La Unión Europea avanza en la racionalización de su marco normativo digital a través de la propuesta impulsada por la Comisión Europea conocida como Digital Omnibus, cuyo objetivo es revisar y simplificar el entramado de normas digitales europeas (entre ellas, el Reglamento General de Protección de Datos, el Data Act, la Directiva ePrivacy, la Directiva de Ciberseguridad o la NIS 2) con el fin de reducir las cargas administrativas y mejorar la coherencia y la aplicación práctica del régimen jurídico vigente, tanto en el ámbito privado como en el público.
En este contexto, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) y el Supervisor Europeo de Protección de Datos (EDPS, por sus siglas en inglés)han emitido un dictamen conjunto en el que analizan el alcance y los posibles efectos de la iniciativa.
En particular, respecto a las modificaciones previstas del RGPD, el EDPB y el EDPS apoyan aquellas que armonizan, reducen cargas innecesarias y no rebajan garantías, aunque casi siempre piden ajustes técnicos.
Medidas con las que están de acuerdo
- Investigación científica: Aplauden la inclusión de una definición de “investigación científica”, la aclaración de que no es necesario aplicar el art. 6.4 para pasar de una finalidad original a investigación y una derogación limitada de la obligación de informar, porque mejora la certeza jurídica y armoniza prácticas.
- Biometría para autenticación: Respaldan la nueva excepción para tratar datos biométricos cuando el medio de verificación está bajo el control exclusivo del interesado (por ejemplo, autenticación local en dispositivo), como mecanismo de seguridad proporcionado.
- Notificación de brechas de seguridad: Están a favor de elevar el umbral de riesgo que obliga a notificar a la autoridad y de ampliar el plazo de notificación, al considerar que esto reduce carga administrativa sin mermar la protección, especialmente si se usan plantillas y listas comunes.
- Evaluaciones de impacto (EIPD): Ven positivamente la elaboración de listas comunes de tratamientos sujetos a EIPD y de plantillas/metodologías comunes, siempre que el EDPB lidere y apruebe dichos instrumentos y el EDPS tenga competencias espejo bajo el EUDPR.
Modificaciones con las que no están de acuerdo
Hay dos bloques donde muestran un rechazo frontal: definición de datos personales y uso de actos de ejecución para vaciar el ámbito de aplicación del RGPD.
- Redefinición de “datos personales” (art. 4(1)): Señalan que el texto introduce una definición negativa (centrada en cuándo la información no es personal para una entidad) que genera confusión y aumenta la inseguridad jurídica. Además, alertan de riesgos de “ingeniería” organizativa (separación nominal de funciones, outsourcing artificial) para escapar del RGPD, erosionando la protección efectiva.
- Actos de ejecución sobre seudonimización (nuevo art. 41a): Rechazan que la Comisión pueda, mediante actos de ejecución, precisar cuándo datos seudonimizadosdejan de ser datos personales para ciertas entidades, porque eso afectaría de facto al ámbito de aplicación del derecho de la UE en materia de protección de datos. La competencia corresponde a las autoridades de control siendo el EDPB quien vela por la aplicación coherente.
Medidas que requieren de matización
- Interés legítimo y modelos de IA: Reconocen que el interés legítimo puede ser base jurídica en algunos casos de desarrollo y uso de modelos de IA, pero recuerdan que esto ya está expresamente reconocido en la Opinión 28/2024, por lo que no ven necesaria una cláusula específica en el RGPD.
- Excepción para tratamiento “incidental y residual” de datos sensibles en IA: Aceptan que en entrenamiento/prueba de ciertos sistemas de IA es difícil excluir completamente datos de categorías especiales.
- Limitación de derechos de acceso por abuso: rechazan que se vincule el abuso al hecho de que el acceso se solicite con fines distintos de la protección de datos, recordando que el RGPD protege también otros derechos y libertades.
- Nueva exención de transparencia (arts. 13‑14): Piden que se definan criterios objetivos para activar la exención y que se garantice que siempre exista un canal accesible para obtener la información esencial.
- Decisiones automatizadas (art. 22): Proponen reescribir el precepto para dejar claro que la regla sigue siendo la prohibición salvo excepciones tasadas y que la mera existencia de un contrato no legitima cualquier decisión automatizada.
- Brechas y EIPD: Aunque apoyan listas y plantillas comunes, insisten en que el EDPB debe tener plena competencia para redactar y aprobar esos instrumentos, y que el EDPS tenga un rol equivalente para instituciones de la UE, preservando su independencia y evitando injerencias de la Comisión en contenidos técnicos de supervisión.