La UE reacciona: ¿simplificación del RGPD ante el auge global de la IA?

¿Por qué se está considerando ahora simplificar el RGPD?

Parece que los rumores son ciertos: el proceso de "simplificación" del Reglamento General de Protección de Datos (RGPD) ha comenzado, y ahora se están discutiendo las primeras medidas específicas para simplificar el RGPD. 

Esta simplificación bien causada por los siguientes objetivos:

• Simplificar para reducir el tiempo y el esfuerzo que dedican las empresas a cumplir las leyes de la UE, centrándose en las pequeñas y medianas empresas;
• Aumentar la competitividad de la UE, especialmente en la carrera de la Inteligencia Artificial (IA).

Así, en los últimos meses la UE ha cambiado su narrativa y su tono sobre la regulación tecnológica y la protección de los derechos fundamentales. Parece una consecuencia previsible del claro giro narrativo que hemos visto dentro de la carrera geopolítica entre EE. UU., la UE y China por liderar los avances de la IA.

En concreto, se puede destacar dos hitos importantes que llevaron a este cambio de narrativa: (i) el informe Dragui sobre la competitividad de la UE y (ii) los últimos avances en la carrera de la IA.

         i. El informe Draghi sobre competitividad de la UE

Mario Draghi es el expresidente del Banco Central Europeo. La Comisión de la UE le pidió que preparara un informe en el que describiera su visión personal del futuro de la competitividad europea. (Sobre este asunto, podéis también consultar este artículo sobre El informe «Competitividad de la Unión Europea: mirando hacia el futuro» de Mario Draghi elaborado por Fieldfisher España).

Dicho Informe, de septiembre de 2024, presentaba una dura realidad para el futuro de la competitividad europea si no se realizaban cambios. Se destacan dos apartados de dicho informe:

«(…) si bien las ambiciones del RGPD y la Ley de IA de la UE son encomiables, su complejidad y el riesgo de solapamientos e incoherencias pueden socavar los avances en el campo de la IA por parte de los agentes industriales de la UE. Las diferencias entre los Estados miembros en la aplicación y el cumplimiento del RGPD (...), así como los solapamientos y las posibles incoherencias con las disposiciones de la Ley de IA, crean el riesgo de que las empresas europeas queden excluidas de las primeras innovaciones en IA debido a la incertidumbre de los marcos normativos, así como a las mayores cargas para los investigadores e innovadores de la UE a la hora de desarrollar IA propia».

«Dado que en la competencia mundial en materia de IA ya prevalecen las dinámicas de «el ganador se lleva la mayor parte», la UE se enfrenta ahora a una disyuntiva inevitable entre unas salvaguardias reglamentarias ex ante más sólidas para los derechos fundamentales y la seguridad de los productos, y unas normas reglamentarias más flexibles para promover la inversión y la innovación en la UE, por ejemplo, mediante el sandboxing, sin rebajar los estándares de los consumidores. Esto requiere desarrollar normas simplificadas y hacer cumplir la implementación armonizada del RGPD en los Estados miembros, al tiempo que se eliminan las superposiciones normativas con la Ley de IA. Esto garantizaría que las empresas de la UE no se vean penalizadas en el desarrollo y la adopción de la IA de vanguardia».

El informe Draghi resonó con la creciente insatisfacción de las empresas tecnológicas con las normas de cumplimiento de la UE, especialmente el RGPD, y ello quedó claro durante el proceso legislativo del Reglamento de IA de la UE.

             ii. La carrera de la IA: Últimos avances

En la carrera de la IA nos encontramos en esta situación: (i) China parece haber entrado con fuerza en la carrera de la IA, bajando los precios y estableciendo el código abierto como un nuevo estándar de actuación; (ii) las empresas estadounidenses están sometidas a una fuerte presión para demostrar que pueden lograr resultados similares o mejores, y (iii) la UE se encuentra bajo presión para mostrar una presencia significativa en la carrera, ya que actualmente va a la zaga.

En segundo lugar, los cambios políticos y normativos implementados por la administración Trump en el contexto de la carrera de la IA también parecen haber aumentado la presión sobre la UE. Esto fue visible en la Cumbre de IA en febrero de 2025. Por ejemplo, algunas citas del evento que se escucharon fueron:

• Emmanuel Macron (Presidente de Francia) dijo: «Europa va a acelerar; Francia va a acelerar, y por eso, para nosotros, Francia, anunciaremos mañana en esta cumbre 109 000 millones de euros de inversión en IA durante los próximos años».
   
• Ursula von der Leyen (Presidenta de la Comisión Europea) dijo: «Queremos que Europa sea uno de los continentes líderes en IA. Y esto significa adoptar una forma de vida en la que la IA esté en todas partes. La IA puede ayudarnos a impulsar nuestra competitividad, proteger nuestra seguridad, reforzar la salud pública y hacer más democrático el acceso al conocimiento y a la información. Y esto es lo que ustedes, empresarios e investigadores, inversores y líderes empresariales, están mostrando aquí en París. Esto es un atisbo del continente de la IA en el que queremos convertirnos».
   
