Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

El Comité Europeo de Protección de Datos, CEPD y el Supervisor Europeo de Protección de Datos, SEPD apoyan el objetivo del Ómnibus digital de simplificar el marco normativo y reforzar la competitividad, pero advierten que varias enmiendas disminuyen la protección de datos, generan inseguridad jurídica y complican la aplicación práctica del RGPD y la normativa conexa.

La Propuesta de Reglamento de la Comisión (noviembre 2025) sobre Ómnibus digital comprende una serie de modificaciones técnicas que pueden ser aportadas para mejorar y armonizar gran parte del acervo digital de la UE (RGPD, RPDUE, Directiva ePrivacy, Ley de Datos, Ley de Gobernanza de Datos, Directiva datos abiertos, libre circulación de datos no personales, NIS 2, etc.).

El dictamen conjunto del CEPD–SEPD tiene carácter consultivo, limitándose a los aspectos de protección de datos: RGPD, RPDUE, ePrivacy y acervo de datos; sin modificar el texto de la Comisión, pero sí de orientación al Parlamento y al Consejo Europeo en la negociación.

Algunas Recomendaciones son las siguientes:

– Eliminar las enmiendas a la definición de datos personales y a otros conceptos nucleares del RGPD para no rebajar el estándar de protección.
– Aclarar la nueva excepción de transparencia para asegurar que la simplificación no vacíe de contenido el derecho a la información, garantizando que las personas obtengan datos relevantes sobre el tratamiento cuando sea pertinente.​
– Mantener y reforzar salvaguardias para servicios de intermediación de datos y organizaciones de altruismo de datos (transparencia, controles, supervisión por autoridades).​
– Racionalizar aún más las disposiciones de aplicación y ejecución (por ejemplo, intercambio de información entre autoridades, papel claro de las Autoridades de Protección de Datos en la aplicación de la Ley de Datos, posibilidad de directrices conjuntas CEPD y SEPD).
En resumen, el CEPD y el SEPD comparten el objetivo político de “reducir la burocracia, aumentar la competitividad”, pero subrayan que la simplificación no puede hacerse a costa de los derechos fundamentales, en particular del nivel de protección y del ámbito material del RGPD.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
__________________________________________________________

Ómnibus digital: el CEPD y el SEPD apoyan la simplificación y la competitividad al tiempo que plantean importantes preocupaciones
12 de febrero de 2026

El CEPD y el SEPD han adoptado un dictamen conjunto sobre la propuesta de reglamento ómnibus digital, cuyo objetivo es simplificar el marco regulatorio de la UE y mejorar la competitividad. Evaluaron su impacto en el RGPD y los derechos fundamentales, en particular en lo que respecta a la seguridad jurídica y la simplificación efectiva.

El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han adoptado un dictamen conjunto sobre la propuesta de Reglamento Ómnibus Digital . Esta propuesta pretende simplificar el marco regulatorio digital de la UE, reducir la carga administrativa y reforzar la competitividad de las organizaciones europeas.

El SEPD y el SEPD se centran en aspectos relacionados con el RGPD, el RGPD de la UE, la Directiva «privacidad y comunicaciones electrónicas» y el acervo de datos.

Más específicamente, evalúan si la propuesta:

conduce a una simplificación real y facilita el cumplimiento de las disposiciones;
proporciona una mayor seguridad jurídica; y
viola los derechos fundamentales de las personas.

Cambios en el RGPD y el Tratado UE-UE
Cambios que suscitan importantes preocupaciones
Algunos de los cambios propuestos plantean importantes preocupaciones porque pueden afectar negativamente el nivel de protección de que gozan las personas, crear incertidumbre jurídica y dificultar la aplicación de la legislación de protección de datos.

El CEPD y el SEPD instan a los colegisladores a no adoptar las modificaciones propuestas a la definición de datos personales, ya que van mucho más allá de una modificación específica o técnica del RGPD. Además, no reflejan con precisión la jurisprudencia del TJUE y se apartan claramente de ella, lo que supondría una restricción significativa del concepto de datos personales. La Comisión Europea no debería tener la tarea de decidir, mediante un acto de ejecución, qué datos ya no constituyen datos personales tras la seudonimización, ya que esto tiene un impacto directo en el ámbito de aplicación de la legislación de la UE en materia de protección de datos.

Pasos en la dirección correcta
El SEPD y el SEPD apoyan el aumento del umbral de riesgo que desencadena la obligación de notificar una violación de datos a la autoridad competente en materia de protección de datos y a la ampliación del plazo para la presentación de dicha notificación. Esto reduciría significativamente la carga administrativa de las organizaciones sin comprometer la protección de los datos personales. Además, las plantillas y listas de verificación comunes propuestas para las violaciones de datos y las evaluaciones de impacto sobre la protección de datos constituyen un avance positivo.

El CEPD y el SEPD también acogen favorablemente la propuesta de introducir una nueva excepción para el tratamiento de categorías especiales de datos a efectos de autenticación biométrica, cuando los medios de verificación estén bajo el control exclusivo de la persona.

Por último, apoyan la armonización del concepto de “investigación científica” y otros cambios conexos, ya que fortalecen la seguridad jurídica y contribuyen a una mayor armonización.

Cambios que requieren ajustes
Como se indica en el Dictamen 28/2024 del CEPD sobre modelos de IA, el interés legítimo puede utilizarse, en determinados casos, como base jurídica en el contexto del desarrollo e implementación de modelos o sistemas de IA. Por lo tanto, el CEPD y el SEPD no consideran necesario incluir una disposición específica sobre este tema en el RGPD.

