Bruselas, 11 de febrero - El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han adoptado un dictamen conjunto sobre la propuesta de Reglamento Ómnibus Digital.* Esta propuesta tiene por objeto simplificar el marco regulador digital de la UE, reducir la carga administrativa y mejorar la competitividad de las organizaciones europeas.
El CEPD y el SEPD se centran en los aspectos relativos al RGPD, el RPDUE, la Directiva sobre la privacidad y las comunicaciones electrónicas y el acervo de datos**. Más concretamente, evalúan si la propuesta 1) conduce a una simplificación real y facilita el cumplimiento, 2) aporta más seguridad jurídica y 3) afecta a los derechos fundamentales de las personas.
Cambios en el RGPD y el RPDUE
Cambios que plantean preocupaciones importantes
Algunos cambios propuestos plantean preocupaciones importantes, ya que pueden afectar negativamente al nivel de protección de que disfrutan las personas, crear inseguridad jurídica y dificultar la aplicación de la legislación en materia de protección de datos.
El CEPD y el SEPD instan encarecidamente a los colegisladores a que no adopten los cambios propuestos en la definición de datos personales, ya que van mucho más allá de una modificación específica o técnica del RGPD. Además, no reflejan con precisión ni van claramente más allá de la jurisprudencia del TJUE, y darían lugar a una reducción significativa del concepto de datos personales. No debe encomendarse a la Comisión Europea que decida mediante un acto de ejecución lo que ya no son datos personales tras la seudonimización, ya que afecta directamente al ámbito de aplicación de la legislación de la UE en materia de protección de datos.
«La simplificación es esencial para reducir la burocracia y reforzar la competitividad de la UE, pero no a expensas de los derechos fundamentales. Acogemos con satisfacción los pasos de la Comisión hacia una mayor armonización, coherencia y seguridad jurídica. Sin embargo, instamos encarecidamente a los colegisladores a que no adopten los cambios propuestos en la definición de datos personales, ya que corren el riesgo de debilitar significativamente la protección de datos individuales».
Presidente del CEPD, Anu Talus
«Instamos encarecidamente a los colegisladores a que no adopten los cambios propuestos en la definición de datos personales. Estos cambios no están en consonancia con la jurisprudencia del Tribunal y limitarían significativamente el concepto de datos personales. Debemos asegurarnos de que cualquier cambio en el RGPD y el RPDUE aclare realmente las obligaciones y aporte seguridad jurídica, manteniendo al mismo tiempo la confianza y un alto nivel de protección de los derechos y libertades individuales».
Supervisor Europeo de Protección de Datos, Wojciech Wiewiórowski
Pasos en la dirección correcta
El CEPD y el SEPD están a favor del aumento del umbral de riesgo que da lugar a la obligación de notificar una violación de la seguridad de los datos a la autoridad de protección de datos (APD) competente y a la ampliación del plazo para presentar dicha notificación. Esto reduciría significativamente la carga administrativa para las organizaciones sin afectar a la protección de los datos personales de las personas. Además, las plantillas y listas comunes propuestas para las violaciones de datos y las evaluaciones de impacto sobre la protección de datos son positivas.
El CEPD y el SEPD también acogen con satisfacción la introducción propuesta de una nueva excepción para el tratamiento de categorías especiales de datos para la autenticación biométrica, cuando los medios de verificación estén bajo el control exclusivo de la persona.
Por último, apoyan la armonización del concepto de «investigación científica» y otros cambios conexos, ya que refuerzan la seguridad jurídica y contribuyen a una mayor armonización.
Cambios que requieren un ajuste preciso
Como se indica en el Dictamen 28/2024 del CEPD sobre los modelos de IA, en algunos casos puede utilizarse el interés legítimo como base jurídica en el contexto del desarrollo y la implantación de modelos o sistemas de IA. Por lo tanto, el CEPD y el SEPD no consideran necesario incluir una disposición específica al respecto en el RGPD.
El CEPD y el SEPD acogen con satisfacción el objetivo de la propuesta de introducir una excepción específica a la prohibición de tratar datos sensibles, en determinadas condiciones, que abarque el tratamiento incidental y residual de dichos datos en el contexto del desarrollo y el funcionamiento de sistemas o modelos de IA. Sin embargo, recomiendan varias mejoras, como aclarar el alcance de la excepción y garantizar salvaguardias a lo largo de todo el ciclo de vida.
El CEPD y el SEPD están de acuerdo con el objetivo de la Comisión de proporcionar claridad jurídica a los responsables del tratamiento cuando se enfrenten a abusos de derechos por parte de los interesados. Sin embargo, consideran que el ejercicio del derecho de acceso para fines distintos de la protección de datos personales no debe ser un elemento que defina lo que es un abuso. En cuanto a la nueva excepción para la transparencia, el CEPD y el SEPD apoyan la simplificación de los requisitos de información y la reducción de la carga administrativa, en particular para las pymes, pero sugieren aclaraciones para garantizar la seguridad jurídica y garantizar que las personas puedan seguir recibiendo información pertinente sobre sus datos cuando sea necesario.
