El Reglamento General de Protección de Datos (RGPD) ha tenido un gran impacto en todo el mundo desde su entrada en vigor en la Unión Europea en 2018. Este documento establece normas estrictas para la privacidad de los datos y la protección de los derechos individuales.
Sin embargo, también han surgido críticas por la complejidad administrativa que supone comprender y cumplir los requisitos de esta normativa.
Estas dificultades son especialmente graves para las pequeñas y medianas empresas (pymes), que suelen tener menos recursos para abordar tareas como la obtención del consentimiento válido de todos los usuarios, la gestión segura de los datos y la elaboración de informes.
Pero, al mismo tiempo, las multas por incumplir la normativa, las interrupciones operativas y el daño a la reputación de la marca pueden perjudicar desproporcionadamente a las empresas más pequeñas.
Las autoridades reguladoras han escuchado y han propuesto recortar y simplificar el RGPD, especialmente para las pymes. Su objetivo es reducir las cargas administrativas en un 35 % para las pymes y en un 25 % en general para el año 2029.
Mientras tanto, la Comisión Europea (CE) insiste en que el firme mandato del Reglamento sobre la privacidad y la protección de datos permanecerá intacto.
Analizamos en qué consisten los cambios propuestos, quién puede beneficiarse de ellos y qué efectos pueden tener en las actividades de protección de datos de las empresas y en cómo gestionan el cumplimiento.
¿Quién ha propuesto los cambios del RGPD?
La Comisión Europea ha elaborado una ley ómnibus destinada a simplificar varios ámbitos de los requisitos del RGPD. El 6 de mayo de 2025, la CE envió cartas al Comité Europeo de Protección de Datos (CEPD) y al Supervisor Europeo de Protección de Datos (SEPD) para explicar las modificaciones específicas que tenía previsto introducir.
El 8 de mayo de 2025, el CEPD y el SEPD emitieron una carta de respuesta en la que expresaban su apoyo general a las propuestas. También hicieron hincapié en la necesidad de mantener las obligaciones para el tratamiento de datos de alto riesgo, independientemente del tamaño de la organización.
Además, solicitaron a la CE datos sobre cuántas organizaciones se beneficiarían de los cambios propuestos y cuál sería el impacto potencial sobre la protección de datos. Una vez publicada la propuesta legislativa, se realizará una consulta formal.
El 25 de mayo de 2025, la Comisión Europea publicó sus propuestas de enmienda al RGPD. Estas enmiendas se centran en reducir la carga regulatoria para las pequeñas y medianas empresas (pymes) y para las empresas de pequeña y mediana capitalización (SMCs). Las SMCs son tres veces más grandes que las pymes.
¿Cuáles son los cambios propuestos?
Los cambios propuestos son relativamente menores y afectan principalmente a tres artículos del RGPD. Sin embargo, aún queda mucho para que la propuesta se convierta en ley.
Como era de esperar, hay quienes afirman que los cambios propuestos suponen un debilitamiento excesivo del RGPD, mientras que otros consideran que son demasiado pequeños y afectan a un número demasiado reducido de empresas como para suponer una mejora real para las organizaciones más pequeñas.
Exenciones de registro
El art. 30 del RGPD exime a los responsables y encargados del tratamiento de datos de las pymes, así como a otras organizaciones con menos de 250 empleados, del registro de las actividades de tratamiento en determinadas condiciones.
La propuesta ampliaría la exención a las empresas de mediana capitalización (SMCs) y otras organizaciones con menos de 750 empleados. También mantendría el requisito de mantener registros únicamente para las actividades de tratamiento de datos consideradas de alto riesgo para los derechos y libertades de los interesados [artículo 30, apartado 5, del RGPD].
Ampliación de los requisitos de códigos de conducta
El art. 40 del RGPD exige que las asociaciones y organismos que representan a los responsables o encargados del tratamiento de datos elaboren códigos de conducta que tengan en cuenta las necesidades específicas de las pymes. La propuesta ampliaría ese grupo para incluir también a las empresas de mediana capitalización (SMCs).
Ampliación del alcance de las certificaciones de protección de datos
El art. 42 del RGPD anima a establecer mecanismos y sellos de certificación de la protección de datos centrados en las necesidades específicas de las pymes. La propuesta ampliaría el ámbito de aplicación de esta disposición para incluir a las empresas de mediana capitalización (SMCs).
Respuesta a la propuesta
Las propuestas no están exentas de críticas. La IAPP ha comparado los cambios propuestos con abrir la caja de Pandora, lo que podría dar lugar a importantes impugnaciones que debilitarían el RGPD.
CCIA Europe ha argumentado que estos cambios propuestos son «arreglos cosméticos, no soluciones sistémicas» que aliviarían las cargas del RGPD para sólo el 0,2 por ciento de las empresas de la UE.