• J. D. Vance (Vicepresidente de EE. UU) declaró: «La administración Trump está preocupada por los informes de que algunos gobiernos extranjeros están considerando apretar las tuercas a las empresas tecnológicas estadounidenses con presencia internacional. Ahora Estados Unidos no puede aceptar eso y no lo aceptará».
   
• Henna Virkkunen, (Vicepresidenta ejecutiva para la Soberanía Tecnológica, la Seguridad i la Democracia de la Comisión Europea), prometió que la UE simplificaría sus normas y las aplicaría de una manera «favorable a las empresas».

Un hecho que destacar: el mismo día en que terminó la Cumbre de IA, la UE anunció la retirada de la Directiva de Responsabilidad de la IA de la UE. Y unas semanas más tarde, la UE anunció que presentaría una propuesta para simplificar el RGPD. Todo lo anterior evidencia que la UE ha cedido, en cierto modo, ante la presión económica y política externa, y por el momento, la estrategia elegida para aliviar esta presión ha sido la 'simplificación', entre otras normas, del RGPD.

¿De qué manera se simplificará el RGPD?

El pasado 8 de mayo de 2025, el Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) emitieron una carta donde informan que entienden que la Comisión está considerando proponer la ampliación de la excepción prevista en el artículo 30.5 del RGPD a la obligación de mantener registros de tratamiento que actualmente es aplicable a las empresas u organizaciones con menos de 250 empleados (incluidas las pequeñas y medianas empresas o pymes) para incluir a las "pequeñas empresas de mediana capitalización", es decir, empresas con menos de 500 empleados y con un determinado volumen de negocios anual, así como organizaciones sin fines de lucro con menos de 500 empleados.

En dicha carta el EDPB y el EDPS consideran que la Comisión puede proponer modificar el artículo 30.5 RGPD para establecer que la excepción no se aplicaría si el tratamiento es "susceptible de resultar en un alto riesgo para los derechos y libertades de las personas físicas", mientras que la disposición actual se refiere simplemente al tratamiento que puede “resultar en un riesgo". 

¿Ello significa que estas empresas no deberán cumplir con la obligación de disponer de un Registro de Actividades del Tratamiento? 

Depende, ya que incluso el EDPB y el EDPS recuerdan que las empresas muy pequeñas también pueden realizar tratamientos de alto riesgo, por lo que es importante mantener un planteamiento basado en el riesgo. 

Si bien esta carta proporciona una opinión preliminar del EDPB y el EDPS, entienden que se llevará a cabo una consulta formal después de la publicación del proyecto de cambio legislativo.

Por otro lado, respecto a la obligación de disponer de un Registro de Actividades del Tratamiento, unos días después de la publicación de la citada carta del EDPB y el EDPS, la Comisión Europea anunció que propondría elevar hasta 750 empleados la obligación de no crear o actualizar sus registros de actividades que impliquen el tratamiento de datos personales, siempre que no sea probable que estas actividades entrañen un alto riesgo para los derechos y libertades de los interesados:

“El RGPD contiene una excepción para las empresas y organizaciones que emplean a menos de 250 personas. Los exime de la obligación de mantener registros de las actividades de tratamiento de datos. Ahora proponemos ampliar esta excepción a las pequeñas empresas de mediana capitalización y a las organizaciones con menos de 750 empleados. También perseguimos la simplificación proponiendo limitar la obligación de mantener registros solo para las actividades de tratamiento de «alto riesgo». Los cambios propuestos deberían ayudar a las empresas a ahorrar 66 millones EUR al año.”

Con este contexto, por ahora habrá que esperar a los próximos meses para conocer el texto definitivo del RGPD en relación con esta cuestión.

Consideraciones finales

En el contexto actual, existe el riesgo de que se desaten presiones entre las grandes empresas tecnológicas y quienes defienden la privacidad. No obstante, desmantelar las normas del RGPD esenciales no es tarea sencilla. La razón es clara: la protección de los datos personales está reconocida como un derecho fundamental de la Carta de los Derechos Fundamentales de la Unión Europea. Esto significa que cualquier intento de debilitar las obligaciones clave del RGPD se enfrentaría a una fuerte resistencia legal, e incluso podría ser anulado por el Tribunal de Justicia de la UE.

En definitiva, existe actualmente el desafío de simplificar el RGPD, pero sin debilitarlo, porque a pesar de las presiones de las grandes tecnológicas y gentes geopolíticos, su núcleo debe seguir firmemente protegido por el marco legal europeo. 

Desde el equipo de Tech&Data de Fieldfisher permaneceremos atentos en los próximos meses para identificar qué modificaciones concretas conllevará la potencial simplificación del RGPD, con el fin de asesorar eficazmente a nuestros clientes en su correcta implementación y cumplimiento.

El contenido de esta publicación es meramente informativo, sin que el interesado deba tomar una decisión basada en la misma; en tal caso debería solicitar asesoramiento jurídico específico adaptado a sus circunstancias concretas