El Comité Europeo ha propuesto una importante simplificación de ciertas obligaciones recogidas en el Reglamento General de Protección de Datos (RGPD), centrada en la exención del deber de mantener registros de actividades de tratamiento. Esta iniciativa responde a una necesidad ya identificada por diversos actores del ámbito jurídico y empresarial: aliviar la carga administrativa que el RGPD impone a las organizaciones más pequeñas, sin comprometer el nivel de protección de los datos personales.
La propuesta ha sido recibida con interés por las autoridades de control europeas. En una carta conjunta emitida el pasado 8 de mayo, el Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) ofrecieron una valoración preliminar sobre la viabilidad y alcance de la reforma.
La modificación sugerida afectaría al artículo 30.5 del RGPD, elevando el umbral de empleados de 250 a 500 para acogerse a la exención del registro de actividades de tratamiento. Además, se incluiría a determinadas entidades sin ánimo de lucro y se suprimirían referencias a conceptos jurídicos actualmente problemáticos, como el “tratamiento ocasional”. También se propone eliminar la exclusión automática de la exención cuando se traten categorías especiales de datos, siempre que no exista un alto riesgo para los derechos y libertades de los interesados.
El EDPB y el EDPS han mostrado su apoyo inicial a esta medida, pero subrayan que esta flexibilización no debe afectar al resto de obligaciones sustantivas del RGPD. En su escrito, instan a la Comisión Europea a realizar un análisis detallado del impacto potencial de esta modificación, así como del número de entidades que podrían beneficiarse de ella. También han solicitado participar en una consulta formal una vez se publique el borrador legislativo.
Esta propuesta no puede desvincularse del contexto más amplio en el que se inserta: el impulso de la competitividad digital en Europa y el desarrollo de un ecosistema normativo que permita la innovación tecnológica con garantías. En este sentido, se alinea con los planes europeos en materia de inteligencia artificial y con la necesidad de fomentar un entorno regulatorio que, sin relajar la protección de derechos fundamentales, sea más proporcionado y operativo para las organizaciones.
Desde una perspectiva jurídica, este giro hacia la proporcionalidad y el enfoque basado en el riesgo refleja una evolución coherente con otros cuerpos normativos como la normativa emergente en materia de IA. También plantea un desafío regulatorio: armonizar esta simplificación con marcos como el futuro Reglamento de Inteligencia Artificial, garantizando seguridad jurídica y coherencia entre textos.
En definitiva, estamos ante una propuesta que podría marcar el inicio de un punto de inflexión en la aplicación del RGPD. Una reforma que no elimina obligaciones, pero sí adapta ciertas cargas formales a la realidad de muchas entidades, reforzando así la confianza en un modelo europeo de protección de datos que quiere seguir siendo referente sin frenar la innovación.
