La propuesta, que forma parte de la cuarta simplificación general, tiene por objeto simplificar las normas de la UE y reducir la carga administrativa, ampliando determinadas medidas de mitigación disponibles para las pequeñas y medianas empresas (pymes) a las pequeñas empresas de mediana capitalización, e incluye nuevas medidas de simplificación.
La propuesta tiene por objeto modificar el artículo 30, apartado 5, del RGPD, estableciendo una excepción a la obligación de llevar un registro de las operaciones de tratamiento de datos. En la actualidad, esta excepción solo se aplica a las empresas y organizaciones de menos de 250 empleados, salvo en determinados casos. En virtud de la propuesta, la excepción se aplicaría a una empresa u organización que emplee a menos de 750 personas, a menos que la operación de tratamiento llevada a cabo pueda dar lugar a un alto riesgo para los derechos y libertades de las personas, en el sentido del artículo 35 del RGPD (LA LEY 6637/2016).
Además, la propuesta introduce una definición de PYME y SMC en el artículo 4 del RGPD (LA LEY 6637/2016) y amplía el ámbito de aplicación del artículo 40, apartado 1, y del artículo 42, apartado 1, del RGPD a los SMC, que se refieren a códigos de conducta y certificación. Estas herramientas están diseñadas actualmente para ayudar a las empresas y organizaciones a demostrar el cumplimiento del RGPD centrándose en las necesidades específicas de las pymes.
El Supervisor Europeo de Protección de Datos (SEPD), Wojciech Wiewiórowski, ha declarado que apoya el objetivo general de la propuesta de reducir la carga administrativa para las pymes y los SMC, siempre que ello no reduzca la protección de los derechos fundamentales de las personas, en particular los derechos a la intimidad y a la protección de los datos personales. A tal fin, acoge con satisfacción que las modificaciones propuestas para simplificar y aclarar la obligación de llevar un registro del tratamiento sean específicas y de naturaleza limitada, y no afecten a los principios básicos y otras obligaciones en virtud del RGPD.
Por su parte, Anu Talus, presidente del Comité Europeo de Protección de Datos (CEPD) apoya el objetivo general de la propuesta de reducir la carga administrativa para las pymes y los SMC y garantizar que, en la práctica, puedan disfrutar de una excepción a la obligación de llevar registros de las actividades de tratamiento. La excepción actual no siempre logró su objetivo. Al mismo tiempo, el registro de las actividades de tratamiento es una herramienta útil para apoyar el cumplimiento de otras obligaciones, como la de transparencia o para hacer efectivos los derechos de los interesados. Asevera que la simplificación ofrecerá una mayor flexibilidad a las pymes y los SMC para elegir el método más adecuado para cumplir la normativa.
Por lo que se refiere a las organizaciones sujetas a la excepción, teniendo en cuenta que la propuesta afecta a la legislación en otros ámbitos políticos, el CEPD y el SEPD esperan más aclaraciones sobre por qué el nuevo umbral de empresas u organizaciones que emplean a menos de 750 personas sería más adecuado con arreglo al RGPD, en lugar del umbral de 500 empleados inicialmente considerado. Además, la nueva exención del artículo 30, apartado 5, se refiere a las «empresas que empleen a menos de 750 trabajadores», sin hacer referencia a las definiciones recientemente introducidas de pyme y SMC, que también incluyen criterios financieros. Con el fin de garantizar que la exención beneficie a las pymes y los SMC, el CEPD y el dictamen conjunto del SEPD recomiendan hacer referencia a las definiciones recientemente introducidas de pyme y SMC.
El CEPD y el SEPD también piden a los colegisladores que aclaren en la propuesta que el término «organización», que entra en el ámbito de aplicación de la excepción propuesta en virtud del artículo 30, apartado 5, del RGPD, no incluye a las autoridades y organismos públicos.
Acceso al Dictamen conjunto sobre la propuesta de Reglamento de la Comisión Europea por el que se modifican determinados Reglamentos, incluido el RGPD