Simplificación del RGPD: menos obligaciones para PYMEs, más claridad normativa

¿Qué cambia? Modificación del artículo 30(5) RGPD

La propuesta afecta directamente al artículo 30(5) del RGPD, que establece la exención de llevar un «registro de actividades de tratamiento» para ciertas organizaciones. Actualmente, dicha exención se aplica a responsables y encargados del tratamiento con menos de 250 empleados, salvo que:

• El tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados,
• No sea ocasional,
• O incluya categorías especiales de datos (art. 9) o datos sobre condenas e infracciones penales (art. 10).

Con la nueva propuesta:

• Se ampliaría la exención a organizaciones con menos de 750 empleados.
• Se sustituye el criterio actual por uno basado en la naturaleza del riesgo: «tratamientos probablemente de alto riesgo» quedarían excluidos de la exención.

Esto supone un cambio sustancial, ya que el número de entidades exentas aumentaría, al tiempo que se redefine el criterio clave: ya no se consideraría si el tratamiento es ocasional, sino su posible impacto sobre los derechos fundamentales.

Implicaciones técnicas para los responsables de cumplimiento y DPOs

Aunque se plantea como una «simplificación», la propuesta introduce responsabilidades concretas:

• Evaluar si el tratamiento es de «alto riesgo»: Las organizaciones deberán documentar esta valoración para justificar si pueden acogerse a la exención.
• Aplicar, si corresponde, una Evaluación de Impacto (DPIA): Si el tratamiento presenta características de alto riesgo, deberá mantenerse el registro y aplicarse las obligaciones adicionales del RGPD (art. 35 y 36).
• Mantener documentación interna: Aunque el registro formal no sea obligatorio, deberá mantenerse evidencia de cumplimiento conforme al principio de responsabilidad proactiva (art. 5.2 RGPD).

¿A quién afecta y qué debe hacer cada tipo de organización?

Empresas entre 250 y 750 empleados

• Podrían beneficiarse de la exención, siempre que sus tratamientos no impliquen un riesgo elevado.
• Deben:
  • Revisar todos sus tratamientos activos
  • Evaluar el riesgo conforme a los criterios del Grupo del Artículo 29 y las guías del EDPB
  • Documentar de forma explícita la decisión de no registrar ciertas actividades

Encargados del tratamiento o proveedores exentos

• Los responsables que colaboran con ellos deberán:
  • Reforzar cláusulas contractuales
  • Solicitar garantías adicionales de cumplimiento
  • Supervisar de forma más activa la trazabilidad del tratamiento

Grandes empresas y multinacionales

Aunque sus obligaciones no cambian, el ecosistema de cumplimiento se vuelve más heterogéneo:

• Filiales o terceros pueden operar sin registros formales
• Las auditorías y verificaciones deberán contemplar escenarios mixtos
• Será necesario adaptar las políticas internas de cumplimiento y los procedimientos de due diligence

Una visión experta sobre el cambio normativo

En un escenario donde la simplificación normativa convive con la responsabilidad proactiva, es fundamental contar con un enfoque de cumplimiento que combine:

• Análisis jurídico riguroso
• Evaluación técnica del riesgo
• Y una gestión documental estructurada y accesible

En LVS2, ayudamos a empresas, departamentos jurídicos y DPOs a integrar estos elementos en una estrategia de cumplimiento coherente y sostenible. Nuestra metodología combina el asesoramiento experto con una solución tecnológica que permite:

• Centralizar toda la documentación RGPD en una plataforma segura y colaborativa
• Identificar qué tratamientos pueden acogerse a la exención y justificarlo con trazabilidad y evidencias
• Gestionar consultas, actuaciones y revisiones en un entorno profesional, compartido entre cliente y equipo legal

Imagen: Diseñado por Freepik