El Digital Omnibus y la transformación del RGPD: simplificación, armonización y riesgos regulatorios

La Comisión Europea ha publicado el borrador Digital Omnibus reabriendo un debate crucial sobre la evolución del marco europeo de protección de datos. Diseñado como un instrumento de simplificación y armonización transversal del ecosistema digital, el texto propone modificaciones relevantes en el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, “RGPD”), en la normativa sobre comunicaciones electrónicas, en el régimen de ciberseguridad y en diversas disposiciones del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo (en adelante, el “RIA”). Si bien su objetivo es mejorar la coherencia normativa y reducir cargas, su contenido apunta a cambios estructurales que podrían reconfigurar piezas esenciales del modelo europeo de privacidad.

En el presente artículo abordamos las principales modificaciones que propone este borrador en el marco de cumplimiento establecido en materia de protección de datos e inteligencia artificial en Europa.

Propuesta de modificación del RGPD

Uno de los elementos más significativos es la revisión del artículo 9 del RGPD. La propuesta plantea sustituir la referencia actual a datos “que revelen” información sensible por una prohibición circunscrita únicamente a los datos que “revelen directamente” esas características en relación con un individuo concreto. La diferencia entre ambas formulaciones puede parecer sutil, pero supone un desplazamiento relevante en el alcance de la protección reforzada. En la práctica, tratamientos que permitan inferir atributos sensibles sin una revelación directa podrían quedar fuera del perímetro actual, especialmente en contextos de análisis automatizado o inferencia algorítmica.

Además, el borrador añade nuevas circunstancias en las que el tratamiento de estas categorías de datos estaría permitido. Entre ellas se incluye el uso de datos en el desarrollo y la operación de sistemas de inteligencia artificial, siempre bajo condiciones específicas destinadas a minimizar riesgos residuales, y la utilización de datos biométricos para verificar la identidad cuando dichos datos permanezcan bajo el control exclusivo de la persona.

En coherencia con esta apuesta por reforzar las salvaguardas ex ante en materia de IA, la posible incorporación de un nuevo artículo 88c confirma la voluntad de reconocer explícitamente el interés legítimo como base jurídica para el tratamiento de datos personales en el contexto del desarrollo y funcionamiento de sistemas de IA. Esta previsión pretende ofrecer un marco jurídico más claro para actividades que, por su propia naturaleza, dependen del acceso a grandes volúmenes de datos. Aun así, la propuesta se acompaña de obligaciones preventivas reforzadas, entre ellas la minimización desde la fase de selección de fuentes, la adopción de medidas para evitar revelaciones residuales y un derecho de oposición fortalecido para las personas afectadas.

Este enfoque pone de relieve una tensión estructural entre la protección tradicional basada en el consentimiento o la necesidad contractual y las exigencias de escalabilidad y eficiencia propias de los modelos algorítmicos. El reconocimiento explícito del interés legítimo como base jurídica para actividades de IA podría, en efecto, aliviar cargas operativas y aportar mayor claridad a los desarrolladores. Sin embargo, también plantea interrogantes sobre cómo preservar un equilibrio adecuado entre innovación y la protección de los derechos y libertades fundamentales de los interesados. En este contexto, la propuesta puede entenderse asimismo como una reacción a la percepción creciente de que el RGPD limita la capacidad de la Unión Europea para competir en el ámbito de la inteligencia artificial, especialmente frente a jurisdicciones como Estados Unidos, donde la innovación avanza con menos restricciones regulatorias. Así, al introducir un marco algo más permisivo y orientado a facilitar el acceso a datos, el Omnibus parece buscar impulsar la inversión en IA y reducir barreras operativas, intentando al mismo tiempo preservar las garantías esenciales del modelo europeo de protección de datos.

Asimismo, el texto introduce una reformulación de la excepción al deber de información del artículo 13 del RGPD. Conforme a la nueva redacción, el responsable podría no proporcionar la información cuando los datos se recojan en el marco de una relación clara y delimitada con el interesado, siempre que el tratamiento no sea intensivo y que existan motivos razonables para presumir que la persona conoce la identidad del responsable y las finalidades del tratamiento. Este cambio pretende reducir redundancias en situaciones donde la carga informativa puede considerarse excesiva, aunque la aplicación práctica dependerá de cómo se interprete la existencia de una relación “clara y delimitada” y de los parámetros que definan un uso no intensivo.

El borrador propone igualmente ajustar el régimen relativo al ejercicio de los derechos reconocidos en los artículos 13 y 14, así como las comunicaciones y actuaciones derivadas de los artículos 15 a 22 y 34. Si bien estas deberán seguir proporcionándose de forma gratuita, el texto introduce una precisión relevante: cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular, por su carácter repetitivo o porque se utilicen los derechos conferidos por el Reglamento para fines distintos a la protección de sus datos, el responsable podrá cobrar una tarifa razonable que tenga en cuenta los costes administrativos de atender la solicitud, o incluso rechazar su tramitación. En cualquier caso, corresponderá siempre al responsable demostrar que la solicitud es manifiestamente infundada o que existen motivos razonables para considerarla excesiva.

