Cómo afecta el Ómnibus Digital al RGPD y a la privacidad
La propuesta invita a hablar de armonización y simplificación del marco normativo que regula los datos, la inteligencia artificial y la ciberseguridad
El inicio del 2026 viene marcado por la presentación de la propuesta de reglamento europeo para la simplificación de la legislación digital, impulsada por la Comisión Europea: el Ómnibus Digital. La propuesta invita a hablar de armonización y simplificación del marco normativo que regula los datos, la inteligencia artificial y la ciberseguridad, pero su impacto más sensible se produce en la protección de datos personales.
El Ómnibus Digital constituye un ejercicio de ajuste fino del Reglamento General de Protección de Datos (RGPD) y de su hasta ahora incómoda convivencia con la directiva ePrivacy. Una cirugía normativa orientada a reducir fricciones sin tocar órganos vitales o principios esenciales.
El RGPD es una norma sólida, pero ha empezado a generar rigideces. Interpretaciones en su aplicación, cargas administrativas poco proporcionadas e inseguridad jurídica en determinados usos de los datos han alejado la práctica de su espíritu original. El Ómnibus Digital se propone intervenir con bisturí, introduciendo novedades que pueden aliviar a figuras clave como el delegado de protección de datos.
Resulta relevante su aclaración del concepto de dato personal: una información no será dato personal para una entidad si no dispone de medios probables para identificar a la persona física, aunque otra entidad sí pudiera.
El paquete normativo aborda de forma más pragmática la pseudonimización. La comisión y el Comité Europeo de Protección de Datos deberán fijar criterios técnicos para determinar cuándo ciertos datos pseudonimizados dejan de ser considerados personales para determinadas entidades. También se exige que se tengan en cuenta el estado de la técnica y la evaluación del riesgo de reidentificación. Esto no abre la puerta a usos indiscriminados y posiblemente contribuirá a reutilizar datos de forma responsable.
El Ómnibus Digital también aclara el alcance de la investigación científica, relajando el deber de información a los interesados cuando cumplir con este deber sea imposible o suponga un esfuerzo desproporcionado. Un ajuste necesario al reconocer que la innovación no es un proceso lineal y que el tratamiento posterior de datos, cuando persigue estos fines, puede ser compatible con el propósito original de la recogida.
El capítulo más observado —y más sensible— es el relativo a la inteligencia artificial. El reglamento confirma que el tratamiento de datos personales para desarrollar y operar modelos de IA puede basarse en el interés legítimo, siempre que existan salvaguardas adecuadas y no prevalezcan los derechos de los interesados. No es un cheque en blanco, pero sí una base jurídica clara donde había dudas y soluciones forzadas.
Especialmente relevante es la nueva excepción que permite tratar categorías especiales de datos personales exclusivamente para detectar y corregir sesgos en sistemas de IA. El ómnibus reconoce esta realidad, pero impone condiciones estrictas: minimización, eliminación posterior y medidas técnicas que eviten recogidas residuales. Innovar mejor, sin normalizar el uso de datos sensibles.
Otro tema relevante será el tratamiento de datos biométricos como la huella dactilar o el reconocimiento facial o de voz, permitiéndose el uso de estos datos para confirmar la identidad del interesado, siempre que los datos biométricos y los medios para verificarlo se encuentren “bajo el control exclusivo” del interesado. Esto significa que los datos biométricos no se almacenen ni controlen por terceros y permanezcan en el dispositivo personal del usuario.
La propuesta introduce una reducción tangible de cargas administrativas. Las evaluaciones de impacto dejan de depender de listas nacionales dispares y se armonizan mediante una lista única europea, acompañada de metodología y plantilla común. Menos fragmentación, más coherencia y menos inseguridad para organizaciones que operan en varios estados miembros.
También se ajusta el derecho de acceso, permitiendo rechazar o cobrar una tasa razonable cuando las solicitudes sean manifiestamente infundadas o excesivas. No se limita el derecho, se protege su finalidad. Algo similar ocurre con la exención del deber de información en relaciones de bajo riesgo y escasa intensidad de datos, donde resulte razonable asumir que el interesado ya dispone o conoce la información esencial.
En materia de brechas de seguridad de datos, el Ómnibus eleva el umbral de notificación: solo será obligatoria cuando exista probabilidad de alto riesgo para los derechos de las personas. Además, amplía el plazo a 96 horas y canaliza las notificaciones a través del nuevo Punto Único de Entrada, poniendo el foco en los incidentes que realmente importen.
La “modernización” del régimen de cookies incluye una lista de fines de bajo riesgo que no requieren consentimiento y con un refuerzo del control del usuario. Más claridad para los responsables y menos fricción para los usuarios.
El Ómnibus Digital actuará como una poda selectiva en un jardín regulatorio que crecía de forma densa y dejará pasar la luz. En un entorno digital en constante cambio, el resultado pretende ser una norma europea que regule la protección de datos personales de una forma más coherente, adaptada a la realidad tecnológica y sostenible en el tiempo.