Por último, deben aclararse los cambios introducidos en la disposición sobre la toma de decisiones individual automatizada para que estos cambios sean significativos y jurídicamente sólidos.
Modificaciones de la Directiva sobre la privacidad y las comunicaciones electrónicas
El CEPD y el SEPD apoyan firmemente el objetivo de proporcionar una solución reglamentaria para hacer frente a la fatiga del consentimiento y la proliferación de banners de cookies. Esto se refiere, por ejemplo, a los requisitos propuestos sobre el uso de indicaciones automatizadas y legibles por máquina de las elecciones de las personas en relación con el tratamiento de sus datos. El uso de medios técnicos puede simplificar el cumplimiento por parte de los responsables del tratamiento y ayudar a las personas a hacer efectivas sus opciones en línea.
El CEPD y el SEPD también acogen con satisfacción las limitadas excepciones adicionales a la prohibición general de almacenar o acceder a datos personales en los equipos terminales e invitan además a los colegisladores a incentivar la publicidad contextual en lugar de la publicidad conductual, añadiendo una excepción específica rodeada de algunas salvaguardias.
El CEPD y el SEPD acogen con satisfacción el hecho de que la supervisión de estas cuestiones se encomiende a las APD.
Al mismo tiempo, el CEPD y el SEPD destacan las dificultades jurídicas y técnicas que plantea la coexistencia de dos regímenes diferentes para los datos personales y no personales. También ofrecen recomendaciones adicionales para mejorar la seguridad jurídica, minimizar el riesgo y fomentar la innovación responsable.
Cambios en el acervo de datos
El CEPD y el SEPD apoyan la simplificación del acervo de datos mediante la integración en la Ley de Datos de la Ley de Gobernanza de Datos y las normas de la Directiva sobre datos abiertos relativas a la reutilización de datos y documentos en poder de organismos del sector público.
En relación con el acceso concedido por los organismos públicos para la reutilización, recomiendan mantener la claridad que ofrece el marco jurídico actual, a saber, que no obliga a los organismos del sector público a permitir la reutilización ni proporciona una base jurídica para conceder el acceso.
En cuanto a las emergencias públicas, el CEPD y el SEPD recomiendan afirmar que los datos personales solo pueden compartirse en forma seudonimizada con organismos del sector público, en los casos en que los datos anónimos sean insuficientes para responder a la emergencia pública.
En cuanto a los servicios de intermediación de datos y las organizaciones de gestión de datos con fines altruistas, el CEPD y el SEPD destacan la importancia de un intercambio de datos fiable y responsable. Recomiendan mantener salvaguardias específicas, favoreciendo la transparencia y la supervisión.
El CEPD y el SEPD recomiendan una mayor racionalización de las disposiciones relativas a la aplicación (por ejemplo, permitiendo el intercambio de información sobre la aplicación con las APD y aclarando el papel de las APD en la aplicación de la Ley de Datos).
El CEPD y el SEPD acogen con satisfacción la confirmación por parte de la propuesta del papel del Comité Europeo de Innovación en materia de Datos (CEDI) a la hora de apoyar la aplicación coherente de la Ley de Datos. En cuanto al desarrollo de directrices, recomiendan facultar a la Comisión para emitir directrices sobre cualquier tema relacionado con la Ley de Datos y aclarar el papel del EDIB en la asistencia a la Comisión en este proceso. Esto permitiría a la Comisión elaborar directrices conjuntas con el CEPD y al EDIB asesorar y asistir a la Comisión en el desarrollo de dichas directrices.
Nota a los editores:
*El 19 de noviembre de 2025, la Comisión adoptó una propuesta Ómnibus Digital que modifica un amplio corpus de la legislación digital de la UE, incluidos el RGPD, el RPDUE, la Ley de Datos, la Directiva sobre la privacidad y las comunicaciones electrónicas y la Directiva SRI 2.
El 25 de noviembre de 2025, la Comisión consultó formalmente al CEPD y al SEPD de conformidad con el artículo
42, apartado 2, del RPDUE y solicitó un dictamen sobre los aspectos relativos al RGPD, el RPDUE, la Directiva sobre la privacidad y las comunicaciones electrónicas y el acervo de datos.
El 20 de enero de 2026, a petición de la Comisión, el CEPD y el SEPD también adoptaron un dictamen conjunto sobre el «Ómnibus digital sobre la IA».
** El «acervo de datos», que forma parte de la propuesta Ómnibus Digital, tiene por objeto derogar la Ley de Gobernanza de Datos, la Directiva sobre datos abiertos y el Reglamento sobre la libre circulación de datos no personales, e integra las disposiciones pertinentes modificadas de dichos actos en la Ley de Datos.
El comunicado de prensa publicado aquí ha sido traducido automáticamente del inglés. El CEPD no garantiza la exactitud de la traducción. Por favor, consulte el texto oficial en su versión en inglés si hay alguna duda.