Digital Omnibus: hacia la simplificación del marco normativo digital de la UE

1.    Contexto

La propuesta Digital Omnibus, cuyo objetivo es promover la simplificación regulatoria y la cohesión del ecosistema digital europeo, se integra en la estrategia de la Comisión para impulsar la competitividad digital y la innovación en la UE, mediante la restructuración del marco normativo y la creación de mecanismos comunes que faciliten el cumplimiento de las obligaciones regulatorias. 

2.    Puntos clave de las propuestas

(i)    RGPD

La Propuesta de Reglamento Digital Omnibus propone cambios relevantes en el Reglamento (UE) 2016/679 (RGPD) en aras de adaptar la normativa a un enfoque más práctico y coherente con los avances tecnológicos. En primer lugar, se redefine el concepto de dato personal, incorporando que la información relativa a una persona física no se considerará necesariamente dato personal para una entidad determinada cuando no disponga de medios razonablemente probables para identificar al interesado. Este cambio supone abandonar un enfoque puramente teórico y adoptar un método basado en el riesgo, que permitirá evaluar la identificabilidad de forma proporcional y contextual.

Se aclara que la categoría de datos relativos a la salud debe entenderse de forma estricta, comprendiendo solo aquellos datos que revelen directamente el estado físico o mental de una persona. De ese modo, quedarán excluidas inferencias, correlaciones o deducciones obtenidas mediante análisis estadísticos o algoritmos, salvo que el resultado revele explícitamente el estado de salud.

Asimismo, se refuerza el principio de limitación de la finalidad, confirmando que el tratamiento posterior para fines de investigación científica o histórica, interés público o fines estadísticos no se considerará incompatible con la finalidad inicial, siempre que se respeten las garantías del RGPD. 

Se añaden dos nuevas excepciones para el tratamiento de categorías especiales de datos: (1) el tratamiento de datos para el desarrollo y funcionamiento de sistemas de inteligencia artificial bajo medidas técnicas y organizativas que minimicen riesgos, y (2) el tratamiento de datos biométricos cuando sea necesario para confirmar la identidad del interesado (verificación), siempre que dichos datos o los medios necesarios para la verificación estén bajo el control exclusivo del interesado.

Entre otros ajustes, se introducen medidas para reforzar la protección frente a abusos en el ejercicio de derechos, permitiendo rechazar solicitudes repetitivas o claramente infundadas, incluso aplicando tarifas razonables. También se flexibilizan las obligaciones de información en tratamientos de bajo riesgo o cuando el interesado ya dispone de los datos, y se aclara que la necesidad de ejecutar un contrato no implica que las decisiones deban ser exclusivamente automatizadas.

Además, se refuerza la armonización de las evaluaciones de impacto mediante criterios y modelos comunes elaborados por el EDPB (las conocidas como “whitelist”), con el objetivo de ofrecer mayor coherencia y reducir cargas administrativas.

En materia de seguridad, el plazo para notificar brechas en casos de alto riesgo se amplía de 72 a 96 horas.

(ii)    REGLAMENTO IA

La Propuesta de Reglamento Digital Omnibus sobre Inteligencia Artificial incluye la modificación del Reglamento (UE) 2024/1689 (“Reglamento IA”), introduciendo ajustes clave para facilitar su implementación y reforzar la gobernanza. 

En primer lugar, se introduce un mecanismo que vincula la entrada en vigor de las obligaciones de los sistemas de IA de alto riesgo a la disponibilidad de estándares, especificaciones y guías de apoyo, con plazos transitorios de 6 y 12 meses según el tipo de sistema, y fechas límite en diciembre de 2027 y agosto de 2028. Además, se incorporan medidas para reducir cargas reulatorias y ofrecer apoyo específico a PYMES y empresas de tamaño intermedio, evitando que las exigencias normativas frenen la innovación.

En el ámbito de la IA generativa, se concede un periodo de gracia adicional de seis meses para la implantación del marcado de agua, extendiendo el plazo hasta febrero de 2027, y se refuerza el papel del Código de Buenas Prácticas como guía para su aplicación. 

Aimismo, se amplían las competencias de la Oficina de IA de la Comisión Europea, que asumirá la supervisión de modelos de propósito general y sistemas integrados en grandes plataformas reguladas por la Ley de Servicios Digitales, centralizando la gobernanza y garantizando coherencia normativa.

En materia de protección de datos, se permite el tratamiento residual de categorías especiales de datos cuando su eliminación resulte desproporcionada, bajo estrictas salvaguardas técnicas y organizativas, alineándose con el RGPD. 

Finalmente, se elimina la obligación explícita de garantizar la alfabetización en IA, aunque se mantiene la necesidad práctica de contar con personal cualificado para cumplir con los requisitos de gobernanza y gestión de riesgos, lo que convierte la formación interna en un elemento estratégico para evitar incumplimientos y sanciones.

(iii)    DIRECTIVA EPRIVACY

La propuesta de modificación de la Directiva 2002/58/CE (ePrivacy) busca mejorar la experiencia del usuario y reducir la carga administrativa, reforzando al mismo tiempo la coherencia con el RGPD. Entre los cambios más destacados se encuentra la revisión de las normas sobre cookies y consentimiento, con el objetivo de combatir la fatiga por consentimiento derivada de los banners repetitivos, mediante mecanismos más eficientes y menos intrusivos para gestionar preferencias. 