¿Qué beneficios aporta la propuesta a las empresas?
Las empresas son las principales beneficiadas de la simplificación del RGPD, pero los cambios propuestos también podrían ser importantes para los reguladores y los consumidores.
Beneficios para las empresas
El RGPD exige a menudo grandes cantidades de documentación para garantizar el cumplimiento de la normativa por parte de las organizaciones. Para las empresas más pequeñas, que suelen disponer de menos recursos —financieros, tecnológicos y de personal—, crear y mantener toda esta documentación ha sido durante mucho tiempo un punto polémico.
Reducir los informes y la documentación probablemente permitiría a las empresas dirigir sus recursos a las operaciones principales, la experiencia del cliente y el crecimiento del negocio. También podría ahorrar costes, por ejemplo, en consultas jurídicas y software para gestionar los requisitos de cumplimiento.
Las empresas podrían avanzar con mayor rapidez sin dejar de adoptar un enfoque orientado a la privacidad en sus operaciones, por lo que se trataría simplemente de reducir los requisitos y el papeleo relacionados con el RGPD a la hora de crear o actualizar nuevos productos, servicios, gestionar el consentimiento y otras operaciones.
Asimismo, las empresas podrían anticiparse y prepararse más fácilmente para futuros cambios del RGPD, lo que facilitaría y abarataría su cumplimiento..
Beneficios para los consumidores
Desde el punto de vista del consumidor, esta modificación podría facilitar la entrega de la documentación requerida, por ejemplo, haciendo que las políticas de privacidad y los avisos de consentimiento sean más sencillos y claros para las personas que visitan sitios web y utilizan aplicaciones
Esto contribuiría a reducir la confusión sobre cómo se utilizan los datos y qué derechos tienen las personas. La modificación también ayudaría a agilizar los requisitos para las solicitudes de acceso de los interesados (DSAR) y otras formas de ejercer los derechos.
Estos cambios podrían contribuir a fomentar la confianza de los consumidores y las relaciones duraderas con las empresas, además de aumentar potencialmente las tasas de opt-in para la recopilación y el tratamiento de datos.
Beneficios para los reguladores
La simplificación del RGPD también podría aliviar la carga de los reguladores, ya que las autoridades de protección de datos (APD) tendrían que dedicar menos esfuerzos a interpretar los requisitos legales aplicables a las operaciones de organizaciones concretas.
En el mejor de los casos, esto se traduciría en menos incertidumbre, revisiones más rápidas y la posibilidad de aplicar la normativa en todos los Estados miembros de manera más uniforme.
De este modo, las empresas mejor preparadas para comprender y cumplir los requisitos de conformidad representarían menos carga de trabajo para las APD, de esta manera habría menos interrogantes y se requeriría menos formación.
Probablemente también supondría un menor riesgo de multas y otras sanciones por infracciones involuntarias, así como menos trabajo junto a las empresas para resolver infracciones y conseguir que las operaciones sean conformes y garantizar que no se interrumpa el cumplimiento.
Todas estas consideraciones forman parte del principal objetivo de la modificación del RGPD: permitir que las empresas de la UE sean más competitivas a escala mundial. Además, los cambios propuestos podrían eliminar los elementos que desalientan la inversión extranjera y las asociaciones en la UE.
¿Qué inquietudes suscitan los cambios propuestos en el RGPD?
La principal preocupación del CEPD y del SEPD es que el RGPD no se vea sustancialmente modificado ni debilitado, y que se mantenga intacta la sólida protección de los datos personales y de los derechos de privacidad de las personas en la UE.
Sin embargo, al igual que cuando se redactó el RGPD, la introducción de cambios propuestos ha suscitado inquietud respecto a los intereses de los lobbies y al posible debilitamiento excesivo de la normativa final.
Las empresas tecnológicas invirtieron ingentes recursos en presionar a las autoridades europeas mientras se redactaba el RGPD con la esperanza de intentar influir a su favor en los detalles del reglamento final.
Existen varias plataformas tecnológicas que se encuentran entre las empresas más grandes del mundo, con enormes recursos financieros y una fuerte motivación para eliminar la mayor cantidad posible de obstáculos a su acceso a los datos de los usuarios, su capacidad para utilizar publicidad dirigida y otras funciones reguladas por el RGPD.
Algunas organizaciones en defensa de la privacidad han presentado numerosas denuncias sobre cuestiones relacionadas con el RGPD y supuestas infracciones, por lo que eliminar algunos requisitos legales podría crear incluso más problemas que los críticos y los defensores de la privacidad no tardarían en denunciar, lo que daría lugar a un número aún mayor de acciones legales.
