El Comité Europeo y el Supervisor Europeo de Protección de Datos emiten un dictamen conjunto sobre la simplificación del RGPD

22-07-2025 — AR/2025/084

Ambas autoridades apoyan el objetivo de la propuesta, aunque insisten en que la simplificación no puede comprometer los derechos fundamentales de las personas.

El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido un dictamen conjunto1 sobre la propuesta de la Comisión Europea para modificar el Reglamento (UE) 2016/679,2 más conocido por las siglas RGPD, para reducir las cargas administrativas para las pymes.

La Comisión Europea propuso, el 21-5-2025, simplificar la obligación de las pequeñas y medianas empresas sobre el registro de actividades de tratamiento (como recoge el artículo 30 del RGPD) para intentar rebajar la carga administrativa sin limitar la protección de los derechos fundamentales de las personas.

Resaltamos los dos puntos principales del dictamen.

Sobre el número de empleados para llevar el registro

La propuesta de la Comisión eleva de 250, número fijado por el RGPD, a 750 el número máximo de empleados de las empresas para beneficiarse de la excepción de llevar el registro de actividades de tratamiento, siempre que el tratamiento:

  • no suponga un riesgo para los derechos y libertades de los interesados,
  • no sea ocasional,
  • no afecte a datos de los artículos 9.1 (categorías especiales de datos) o 10 (de condenas e infracciones penales) del RGPD, ni
  • supongan un alto riesgo para los derechos y libertades de los interesados, punto este que hará inaplicable esa excepción.

El CEPD y el SEPD solicitan a los colegisladores que expliquen por qué se ha elevado a 750 el límite de 500 que consideró inicialmente la Comisión.

Evaluación de riesgos para acogerse a la excepción

El dictamen conjunto de las autoridades europeas:

  1. considera que los responsables del tratamiento deberían realizar una evaluación de riesgos para verificar si pueden acogerse a la excepción contemplada en la propuesta, y
  2. señala además que los responsables y los encargados del tratamiento han de cumplir el resto de obligaciones del RGPD, para lo que el registro de actividades de tratamiento puede ser una herramienta útil.
1 European Data Protection Board – European Data Protection Supervisory: «EDPB-EDPS Joint Opinion 01/2025 on the Proposal for a Regulation on simplification measures for SMEs and SMCs, in particular the record-keeping obligation under Art. 30(5) GDPR». Adopted on 8 July 2025.
2 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información