El sector de las Tecnologías de la Información y la Comunicación (TIC) ha desempeñado un papel crucial en el impulso de la competitividad del mercado único de la Unión Europea (UE) en todos los sectores de la economía, siendo las normas digitales un pilar fundamental para configurar un entorno empresarial justo. Sin embargo, el desarrollo y la acumulación de normas en este ámbito han provocado que la actividad empresarial se vea entorpecida por la fragmentación normativa y la suma de restricciones impuestas.
Por ello, el 19 de noviembre de 2025, la Comisión Europea presentó la Propuesta de Reglamento Digital Omnibus (COM (2025) 837), que da el primer paso para optimizar la aplicación del marco normativo digital, simplificando la regulación en materia de protección de datos personales y no personales, inteligencia artificial (IA) y ciberseguridad.
Las principales modificaciones propuestas son las siguientes:
REGLAMENTO DE PROTECCIÓN DE DATOS (RGPD):
• Nueva definición de “dato personal”. Se aclara la definición de datos personales del art. 4.1 RGPD, entendiendo como tales solo aquellos datos que una entidad, mediante medios razonables, pueda utilizar para identificar a la persona física a la que se refiere la información.
• Cambio en el régimen de cookies o tecnologías similares. El RGPD asume la regulación de las cookies, cuando el tratamiento de datos personales se produce en el contexto de las comunicaciones electrónicas. Cuando no se traten datos personales o la información sea relativa a una persona jurídica, el tratamiento se regirá por la Directiva 2002/58/CE (Directiva e-privacy).
• Listado único para realizar evaluaciones de impacto. Se sustituyen las listasnacionales por un listado armonizado a nivel europeo que especifica qué tipos de tratamiento requieren de una evaluación de impacto, proporcionando indicaciones y una plantilla común para su realización.
• Excepción a la obligación de información. Mediante una modificación al art. 13 RGPD, los responsables no están obligados a informar sobre el tratamiento de datos, cuando el tratamiento no es intensivo ni supone un alto riesgo para los derechos del interesado, y existan motivos razonables para creer que el interesado dispone de toda la información pertinente.
• Nuevas excepciones para el tratamiento de datos de carácter especial:
- Datos biométricos, cuando sea necesario para confirmar la identidad del interesado, y cuando los datos para tal verificación están bajo el control exclusivo del interesado.
- Datos personales para el desarrollo y funcionamiento de un sistema o modelo de IA, siempre y cuando se adopten las medidas organizativas y técnicas adecuadas para evitar la recogida de categorías especiales de datos.
• Nuevo plazo para la notificación de brechas de seguridad: El plazo para notificar sobre una brecha de seguridad se extiende a 96 horas.
REGLAMENTO (UE) 2023/2854 (DATA ACT)
• Integración de textos legislativos: Se integra dentro del Data Act, el Reglamento (UE) 2022/868 (Data Governance Act) y la Directiva (UE) 2019/1024 (Directiva de Datos Abiertos), dando paso a un marco único para reutilizar datos del sector público.
La normativa integrada pasa a ser derogada.
REGLAMENTO (UE) 2024/1689 (REGLAMENTO IA)
• Se elimina la obligación de alfabetización en IA: Los proveedores y responsables ya no deben de formar al personal, sino que la Comisión y los Estados miembros deben promover programas de formación y sensibilización.
• Se permite el tratamiento de datos personales sensibles cuando sea estrictamente necesario para detectar o corregir sesgos en modelos de IA, mientras se apliquen rigurosas salvaguardas técnicas y organizativas.
• Ampliación de las competencias de la Oficina de IA de la Comisión Europea: La Oficina de IA tendrá competencia exclusiva cuando: (i) el modelo y sistema de IA sean del mismo proveedor o; (ii) cuando el sistema esté integrado en plataformas en línea muy grandes o motores de búsqueda.
• Mecanismo de cooperación reforzada entre autoridades. Se prevé un modelo hibrido de supervisión, donde la supervisión centralizada cae en manos de la Oficina de IA, la cual se auxilia y coopera con las diferentes autoridades nacionales.
Asimismo, con el objetivo de proteger los derechos fundamentales de los interesados, las autoridades nacionales pueden solicitar y acceder a la información que disponen las autoridades de vigilancia del mercado.
CIBERSEGURIDAD
• Creación de un punto de entrada único (single-entry point): Con el objetivo de armonizar la normativa (Directiva (UE) 2022/2555 (NIS2), el Reglamento (UE) 2016/679 (RGPD), el Reglamento (UE) 2022/2554 (DORA), el Reglamento (UE) 910/2014 (eIDAS) y la Directiva (UE) 2022/2557 (CER)) y centralizar los procesos esenciales, así como reducir la carga administrativa y evitar duplicidades en los procedimientos; se crea una única ventanilla por la cual los responsables del tratamiento notificaran sobre la existencia de las incidencias producidas.
Tras la publicación de las propuestas del Reglamento Digital Omnibus serán tramitadas ante el Parlamento y el Consejo para su aprobación. Queda por ver si todas las modificaciones serán de aplicación, pero sin duda, estamos ante grandes cambios significativos en la regulación de la economía digital.