La Comisión Europea plantea reformar el reglamento general de protección de datos dentro de un paquete de simplificación para pymes

06-06-2025 — AR/2025/066

La modificación se refiere al registro de actividades de tratamiento y es una de las medidas de un «paquete ómnibus» que pretende reducir la burocracia regulatoria para pequeñas empresas y empresas de mediana capitalización.

 

La Comisión Europea ha presentado, el 21-5-2025, una propuesta de modificación del Reglamento (UE) 2016/679 (reglamento general de protección de datos, RGPD).

Esta iniciativa:

  • forma parte del cuarto «paquete ómnibus» de simplificación, presentado por la Comisión, que busca reducir la burocracia para fomentar la innovación y el crecimiento, y
  • refleja las observaciones manifestadas por el Comité Europeo de Protección de Datos, mediante la carta enviada el 8-5-2025, en respuesta a una versión previa de la iniciativa.

Resumimos los aspectos principales.

Objetivo declarado de la reforma

Según recoge el texto, es el de reducir la complejidad del reglamento para aliviar la carga administrativa de las empresas sin comprometer la protección de datos personales.

Se centra en las pymes, pues la Comisión reconoce que la normativa actual puede resultar pesada para estas empresas.

Esta iniciativa de cambio no está exenta de controversia, pues, aunque busca aliviar a las pequeñas empresas y a las empresas de mediana capitalización, eximiéndolas de ciertas obligaciones, algunas críticas advierten que esta flexibilización podría debilitar la protección de datos personales.

Contenido de la modificación

Se concreta en ampliar la exención del registro de actividades de tratamiento a las empresas de menos de 750 empleados cuando el tratamiento no entrañe un alto riesgo.

Es precisamente el hecho de que este registro no se lleve, salvo «que  pueda entrañar un alto riesgo», el que crea la controversia, pues requiere afinar el concepto de «alto riesgo».


1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).