CEPD y SEPD: Dictamen conjunto sobre la propuesta de modificación del RGPD

Comentario de Manuel Castilleja 18 de julio de 2025

El CEPD y el SEPD apoyan el objetivo general de la Propuesta de modificaciones del RGPD para la simplificación de las obligaciones de mantenimiento de RAT y solicitan algunas aclaraciones

El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido una Opinión Conjunta sobre la Propuesta de Reglamento de la Comisión Europea que modifica ciertas regulaciones, entre las que se encuentra el RGPD.

La Propuesta tiene como objetivo simplificar las normas de la UE y reducir la carga administrativa, extendiendo las exenciones disponibles para las pequeñas y medianas empresas (PYMES) a las pequeñas empresas de mediana capitalización (EMC), e incluye medidas de simplificación adicionales.

En lo referente al RGPD, la Propuesta:

  • Pretende modificar el art. 30.5, previendo que la excepción a la obligación de mantener un registro de las actividades de tratamiento (RAT), que actualmente solo se aplica a empresas y organizaciones con menos de 250 personas trabajadoras, excepto en ciertos casos (tratamiento con riesgo, no ocasional o de categorías especiales de datos/datos de naturaleza penal) se aplique a empresas y organizaciones que empleen a menos de 750 personas, a menos que la actividad de tratamiento realizada pueda entrañar un alto riesgo para los derechos y libertades de las personas, se suprimirían por tanto las condiciones de tratamiento no ocasional y tratamientos de categorías especiales de datos/datos de naturaleza penal.
  • Introduce las definiciones de PYME y EMC en el art. 4, incluyendo criterios financieros como volumen de negocios anual no superior a 150 millones de euros o un balance general anual no superior a 129 millones de euros.
  • Extiende el ámbito de aplicación de los arts. 40.1 (Códigos de conducta), y 42.1 (certificación) a las EMC. Estas herramientas están actualmente diseñadas para ayudar a las empresas y organizaciones a demostrar el cumplimiento del RGPD, centrándose en las necesidades específicas de las PYMES.

El CEPD y el SEPD acogen con satisfacción los esfuerzos de aclaración y simplificación relativos a las condiciones en las que se aplicaría la excepción prevista en el art. 30.5 RGPD y son conscientes de que en su forma actual, podría no haber alcanzado siempre su objetivo, por ejemplo, porque la excepción no suele ser aplicable a empresas muy pequeñas u organizaciones con pocas personas trabajadoras, sobre todo por la condición de que el tratamiento no sea ocasional.

Según el CEPD y el SEPD en los casos incluidos en la exención, no tienen obligación de llevar RAT lo que significa que no podría existir una infracción de los arts. 30.1 y 30.2 ni dar lugar a una sanción. Si subrayan que los responsables y encargados del tratamiento incluidos en la excepción seguirían sujetos a todos los demás requisitos del RGPD, para los cuales, el mantenimiento de RAT puede contribuir a su cumplimiento.

Pese a que el CEPD y el SEPD apoyan el objetivo general de la Propuesta esperan aclaraciones sobre:

  • Por qué el nuevo umbral de empresas u organizaciones que empleen a menos de 750 personas sería más apropiado en virtud del RGPD, en lugar del umbral de 500 empleados considerado inicialmente.
  • La nueva excepción en el art. 30.5 RGPD se refiere a “empresas que empleen a menos de 750 personas” sin hacer referencia a las definiciones recientemente introducidas de PYME y EMC, que también incluyen criterios financieros. Para garantizar que la excepción beneficie a las PYMES y a las EMC, el CEPD y el SEPD recomiendan hacer referencia a las definiciones recientemente introducidas de PYME y EMC.
  • Si el término “organización”, que entra dentro del ámbito de la excepción propuesta en el art. 30.5 RGPD, no incluye a las autoridades y organismos públicos.
  • Que un RAT solo será obligatorio para aquellas actividades de tratamiento que puedan suponer un alto riesgo. Esto evitaría que el texto se malinterprete como que un RAT es obligatorio desde el momento en que al menos una de estas actividades de tratamiento pueda suponer un alto riesgo.

 

Enlace a la noticia en la página del CEPDhttps://www.edpb.europa.eu/news/news/2025/targeted-modifications-gdpr-edpb-edps-welcome-simplification-record-keeping_es

 

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Requerido