En materia de seguridad, el borrador amplía a 96 horas el plazo de notificación de brechas de datos personales y prevé la creación de un punto único de comunicación. Este sistema actuaría como un vínculo desde el que se distribuirían las notificaciones a las distintas autoridades competentes, siguiendo el principio de “report once, share many”. La convergencia de obligaciones derivadas del RGPD, NIS 2, DORA, eIDAS y otras normas persigue racionalizar la carga administrativa y eliminar duplicidades, aunque también redefine el papel de los responsables en la gestión de incidentes.

Paralelamente, se propone encomendar al EDPB la elaboración de listas europeas sobre los supuestos que requieren evaluaciones de impacto en protección de datos, junto con una metodología y una plantilla comunes para su ejecución. Este cambio sustituiría las listas nacionales por un mecanismo uniforme, potenciando la coherencia regulatoria.

Propuesta de modificación al RIA

En paralelo a los ajustes previstos en el RGPD, el Digital Omnibus introduce también modificaciones relevantes en el RIA, con especial incidencia en la aplicación escalonada de obligaciones y en la arquitectura de gobernanza del despliegue de sistemas de IA.

Uno de los cambios más significativos afecta al calendario previsto para la aplicación de las obligaciones asociadas a los sistemas de alto riesgo. El marco actual fija agosto de 2026 como fecha de entrada en vigor para los sistemas contemplados en el Anexo III y agosto de 2027 para los incluidos en el Anexo I. La propuesta del Omnibus, sin embargo, plantea un esquema más flexible condicionado a la adopción por parte de la Comisión de una decisión que acredite la existencia de recursos y mecanismos suficientes para apoyar el cumplimiento. Si esa decisión se adopta, las obligaciones se activarían de forma anticipada: a los seis meses para los sistemas del Anexo III y al año para los del Anexo I. Si no se adopta, el propio texto establece unas fechas límite más amplias, que desplazarían la entrada en aplicación hasta el 2 de agosto de 2027 para los sistemas del Anexo III y hasta el 2 de agosto de 2028 para los del Anexo I. Este reajuste supone, en la práctica, un aplazamiento de un año respecto al calendario vigente y busca ofrecer mayor margen para que operadores y autoridades se adapten a las exigencias del nuevo marco.

El borrador aborda también la cuestión de la alfabetización en IA, modificando el enfoque inicial del RIA. En lugar de imponer una obligación directa a proveedores y responsables del despliegue, la nueva redacción orienta la responsabilidad hacia la Comisión y los Estados miembros, a quienes se encomienda promover que las organizaciones involucradas proporcionen formación adecuada a sus equipos. La intención es transitar hacia un mecanismo de impulso institucional que facilite la integración progresiva de competencias en IA dentro de las organizaciones.

Finalmente, el texto introduce una medida de simplificación administrativa al suprimir la obligación de registrar los sistemas de alto riesgo cuando su componente de IA tenga un carácter meramente accesorio. Esta modificación pretende evitar cargas desproporcionadas en aquellos casos en los que la funcionalidad de IA no constituye el elemento principal del producto o servicio, reforzando la coherencia y proporcionalidad del marco regulatorio.

Conclusión

En definitiva, aunque el propósito declarado del Omnibus es reforzar la coherencia regulatoria y reducir cargas en el ecosistema digital, la magnitud de las reformas planteadas requiere una reflexión pública profunda. La posible redefinición de nociones centrales como “dato personal” o “categoría especial”, junto con la ampliación de bases jurídicas para actividades de IA y la introducción de nuevos mecanismos de gestión de derechos, podría transformar de manera sustancial el funcionamiento de sectores como la publicidad digital, los modelos fundacionales de IA o la intermediación de datos.

En particular, los ajustes al RIA, que incluyen la flexibilización de los plazos de aplicación de las obligaciones de alto riesgo, la promoción de la alfabetización en IA mediante un enfoque institucional más que obligatorio, y la supresión de la obligación de registro para sistemas accesorios de alto riesgo, refuerzan la orientación hacia un despliegue más escalonado y proporcional de la regulación de IA. Estas medidas buscan equilibrar la necesidad de supervisión y control con la capacidad operativa de los operadores y la innovación tecnológica, evitando cargas administrativas desproporcionadas y fomentando la adaptación progresiva de las organizaciones.

Por ello, cualquier avance normativo destinado a facilitar la innovación y reducir la carga regulatoria debe acompañarse siempre de un equilibrio adecuado con los derechos y libertades fundamentales de las personas, asegurando que la modernización del marco legal europeo no comprometa las garantías que constituyen el núcleo del modelo europeo de protección de datos.

Contacta con nosotros

Fernando Fernández-Miranda

Socio responsable de NewLaw Pulse, PwC Tax & Legal

© 2016 - 2026 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.