Además, se clarifican las interacciones entre ePrivacy y el RGPD, eliminando duplicidades y alineando definiciones y bases legales para garantizar un marco complementario y coherente, especialmente en el tratamiento de datos para marketing y gestión de cookies. La propuesta también introduce procedimientos simplificados para la obtención del consentimiento y la información al usuario, equilibrando la protección de la privacidad con la reducción de cargas para las empresas.

Por último, se incorpora el principio de “simplicidad por diseño” como eje central, orientado a ofrecer soluciones claras y prácticas sin rebajar los estándares de protección. Se prevé la creación de plantillas y guías para facilitar el cumplimiento, especialmente en la gestión del consentimiento y la elaboración de políticas de privacidad, con el fin de lograr un marco regulatorio más eficiente que proteja derechos y fomente la innovación en el mercado digital europeo.

(iv)    NIS2, RGPD, DORA, EIDAS y CER

La Propuesta Ómnibus Digital busca armonizar y centralizar procesos esenciales, estableciendo mecanismos comunes que reduzcan duplicidades y faciliten el cumplimiento de las obligaciones en materia de ciberseguridad y protección de datos. 

En este sentido, se prevé la creación de un “punto único de entrada” o “single-entry point” para la notificación de incidentes, que centralizará las comunicaciones exigidas por diversos actos jurídicos de la Unión, incluyendo la Directiva (UE) 2022/2555 (NIS2), el Reglamento (UE) 2016/679 (RGPD), el Reglamento (UE) 2022/2554 (DORA), el Reglamento (UE) 910/2014 (eIDAS) y la Directiva (UE) 2022/2557 (CER). Este mecanismo tiene como finalidad garantizar la interoperabilidad y la coherencia normativa, reducir la carga administrativa y evitar duplicidades en las notificaciones, mediante la armonización de formularios y requisitos de información, fomentando sinergias entre los distintos marcos regulatorios.

Asimismo, se incorpora la “European Business Wallet” como un medio de identificación y autenticación empresarial interoperable, desarrollado en el marco del Reglamento (UE) 910/2014 (eIDAS). Este instrumento no solo permitirá a las entidades obligadas acceder de forma segura al punto único de entrada, sino que también facilitará la integración con otros servicios digitales europeos, reforzando la confianza en las transacciones electrónicas. 

Por último, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) asumirá la responsabilidad de garantizar la interoperabilidad técnica entre el punto único de entrada y las “European Business Wallet”, asegurando que los procesos de autenticación cumplan con los estándares de seguridad y las exigencias normativas aplicables. 

(v)    REGLAMENTO DE DATOS (DATA ACT)

La Propuesta Ómnibus Digital prevé la integración de tres instrumentos legislativos en un único marco normativo, consolidándolos en el Reglamento (UE) 2023/2854 (Reglamento de Datos). Esta integración supondrá la derogación del Reglamento (UE) 2018/1807 (Reglamento sobre la circulación de datos no personales), el Reglamento (UE) 2022/868 (Reglamento de Gobernanza de Datos) y la Directiva (UE) 2019/1024 (Directiva de Datos Abiertos), eliminando duplicidades, y reduciendo cargas regulatorias para las empresas.

Entre las principales modificaciones, se refuerza la protección de las empresas frente a solicitudes de acceso por parte de organismos públicos. En primer término, se redefine el concepto de “necesidad excepcional” como requisito para activar el mecanismo de solicitud de datos, restringiéndolo exclusivamente a supuestos de “emergencia pública”. 

En esta línea garantista, se incorporan salvaguardas adicionales que acotan el alcance de las solicitudes, exigen una evaluación caso por caso y prevén compensaciones, con el objetivo de proteger la información sensible -incluidos secretos comerciales- y evitar un uso desproporcionado de los datos empresariales, reforzando así la autonomía de las empresas.

En relación con la posibilidad de cambiar de proveedor de servicios de procesamiento de datos sin coste en materia de portabilidad, se introduce una excepción para los contratos celebrados antes del 12 de septiembre de 2025, permitiendo que las partes pacten compensaciones por terminación anticipada, dado que dichos contratos se firmaron de forma previa a la fecha de aplicación de la norma. 

En el marco del Reglamento de Gobernanza de Datos, se suprime la autorización previa que este impone como requisito para operar en calidad de proveedor de servicios de intermediación de datos. En su lugar, se introduce el “trust‑mark”, un distintivo voluntario de acreditación que permite demostrar buenas prácticas sin constituir un requisito para iniciar la actividad.

Además, en el marco de la Directiva de Datos Abiertos, se simplifica el régimen de altruismo informativo y se modifican las disposiciones relativas al uso secundario de los datos del sector público, permitiendo tarifas más altas para los “grandes reutilizadores”.

3.    Próximos pasos

Tras su publicación, las propuestas de Reglamento Digital Omnibus sobre Inteligencia Artificial y de Reglamento Digital Omnibus iniciarán el procedimiento legislativo ordinario en el Parlamento Europeo y el Consejo, donde se debatirán las medidas de simplificación y armonización previstas. Se espera que durante la tramitación se definan los plazos de aplicación y las disposiciones transitorias para la adaptación de las entidades obligadas.

Además, la Comisión Europea ha anunciado la apertura de una consulta pública sobre el control de adecuación digital, que permanecerá abierta hasta el 11 de marzo de 2026. Este ejercicio evaluará la coherencia del marco normativo digital, su impacto acumulado en las empresas y su contribución a los objetivos de competitividad e innovación, pudiendo dar lugar a nuevas propuestas de ajuste normativo.

Nota informativa elaborada por el área de Protección de Datos de ECIJA Madrid.