El pasado 9 de julio se ha conocido la opinión conjunta que el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido ante la consulta que la Comisión planteó en relación con una propuesta de Reglamento que vendría a modificar, entre otras normativas, el Reglamento General de Protección de Datos (RGPD).
El objetivo que persigue la propuesta de la Comisión es realizar una simplificación normativa, reduciendo cargas administrativas y modificar exenciones que aplicarán a pequeñas y medianas empresas, sin que ello perjudique la defensa de derechos fundamentales, especialmente, a la protección de datos.
Los principales cambios propuestos por la Comisión son:
- Introducir en el artículo 4 RGPD las definiciones de pequeña y mediana empresa (PYME) y de pequeña empresa de mediana capitalización (mid-caps).
- Ampliar al alcance de los artículos 40.1 y 42.1 RGPD sobre Códigos de Conducta y Certificación, extendiendo su aplicación a las mid-caps.
- Modificar el artículo 30.5 RGPD en los siguientes puntos:
• De forma que la exención de la obligación de realizar un Registro de Actividades del Tratamiento (RAT) aplique a empresas de menos de 750 empleados (actualmente este umbral está establecido en empresas de menos de 250) siempre que los tratamientos no sean de riesgo alto.
• Simplificar la redacción del artículo, ampliando el alcance de la exención,suprimiendo la mención específica a las condiciones que han de darse para aplicarla, es decir, que el tratamiento no suponga riesgo para los derechos y libertades de los interesados, que no sea ocasional, que no afecte a categorías especiales de datos (artículo 9 RGPD ) ni datos relativos a condenas e infracciones penales (artículo 10 RGPD), de manera que dicha exención, según la Propuesta, aplicará únicamente cuando no existan tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de los interesados, con independencia del tipo de datos que se traten.
• Se propone en el considerando 10 de la Propuesta de Reglamento que el tratamiento de categorías especiales de datos personales con arreglo al artículo 9.2.b) RGPD en relación con fines de cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho del trabajo, de la seguridad social y de la protección social no debería exigir, como tal, que se mantengan registros de las actividades de tratamiento.
Por su parte, la opinión conjunta del EDPB y el SEPD, apoya en casi su totalidad la propuesta, si bien recoge una serie de observaciones y recomendaciones:
- La supresión de las condiciones relativas al tratamiento no ocasional y al tratamiento de datos personales del artículo 9 y 10 RGPD puede, en la práctica, tener un impacto aún mayor que el aumento del umbral relativo al número de empleados. El CEPD y el SEPD recuerdan que el tratamiento de tales datos personales es uno de los factores que pueden dar lugar a la probabilidad de un alto riesgo.
- El CEPD y el SEPD señalan que, para la determinación de un tratamiento que “pueda resultar de alto riesgo” los responsables deberán realizar una evaluación del riesgo que plantea el tratamiento. Además, proponen a los colegisladores clarificar que el RAT se deberá realizar obligatoria y exclusivamente de aquellos tratamientos de actividades que “puedan resultar de alto riesgo”.
- El CEPD y el SEPD señalan que en relación con el artículo 9.2.b) RGPD existe la posibilidad de que el tratamiento conlleve alto riesgo o no. En todo caso, piden a los colegisladores especificar en el considerando 10 que dicho tratamiento no debería en principio resultar de alto riesgo, a no ser que una evaluación indique que pueda ser de alto riesgo, lo que llevará a la realización de un RAT.
- Se advierte de que la posibilidad de estar exento del artículo 30.5 RGPD no implica que realizar un RAT no conlleve beneficios, uno de los más importantes es el apoyo que la realización del RAT supone para el cumplimiento de otros preceptos del RGPD.
- En cuanto al umbral de empleados, piden a la Comisión fundamentar los motivos que llevan a establecer el límite en 750 empleados cuando inicialmente se propuso un umbral de 500 empleados.
- El CEPD y el SEPD señalan la importancia de aclarar que la exención se dirige alas mid-caps y PYMES y que es recomendable especificar que la exención del artículo 30.5 RGPD no aplica a autoridades o entidades públicas.
La opinión conjunta será estudiada por la Comisión, que valorará las recomendaciones expuestas por el CEPD y el SEPD y realizará las modificaciones oportunas en la Propuesta para posteriormente tramitar su aprobación como Reglamento aplicable de forma directa a todos los estados miembros..