La Comisión Europea ha presentado la esperada Propuesta de Reglamento Ómnibus Digital, un paquete ambicioso que pretende armonizar, actualizar y «desburocratizar» varios pilares del ecosistema normativo europeo: protección de datos, inteligencia artificial, ciberseguridad, cookies y acceso a datos. Su objetivo declarado es claro: facilitar la innovación, reducir cargas a las empresas y garantizar coherencia entre normas. Pero… ¿estamos ante una modernización necesaria o una revisión que puede alterar equilibrios fundamentales?
Un RGPD más flexible, pero también más permeable
Uno de los puntos más llamativos es la reapertura del RGPD, algo que hace apenas unos años parecía impensable. La propuesta introduce cambios que, si bien buscan claridad jurídica, pueden tener efectos profundos:
- Nueva definición de datos personales, que incorpora doctrina del TJUE: si la reidentificación no es razonablemente posible para quien trata los datos, deja de considerarse dato personal.
- Nuevas excepciones del artículo 9.2, que permiten tratar datos biométricos para verificación cuando estén bajo control del interesado, o para el desarrollo y funcionamiento de modelos de IA.
- Interés legítimo para IA, salvo que el derecho nacional exija consentimiento.
- Deber de información más laxo, que permite omitir información «si ya se presume conocida por el interesado».
- Brechas de seguridad: notificación solo cuando exista «alto riesgo» y ampliación a 96 horas.
La lectura optimista habla de reducción de cargas y mayor claridad. La lectura crítica, sin embargo, alerta de un riesgo de erosión progresiva de la protección: datos inferidos menos protegidos, mayor margen para entrenar sistemas de IA, y opacidad reforzada por nuevas excepciones informativas.
Ciberseguridad y notificaciones: un único punto de acceso
En el ámbito de la ciberseguridad, la propuesta crea un punto único de notificación de incidentes, simplificando uno de los procesos más fragmentados del marco NIS2. Esta medida puede aportar eficiencia real para empresas multinacionales y sectores con múltiples obligaciones regulatorias.
Cookies y ePrivacy: hacia menos banners (y más cambios estructurales)
El Ómnibus introduce modificaciones relevantes sobre cookies y ePrivacy:
- Reducción de banners mediante preferencias centralizadas en navegador o sistema operativo.
- Nuevo artículo 88 a) sobre consentimiento para acceso/almacenamiento en terminales.
- Un 88 b) que fija el respeto obligatorio de señales automatizadas de preferencias.
Aunque el discurso oficial habla de «mejorar la experiencia del usuario», algunos expertos alertan de que el efecto combinado podría debilitar el marco ePrivacy al integrarlo parcialmente en el RGPD modificado.
IA y acceso a datos: alineación con la Ley de IA
El paquete vincula la aplicación de normas de IA de alto riesgo a la disponibilidad de herramientas de apoyo (estándares, guías, metodologías). También impulsa el acceso a datos como motor de innovación, buscando coherencia con la Data Act y la Estrategia Europea de Datos.
¿Qué viene ahora?
La Comisión ha abierto la segunda fase del proceso, con una Evaluación de Aptitud Digital (Fitness Check) hasta marzo de 2026. Será un momento clave: las empresas, administraciones y sociedad civil deberán posicionarse sobre si el Ómnibus representa una simplificación necesaria o una reforma que modifica la esencia del RGPD y ePrivacy.
Como siempre, cuidad los datos y ¡cuidaos!
Para leer la Propuesta, haga clic aquí.