El CEPD y el SEPD acogen favorablemente el objetivo de la propuesta de introducir una excepción específica a la prohibición del tratamiento de datos sensibles, sujeta a ciertas condiciones, que abarque el tratamiento accidental y residual de dichos datos en el contexto del desarrollo y la operación de sistemas o modelos de IA. No obstante, recomiendan varias mejoras, como aclarar el alcance de la excepción y mantener las salvaguardias a lo largo del ciclo de vida de los datos.

El SEPD y el SEPD coinciden con el objetivo de la Comisión de proporcionar claridad jurídica a los responsables del tratamiento de datos ante abusos de derechos por parte de los interesados. Sin embargo, consideran que el ejercicio del derecho de acceso para fines distintos a la protección de datos personales no debe ser un factor determinante de lo que constituye un abuso. En cuanto a la nueva excepción en materia de transparencia, el SEPD y el SEPD apoyan la simplificación de los requisitos de información y la reducción de la carga administrativa, en particular para las pymes, pero sugieren aclaraciones para garantizar la seguridad jurídica y que las personas puedan seguir recibiendo información relevante sobre sus datos cuando sea necesario.

Por último, es necesario aclarar los cambios en las disposiciones relativas a la toma de decisiones individuales automatizadas para que estos cambios sean significativos y jurídicamente sólidos.

Modificaciones a la Directiva sobre privacidad y comunicaciones electrónicas
El CEPD y el SEPD apoyan firmemente el objetivo de proporcionar una solución regulatoria para abordar la fatiga del consentimiento y la proliferación de banners de cookies. Esto incluye, por ejemplo, los requisitos propuestos para el uso de indicaciones automatizadas y legibles por máquina sobre las decisiones de las personas respecto al tratamiento de sus datos. El uso de medios técnicos puede simplificar el cumplimiento normativo para los responsables del tratamiento de datos y ayudar a las personas a tomar decisiones efectivas en línea.

El SEPD y el SEPD también acogen con satisfacción las excepciones limitadas adicionales a la prohibición general de almacenar o acceder a datos personales en equipos terminales, e invitan además a los colegisladores a alentar la publicidad contextual en lugar de publicidad conductual, añadiendo una excepción específica con ciertas garantías.

El SEPD y el SEPD acogen con satisfacción el hecho de que el control de estas cuestiones se confiará a las autoridades de protección de datos.

Al mismo tiempo, el CEPD y el SEPD destacan las dificultades jurídicas y técnicas que plantea la coexistencia de dos regímenes diferentes para datos personales y no personales. Asimismo, formulan recomendaciones adicionales para reforzar la seguridad jurídica, minimizar los riesgos y promover la innovación responsable.

Cambios en la adquisición de datos
El SEPD y el SEPD apoyan la simplificación del acervo de datos integrando, en el reglamento de datos, la Ley de gobernanza de datos y las normas de la Directiva de datos abiertos relativas a la reutilización de datos y documentos en poder de los organismos del sector público.

Respecto del acceso concedido por los organismos públicos para la reutilización, recomiendan mantener la claridad que ofrece el marco jurídico actual, es decir, que no obliga a los organismos del sector público a autorizar la reutilización y no proporciona una base jurídica para conceder el acceso.

En lo que respecta a las emergencias públicas, el SEPD y el SEPD recomiendan que se indique que los datos personales solo pueden compartirse de forma seudonimizada con organismos del sector público, en los casos en que los datos anónimos sean insuficientes para responder a la emergencia pública.

En cuanto a los servicios de intermediación de datos y las organizaciones de gestión altruista de datos, el SEPD y el SEPD destacan la importancia de un intercambio de datos fiable y responsable. Recomiendan mantener salvaguardias específicas, promover la transparencia y la supervisión.

El SEPD y el SEPD recomiendan simplificar aún más las disposiciones de aplicación (por ejemplo, permitiendo el intercambio de información de aplicación entre autoridades reguladoras, incluidas las autoridades de protección de datos, y aclarando el papel de las autoridades de protección de datos en la aplicación de la legislación sobre datos).

El SEPD y el SEPD acogen con satisfacción la confirmación en la propuesta del papel del Comité Europeo de Innovación en Datos (EDIB) en el apoyo a la aplicación coherente de la legislación en materia de datos. En cuanto al desarrollo de directrices, recomiendan que se faculte a la Comisión para publicar directrices sobre cualquier tema relacionado con la normativa de datos y que se aclare la función del EDIB en la asistencia a la Comisión en este proceso. Esto permitiría a la Comisión desarrollar directrices conjuntas con el SEPD y al EDIB asesorar y asistir a la Comisión en su elaboración.

Documentos de referencia
– Dictamen conjunto 2/2026 del CEPD y el SEPD sobre la Propuesta de Reglamento relativo a la simplificación del marco legislativo digital (Ómnibus Digital) – Sitio web del SEPD
– Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725 y (UE) 2023/2854 – Sitio web de la Comisión Europea

Textos de referencia
– El Reglamento General de Protección de Datos
– Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión – Eur-Lex
– Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas – Eur-Lex
– Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas relativas al acceso y uso equitativos de los datos – Eur-Lex
– Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, sobre la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 – Eur-Lex
– Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público – Eur-Lex
#RGPD #CEPD #ÓmnibusDigital