riesgo" bajo la enmienda propuesta al Artículo 30 del RGPD es la misma que para llevar a cabo una evaluación de impacto (DPIA) según el Artículo 35 del RGPD.

Aunque la Propuesta elimina la condición de que el procesamiento de datos del Artículo 9 o 10 del RGPD (categorías especiales de datos o datos relacionados con condenas penales) automáticamente exija un registro, el uso de estos datos deberá considerarse al evaluar el riesgo de una actividad de procesamiento, ya que son factores que pueden llevar a la probabilidad de un alto riesgo. El EDPB y el EDPS sugieren reformular el Recital 10 para aclarar que el procesamiento para los fines previstos en el Artículo 9 del RGPD no requeriría un registro a menos que una evaluación indique que es probable que resulte en un alto riesgo.

Importancia del Registro de Actividades de Procesamiento:

El EDPB y el EDPS enfatizan que, además de facilitar la demostración de cumplimiento ex-post, los registros de actividades de procesamiento constituyen un medio "muy útil" para apoyar el cumplimiento de diversos requisitos del RGPD.

Su utilidad se manifiesta en varios contextos:

Proporcionan una visión completa de las actividades de procesamiento, ayudando a cumplir con los principios del Artículo 5 y el Artículo 6 del RGPD.

Facilitan el ejercicio de los derechos de los interesados, como el derecho de acceso.

Son una fuente importante de información para la evaluación de riesgos y la decisión de realizar una DPIA.

Permiten a los Delegados de Protección de Datos (DPO) realizar sus tareas de supervisión y asesoramiento.

Contribuyen a determinar el establecimiento principal y la autoridad supervisora principal en actividades de procesamiento transfronterizas.

Ayudan en la evaluación de medidas complementarias para herramientas de transferencia de datos a terceros países.

Facilitan la comprensión y el mapeo de actividades de procesamiento al desplegar nuevas tecnologías como la IA.

Pueden ser solicitados por los responsables a los encargados del tratamiento para demostrar el cumplimiento del Artículo 28 del RGPD.

Ayudan en la identificación e implementación de medidas de seguridad.

Permiten documentar las violaciones de datos según el Artículo 33 del RGPD.

Otras Obligaciones a pesar de la Derogación:

A pesar de acogerse a la derogación y no estar obligados a llevar registros, los responsables y encargados del tratamiento seguirán sujetos a todas las demás obligaciones del RGPD.

Deberán elegir los métodos más apropiados para asegurar y demostrar el cumplimiento, garantizando que no haya un impacto negativo en los derechos de los interesados.

4. Nuevo Umbral de 750 Empleados La Propuesta introduce la noción de EMC, que se define con un umbral de "menos de 750 personas", para proporcionar apoyo a estas empresas que enfrentan desafíos similares a los de las PYMES. Este umbral permitiría que aproximadamente 38.000 EMC, además de los 26 millones de PYMES, entren potencialmente en el alcance de la nueva derogación. El EDPB y el EDPS solicitan aclaraciones adicionales sobre la idoneidad de este nuevo umbral de "menos de 750 personas" específicamente para el RGPD, y por qué la cifra inicialmente considerada de 500 empleados se consideró insuficiente.

5. Referencias a "Empresas" y "Organizaciones"

"Empresas": La enmienda propuesta al Artículo 30 del RGPD no hace referencia explícita a las nociones de PYMES y EMC, sino a "una empresa [...] que emplee a menos de 750 personas". Esto podría aplicar la derogación a empresas que no califiquen como PYMES o EMC debido a su facturación o balance, lo que parece inconsistente con el Recital 9 de la Propuesta. El EDPB y el EDPS recomiendan hacer referencia en el Artículo 30 a las definiciones recién introducidas de PYMES y EMC para mayor coherencia.

"Organizaciones": La excepción se aplicaría también a otras "organizaciones" (por ejemplo, sin fines de lucro). Sin embargo, el EDPB y el EDPS argumentan que el término "organización" en la derogación del Artículo 30 del RGPD no debe incluir a las autoridades y organismos públicos. Eximirlos sería inconsistente con el papel especial de rendición de cuentas que el RGPD atribuye a las autoridades públicas, como su obligación de designar un DPO según el Artículo 37 del RGPD. Por lo tanto, recomiendan aclarar en un considerando que el término "organización" no incluye a las autoridades y organismos públicos.

6. Extensión de los Artículos 40 y 42 a las EMC El EDPB y el EDPS celebran la extensión de los Artículos 40 (códigos de conducta) y 42 (mecanismos de certificación) a las EMC. Esta adición asegura que las necesidades específicas de las EMC se consideren al elaborar códigos de conducta y mecanismos de certificación, lo cual se alinea con la estrategia del EDPB de apoyar medidas de cumplimiento.

IV. Conclusiones

En conclusión, el EDPB y el EDPS apoyan los esfuerzos de simplificación y reducción de la carga administrativa para PYMES y EMC, pero insisten firmemente en que la protección de los derechos fundamentales de los interesados no se vea comprometida y que cualquier cambio sea proporcionado, equilibrado y basado en la necesidad. Hacen hincapié en la ausencia de una evaluación de impacto en los derechos fundamentales en la Propuesta, que consideran esencial. Además, ofrecen recomendaciones específicas para mejorar la claridad y la coherencia de la Propuesta. Estas incluyen aclarar que el registro de procesamiento solo es obligatorio para actividades de alto riesgo, considerar el procesamiento de datos sensibles y penales en la evaluación de riesgos, y justificar la idoneidad del nuevo umbral de 750 empleados. 

También recomiendan que las definiciones de PYMES y EMC sean utilizadas explícitamente en el Artículo 30(5) para evitar ambigüedades con el término "empresa", y que se excluya expresamente a las autoridades y organismos públicos del alcance de la derogación para "organizaciones". A pesar de cualquier exención de la obligación de registro, todas las empresas y organizaciones deben seguir cumpliendo con todas las demás obligaciones del RGPD y demostrar dicho cumplimiento de manera adecuada. Fuente de la información: Comité Europeo de Protección de Datos (CEPD). Fuente de la imagen: portada del informe.