No obstante, cabe señalar que las normas y requisitos básicos del RGPD serían extremadamente difíciles de eliminar, ya que la protección de datos personales es un derecho inalienable en virtud de la Carta de los Derechos Fundamentales de la UE.
¿Cómo afectan los cambios propuestos al RGPD a la privacidad de los datos?
Los requisitos básicos del RGPD no cambiarán. Por ejemplo, las organizaciones seguirían teniendo que notificar a los usuarios los derechos y el uso de los datos y obtener el consentimiento para recopilar y procesar datos personales.
Como se ha señalado, la experiencia de los usuarios en materia de privacidad podría mejorar si se simplificaran o agilizaran las políticas o notificaciones de privacidad y otras fuentes de información exigidas a los interesados.
Dado que los cambios legislativos propuestos se dirigen en gran medida a las pymes, existe el riesgo de que, con el tiempo, se desarrolle un RGPD de dos niveles, con requisitos diferentes y potencialmente más estrictos para las grandes organizaciones, lo que podría frenar el crecimiento y la innovación, y menos exigencias para las empresas más pequeñas, lo que les permitiría ser más flexibles en sus respectivos sectores.
Aunque la presión de los lobbies para debilitar los requisitos del RGPD, en particular por parte de la industria tecnológica, sigue siendo problemática, existe un fuerte empeño para garantizar que los derechos de privacidad y la protección de datos en el marco del RGPD sigan siendo sólidos.
Acuerdo de coalición alemán y privacidad de los datos
En mayo de 2025, el nuevo gobierno alemán firmó un acuerdo de coalición. Las partes implicadas han acordado contractualmente una agenda política, unas prioridades y unas iniciativas legislativas conjuntas.
El acuerdo establece una transparencia pública sobre las intenciones y los planes legislativos y reglamentarios del Gobierno, que pueden afectar a la privacidad de los datos y a las personas. Entre los puntos específicos de interés y potencial importancia para la privacidad de los datos en Alemania, especialmente con los cambios en el RGPD, se incluyen:
- Excluir a las pymes de la aplicación del RGPD al tiempo que se respetan las normas de privacidad
- Centralizar Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), la autoridad alemana de protección de datos
- Implantación de una Cartera de Identidad Digital de la UE (EUDI)
En términos más generales, se han debatido los siguientes temas e ideas, aunque todavía no se ha redactado ni decidido nada concreto:
- Un principio de tipo «inicio de sesión único», en virtud del cual las personas solo tendrían que proporcionar sus datos a las autoridades públicas una sola vez, y se esperaría que dichas autoridades compartieran ese conjunto de datos (con el consentimiento correspondiente y controles de acceso adecuados)
- Implementar soluciones de exclusión voluntaria (opt-out) para el tratamiento de datos en los servicios estatales
- Derogar la Ley alemana de la cadena de suministro y sustituirla por una alternativa menos burocrática
- Convertir a Alemania en un centro de uso e innovación en inteligencia artificial, especialmente en los servicios públicos
Mejores prácticas para reforzar la privacidad de los datos y la competitividad
Es importante que se mantengan los requisitos y objetivos básicos del RGPD, ya que constituyen la columna vertebral de la protección de los individuos y las empresas en la UE. Ya que estos principios han tenido siempre una gran influencia en la legislación sobre privacidad en otros países, es probable que estos sigan la evolución del RGPD a la hora de considerar cambios en sus propias leyes.
Aunque muchas empresas agradecerían menos burocracia normativa, los requisitos básicos del RGPD en realidad benefician a las empresas y a sus clientes. Cumplir con ellos requiere conocer bien el funcionamiento de la empresa, su infraestructura tecnológica y su base de clientes, además de un compromiso con la implementación de medidas de cumplimiento que minimicen el uso de recursos y ofrezcan la mejor experiencia al usuario.
Una plataforma de gestión del consentimiento (CMP, por sus siglas en inglés) es una herramienta clave para proporcionar a los consumidores de la UE la información requerida sobre el tratamiento de datos y opciones reales de consentimiento. Además, permite almacenar y reportar de forma segura los historiales de consentimiento, lo que facilita a las empresas cumplir con los requisitos de documentación o responder a solicitudes de información.
La tecnología y las expectativas de los consumidores continuarán avanzando y con ellas, la competencia a escala mundial. Al mismo tiempo, es probable que aumenten tanto la cantidad de datos personales digitales que la gente genera en línea como la demanda de su uso.
Los reguladores tienen el enorme reto de crear y mantener leyes que ofrezcan un equilibrio entre solidez y flexibilidad. Afortunadamente, empresas como Usercentrics proporcionan a pymes y empresas herramientas que facilitan el cumplimiento normativo constante y la constitución de una marca que genere confianza.