La propuesta de Reglamento Ómnibus Digital publicado por la Comisión Europea el 17 de julio de 2025 introduce cambios relevantes en el RGPD, además de otras normativas, pero nos centraremos en el RGPD.
Aclarar que estamos ante una propuesta, que está en fase de tramitación, por consiguiente, sujeta a cambios; por ello, tomaremos la siguiente información con cautela, ya que podría no ser definitiva.
Modificación de la definición de «dato personal»
Se matiza la definición de «datos personales» prevista en el artículo 4, punto 1, para establecer que la información no se considerará dato personal para una entidad determinada si esta no dispone de medios que puedan utilizarse razonablemente para identificar a la persona física a la que se refiere.
De este modo, se incorpora la doctrina del TJUE en asuntos como Breyer (C-582/14), Nowak (C-434/16) y SRB (C-413/22) sobre datos seudonimizados. De ello, les hablé en otro artículo que dejo enlazado aquí para evitar reiteraciones innecesarias.
Esta nueva definición de «dato personal» podría ser utilizada por algunas organizaciones para excluir tratamientos de los controles del RGPD, alegando falta de medios razonables de identificación.
Nuevas exenciones para el tratamiento de categorías especiales de datos
La propuesta añade dos exenciones al tratamiento de categorías especiales de datos personales:
- Cuando sea necesario para confirmar la identidad del interesado, siempre que los datos y los medios para dicha verificación estén bajo el control exclusivo del interesado.
- Cuando sea necesario para el desarrollo y la operación de sistemas o modelos de IA, sujeto a ciertas condiciones, como obligaciones preventivas reforzadas, entre ellas la minimización desde la fase de selección de fuentes, la adopción de medidas para evitar revelaciones residuales y un derecho de oposición fortalecido para los interesados.
El reconocimiento explícito del interés legítimo como base jurídica para actividades de IA podría aliviar cargas operativas y aportar claridad a los desarrolladores, pero plantea dudas sobre cómo preservar el equilibrio entre innovación y protección de los derechos y libertades de los interesados.
Revisión del principio de limitación de la finalidad
El tratamiento ulterior o posterior para fines de investigación científica o histórica, interés público o fines estadísticos no se considerará incompatible con la finalidad inicial, siempre que se respeten las garantías del RGPD.
Decisiones automatizadas
La propuesta contempla que las decisiones basadas únicamente en un tratamiento automatizado de datos personales estén autorizadas siempre que se cumplan condiciones específicas. En particular, para que una decisión sea considerada «necesaria» para la celebración o ejecución de un contrato, no es requisito que solo pueda tomarse a través de medios automatizados, es decir, el hecho de que existe la posibilidad de que una persona física tome la decisión no impide que el responsable del tratamiento la lleve a cabo mediante un proceso exclusivamente automatizado.
Este enfoque reconoce la validez del tratamiento automatizado en contratos, siempre que se respetan las garantías de transparencia, supervisión humana (cuando corresponda) y derechos de los interesados a ser informados y a oponerse o solicitar revisión humana cuando tenga efectos legales o significativos.
Modificaciones a la obligación de información
La propuesta introduce una precisión relevante: el responsable del tratamiento podría negarse a atender una solicitud de información o cobrar una tarifa razonable cuando la solicitud se utilice «con fines distintos a la protección de datos personales».
El criterio «fines distintos» es subjetivo, pudiendo usarse para denegar accesos legítimos y desincentivar el ejercicio de derechos, especialmente por parte de usuarios menos informados.
Asimismo, se introduce una excepción cuando la información ya haya sido facilitada al interesado o haya motivos razonables para suponer que el interesado ya dispone de la información, a menos que el responsable del tratamiento transmita los datos personales a otros destinatarios o categorías de destinatarios, transfiera los datos a un tercer país, lleve a cabo una toma de decisiones automatizada o sea probable que el tratamiento suponga un alto riesgo para los derechos del interesado.
Evaluaciones de Impacto en la Protección de Datos
Se pretende armonizar el panorama actual con una lista única de actividades de tratamiento que requieren una evaluación de impacto en la protección de datos y otra lista única con las actividades que no la requieren.
El Comité Europeo de Protección de Datos sería el encargado de elaborar ambas listas. También estaría obligado a elaborar una propuesta de modelo y metodología comunes para la realización de evaluaciones de impacto en la protección de datos, que la Comisión estaría facultada para adoptar mediante un acto de ejecución, tras revisarlas.
Incorporación parcial de reglas de ePrivacy
La propuesta reconoce la utilidad de las cookies para fines legítimos, como optimizar la prestación del servicio para el equipo terminal específico, garantizar la seguridad del equipo terminal y el servicio general, pero el fin legítimo no podría amparar el uso de cookies para rastrear el comportamiento y la interacción del usuario con el objetivo de proporcionarle publicidad comportamental.
El consentimiento sigue siendo la regla general, pero se introducen excepciones más amplias para cookies estrictamente necesarias para el almacenamiento técnico o para prestar un servicio de la sociedad de la información solicitado explícitamente por el suscriptor o usuario.
No obstante, el consentimiento no siempre constituye la base jurídica más adecuada para el tratamiento posterior, por ejemplo, cuando el tratamiento es necesario para la prestación de un servicio distinto del de la sociedad de la información. Esto ha generado inseguridad jurídica y mayores costes de cumplimiento para los responsables del tratamiento, por ello se propone una revisión.
El modelo actual de consentimiento genera fatiga y no protege realmente al usuario que hace clic en «aceptar todo» sin leer. La propuesta plantea una incorporación parcial del interés legítimo y excepciones más amplias, manteniendo el consentimiento para los casos realmente intrusivos, por ejemplo, publicidad comportamental.
Plazo de notificación de brechas: de 72 a 96 horas
Si el responsable del tratamiento demuestra que, por razones técnicas u organizativas justificadas, no ha podido evaluar completamente el incidente en 72 horas, podría realizar una notificación inicial en 72 horas y completar la información en un plazo adicional máximo de 24 horas, es decir, 96 horas en total.
Se propone también que los responsables del tratamiento utilicen la ventanilla única cuando notifiquen violaciones de datos a la autoridad de control. Además, el Comité Europeo de Protección de Datos estaría obligado a elaborar y presentar a la Comisión una propuesta de modelo común para las notificaciones de violaciones de datos, que la Comisión estaría facultada para adoptar mediante un acto de ejecución, tras revisarlo, según sea necesario.
Conclusión
A las modificaciones propuestas, se unen las del «Paquete Ómnibus IV» (Reglamento sobre el Acervo Digital) que propone una reforma específica del Registro de Actividades de Tratamiento (RAT) regulado en el artículo 30 del RGPD.
La novedad consiste en ampliar la exención de la obligación de llevar un RAT a empresas de hasta 750 empleados, frente al límite actual de 250, aunque con una condición más exigente: esta exención no será aplicable cuando el tratamiento de datos pueda implicar un alto riesgo para los derechos y libertades de las personas físicas.
No se pierda nuestro podcast sobre el artículo
