La Comisión Europea ha presentado una propuesta de Reglamento conocida como Digital Omnibus como parte de su estrategia para simplificar y armonizar el marco normativo digital de la Unión. El texto aborda ámbitos muy diversos (entre otros, servicios digitales, ciberseguridad o gobernanza de datos), pero una de sus piezas más relevantes afecta directamente al Reglamento General de Protección de Datos (“RGPD”).
No se trata de una reforma integral del RGPD, sino de una serie de ajustes técnicos destinados a clarificar su aplicación práctica y adaptarlo a un entorno marcado por el uso intensivo de datos y por el desarrollo de la inteligencia artificial.
Cuándo un dato deja de ser realmente “personal”
Uno de los cambios más significativos, aunque poco visible a primera vista, se refiere al propio concepto de “dato personal”. La propuesta aclara que una información solo tendrá esa consideración para una entidad concreta cuando dicha entidad pueda identificar razonablemente a la persona afectada utilizando los medios de que dispone.
De este modo, el análisis deja de apoyarse en una posibilidad puramente teórica de identificación y pasa a centrarse en una evaluación práctica del riesgo real de reidentificación. En la práctica, este enfoque refuerza la importancia de los procesos de anonimización y seudonimización y obliga a las organizaciones a justificar y documentar por qué determinados conjuntos de datos no permiten identificar a personas en un contexto concreto.
Reutilizar datos con fines legítimos
El Digital Omnibus introduce también una clarificación relevante en relación con el uso ulterior de datos con fines de investigación, estadística o archivo en interés público. En estos supuestos, el tratamiento posterior se considerará compatible con la finalidad inicial siempre que se apliquen las garantías previstas en el RGPD, como la minimización de datos o la adopción de medidas técnicas adecuadas.
No se crea una nueva base jurídica, pero sí se reduce la incertidumbre sobre la posibilidad de reutilizar información para fines legítimos distintos de los originalmente previstos. Este punto resulta especialmente relevante para sectores como la investigación científica, la estadística pública o los proyectos de análisis de datos con finalidad social o científica.
La inteligencia artificial entra en el RGPD
La propuesta presta una atención especial a la inteligencia artificial. Por primera vez se reconoce de forma expresa que el desarrollo y funcionamiento de sistemas de IA puede apoyarse, en determinados supuestos, en el interés legítimo del responsable del tratamiento.
Este reconocimiento no supone una autorización general ni automática. Exige demostrar que el tratamiento es necesario, que no existen alternativas menos intrusivas y que no prevalecen los derechos y libertades de las personas afectadas. Además, se insiste en la necesidad de aplicar salvaguardas reforzadas durante el entrenamiento y funcionamiento de los modelos, con el fin de reducir el riesgo de reidentificación o de memorización de datos personales.
El texto también contempla el tratamiento incidental de datos sensibles en conjuntos de entrenamiento, permitiendo su bloqueo técnico cuando no resulten necesarios para la finalidad perseguida, así como el uso de datos biométricos con fines de verificación de identidad bajo el control exclusivo del propio usuario, excluyendo su utilización para sistemas de vigilancia generalizada.
Transparencia y decisiones automatizadas: más flexibilidad, con límites
En materia de transparencia, se introducen ciertos márgenes de flexibilidad en situaciones muy concretas. Por un lado, cuando exista una relación clara y de bajo riesgo entre responsable e interesado; por otro, en determinados tratamientos con fines de investigación en los que informar resulte desproporcionado.
Estas exenciones no operan de forma automática. Deben estar justificadas y documentadas, y dejan de ser aplicables si el riesgo del tratamiento aumenta. En paralelo, se mantiene el régimen general sobre decisiones automatizadas, aclarando los supuestos en los que pueden utilizarse y reforzando las garantías de explicación y de intervención humana.
Evaluaciones de impacto y armonización europea
La propuesta avanza hacia una mayor armonización en materia de evaluaciones de impacto mediante la previsión de listas y plantillas comunes a nivel europeo. Con ello se pretende reducir las divergencias entre Estados miembros y ofrecer mayor previsibilidad a las empresas que operan en varios países, especialmente en sectores innovadores y tecnológicamente intensivos.
Este enfoque busca que el análisis de riesgos deje de depender exclusivamente de criterios nacionales y se integre en un marco común europeo.
Seguridad, brechas y consentimiento digital
En el ámbito de la seguridad, se amplía el plazo para notificar las brechas graves hasta las 96 horas y se prevé un canal único de notificación que permita cumplir simultáneamente con distintas obligaciones regulatorias.
A ello se suma la integración en el RGPD del régimen aplicable al acceso a dispositivos (cookies y tecnologías similares) cuando se traten datos personales. Se refuerzan así las exigencias de consentimiento, exigiendo que rechazar sea tan sencillo como aceptar, limitando la reiteración de solicitudes tras una negativa e introduciendo sistemas de señales automáticas de preferencia de privacidad enviadas por los navegadores.
Estas medidas obligarán a revisar los sistemas de gestión del consentimiento y a abandonar prácticas basadas en la insistencia o en diseños persuasivos.
Un RGPD más claro
En conjunto, el Digital Omnibus no elimina las obligaciones del RGPD, pero sí reordena y clarifica su aplicación en aspectos clave, con la intención de hacerlo más homogéneo en toda la Unión Europea y más coherente con la realidad tecnológica actual.
Para las organizaciones, esta evolución normativa apunta a la necesidad de revisar con especial atención el uso de datos en proyectos de inteligencia artificial, los mecanismos de gestión del consentimiento, los análisis de riesgo y los procedimientos de respuesta ante incidentes de seguridad. Aunque la propuesta se encuentra todavía en fase legislativa, anticipa una tendencia clara hacia un RGPD más operativo, pensado para funcionar en un ecosistema digital complejo sin renunciar a su nivel de protección.
En este contexto, anticipar cómo estos cambios pueden afectar a los tratamientos de datos existentes y a los nuevos proyectos digitales resulta especialmente relevante. Analizar con antelación los procesos internos, los modelos de uso de datos y las políticas de privacidad permitirá a las organizaciones adaptarse con mayor seguridad jurídica cuando la reforma sea definitiva.
Si deseas valorar cómo estas modificaciones pueden impactar en tu organización o en un proyecto concreto, puedes ponerte en contacto con nuestro equipo para estudiar tu caso.
¡Contacta con nosotros!
Los campos con asterisco (*) son obligatorios.