Como parte del cuarto programa ómnibus de simplificación legislativa, la Comisión Europea ha lanzado una propuesta de reforma del RGPD que busca, entre otros objetivos, extender ciertas flexibilidades actualmente reservadas a las pequeñas y medianas empresas (PYME) a un nuevo grupo: las empresas de mediana capitalización, también denominadas CMS (por sus siglas en inglés). A este respecto, el CEPD y el SEPD han emitido un dictamen conjunto en el que valoran positivamente algunos aspectos del texto, pero también plantean importantes reservas técnicas y jurídicas.
Uno de los cambios más relevantes propuestos afecta al artículo 30(5) del RGPD, que regula la obligación de mantener un registro de las actividades de tratamiento. Actualmente, dicha obligación no se aplica a entidades con menos de 250 empleados, salvo que realicen tratamientos que puedan suponer un alto riesgo. La nueva propuesta eleva este umbral a 750 empleados, sin tener en cuenta otros criterios como la naturaleza del tratamiento o los riesgos asociados, y sin hacer referencia a las nuevas definiciones de PYME y CMS que se quieren incorporar en el propio artículo 4 del Reglamento.
El CEPD y el SEPD expresan su preocupación por esta desconexión técnica, ya que el nuevo umbral numérico (750 empleados) no se vincula a los criterios cualitativos y financieros que definen a una PYME o CMS en otros textos legislativos de la Unión Europea. En su dictamen, recomiendan expresamente que se armonice el texto y se vincule la exención al marco conceptual de las nuevas definiciones, para garantizar que esta flexibilización normativa beneficie efectivamente a los destinatarios previstos y no abra la puerta a interpretaciones amplias o abusivas.
Asimismo, los organismos de supervisión subrayan que no se ha justificado suficientemente por qué se abandona el umbral de 500 empleados, que inicialmente había sido considerado más razonable para una reforma de estas características, y alertan de los riesgos de erosión progresiva de la protección de datos si se relajan sin justificación umbrales establecidos en función de la capacidad de las organizaciones para asumir responsabilidades en el tratamiento de datos personales.
Otro punto importante del dictamen es la petición explícita para que los colegisladores aclaren que las autoridades y organismos públicos no deben beneficiarse de esta exención, dado que la propuesta menciona de forma ambigua a “organizaciones” sin precisar si se excluye del ámbito de aplicación a las entidades del sector público. Esta omisión podría generar incertidumbre interpretativa y desdibujar los límites de la responsabilidad institucional en el tratamiento de datos.
Finalmente, el dictamen valora positivamente que la propuesta extienda el uso de códigos de conducta y mecanismos de certificación (artículos 40 y 42 del RGPD) a las CMS, en línea con el principio de proporcionalidad y la necesidad de fomentar el cumplimiento del RGPD entre empresas con capacidades limitadas en términos de recursos humanos y técnicos.
No obstante, el CEPD y el SEPD insisten en que toda simplificación normativa debe mantener la coherencia con los principios fundacionales del RGPD y no debilitar las salvaguardias esenciales en nombre de la eficiencia administrativa. Su dictamen constituye, por tanto, un aviso técnico a navegantes, que insta a los legisladores europeos a corregir las ambigüedades del texto antes de su aprobación definitiva.
En resumen, la reforma en curso del RGPD tiene el potencial de aliviar ciertas cargas para las empresas, pero debe afinar su redacción y justificación para no sacrificar la protección efectiva de los derechos fundamentales en el proceso. Como siempre, el equilibrio entre flexibilidad empresarial y garantías jurídicas sigue siendo la clave del éxito normativo en materia de protección de datos.
