La Comisión Europea (CE) está considerando un paquete legislativo denominado "Digital Omnibus" que reescribiría sustancialmente las leyes de privacidad de la UE, particularmente el emblemático Reglamento General de Protección de Datos (RGPD). No es un hecho consumado, y no debería serlo.

El RGPD es el modelo más exhaustivo de legislación sobre privacidad en todo el mundo. Aunque dista mucho de ser perfecto y padece una aplicación desigual, complejidades y ciertas cargas administrativas, el paquete ómnibus está lleno de ideas malas y confusas que, en conjunto, debilitarán significativamente las protecciones de privacidad para los usuarios en nombre de la reducción de la burocracia.

Contiene al menos una buena idea: mejorar las reglas de consentimiento para que los usuarios puedan establecer automáticamente preferencias de consentimiento que se apliquen en todos los sitios. Pero por mucho que nos guste limitar la fatiga de las cookies, no vale el precio que pagarán los usuarios si se adopta el resto de la propuesta. La CE necesita volver a la mesa de dibujo si quiere lograr el objetivo de simplificar las regulaciones de la UE sin desmantelar la privacidad de los usuarios.

Analicémoslo en detalle. 

Cambiando lo que constituye un dato personal 

 El paquete digital forma parte de una Agenda de Simplificación más amplia para reducir los costes de cumplimiento y las cargas administrativas de las empresas, haciéndose eco del llamamiento del Informe Draghi para impulsar la productividad y apoyar la innovación. Las empresas se han quejado de la burocracia del RGPD desde sus inicios, y se supone que las nuevas normas facilitarán el cumplimiento y dinamizarán el desarrollo de la IA en la UE. La simplificación se presenta como una condición previa para que las empresas escalen en la UE, apuntando irónicamente a leyes que también se argumentó que promovían la innovación en Europa. También podría evitar los aranceles con los que EE. UU. ha amenazado, gracias en parte a la intensa presión de Meta y de grupos de presión tecnológicos.  

 La propuesta más llamativa pretende restringir la definición de datos personales, la base misma del RGPD. Hoy en día, la información se considera dato personal si alguien puede identificar razonablemente a una persona a partir de ella, ya sea directamente o combinándola con otra información.  

 La propuesta abandona esta prueba relativamente sencilla en favor de una variable: si los datos son "personales" depende de lo que una entidad específica diga que puede hacer razonablemente o es probable que haga con ellos. Esto replantea selectivamente parte de una reciente sentencia del Tribunal de Justicia de la UE, pero ignora los múltiples casos adicionales que han considerado el asunto. 

 Este movimiento estructural hacia estándares específicos por entidad creará una enorme confusión legal y práctica, ya que los mismos datos podrían ser tratados como personales para algunos actores pero no para otros. También crea una vía para que las empresas eviten las obligaciones establecidas por el RGPD mediante una reestructuración operativa para separar los identificadores de otra información; un cambio en el papeleo más que en la identificabilidad real. Es más, corresponderá a la Comisión, un órgano ejecutivo político, definir qué cuenta como datos seudonimizados no identificables para ciertas entidades.

Privilegiando la IA

En nombre de facilitar la innovación en IA, que a menudo se basa en grandes conjuntos de datos en los que pueden aparecer residualmente datos sensibles, el paquete digital trata el desarrollo de la IA como un "interés legítimo", lo que otorga a las empresas de IA una base legal amplia para procesar datos personales, a menos que los individuos se opongan activamente. Las propuestas gesticulan hacia salvaguardias organizativas y técnicas, pero dejan una amplia discrecionalidad a las empresas.  

 Otra enmienda crearía una nueva exención que permite que incluso los datos personales sensibles se utilicen para sistemas de IA bajo ciertas circunstancias. Esto no es un permiso general: deben tomarse “medidas organizativas y técnicas” para evitar la recopilación o el procesamiento de dichos datos, y deben realizarse esfuerzos proporcionados para eliminarlos de los modelos de IA o de los conjuntos de entrenamiento donde aparezcan. Sin embargo, no está claro qué se considerará una medida apropiada o proporcionada.

Tomados en conjunto con la nueva prueba de datos personales, estos privilegios de la IA significan que los derechos fundamentales de protección de datos, que deben aplicarse uniformemente, es probable que varíen en la práctica dependiendo de los objetivos tecnológicos y comerciales de una empresa.

Y significa que a los sistemas de IA se les podría permitir procesar datos sensibles a pesar de que a los sistemas que no son de IA, que podrían plantear riesgos iguales o menores, no se les permita manejarlos

Una reforma amplia más allá del RGPD

Existen ajustes adicionales, muchos de ellos preocupantes, como cambios en las normas sobre toma de decisiones automatizada (facilitando que las empresas aleguen que es necesaria para un servicio o contrato), reducción de los requisitos de transparencia (menos explicaciones sobre cómo se utilizan los datos de los usuarios) y derechos de acceso a los datos revisados (supuestamente para atajar solicitudes abusivas). Un análisis exhaustivo de la ONG noyb puede encontrarse aquí 

Además, el paquete digital llega mucho más allá del RGPD, con el objetivo de racionalizar el conjunto de normas reguladoras digitales de Europa, incluyendo la Directiva sobre privacidad y comunicaciones electrónicas, las normas de ciberseguridad, la Ley de IA y la Ley de Datos. La Comisión también ha puesto en marcha “controles de realidad” (reality checks) de otra legislación fundamental, lo que sugiere que tiene en el punto de mira otros mandatos.

Señales del navegador y fatiga de las cookies

Hay una propuesta en el Digital Omnibus que realmente podría simplificar algo importante para los usuarios: exigir que las interfaces en línea respeten las señales de consentimiento automatizadas, permitiendo a los usuarios rechazar automáticamente el consentimiento en todos los sitios web en lugar de ir haciendo clic en los avisos de cookies de cada uno. Los avisos de cookies suelen estar diseñados con "patrones oscuros" que hacen que rechazar el intercambio de datos sea más difícil que aceptarlo. Las señales automatizadas pueden abordar la fatiga de los carteles de cookies y facilitar que las personas ejerzan sus derechos de privacidad. 

Aunque esta propuesta es un paso adelante, el diablo está en los detalles: en primer lugar, el formato exacto de la señal de consentimiento automatizada será determinado por organizaciones de estándares técnicos donde las grandes empresas tecnológicas históricamente han presionado por estándares que trabajen a su favor. Por tanto, las enmiendas deberían definir protecciones mínimas que no puedan debilitarse posteriormente. 

En segundo lugar, la disposición da el paso importante de exigir a los navegadores web que faciliten a los usuarios el envío de esta señal de consentimiento automatizada, para que puedan autoexcluirse sin necesidad de instalar un complemento en el navegador. 

Sin embargo, los sistemas operativos móviles quedan excluidos de este último requisito, lo cual es una omisión significativa. Las personas merecen los mismos derechos de privacidad en los sitios web y en las aplicaciones móviles. 

Por último, eximir por completo a los proveedores de servicios de medios crea una laguna que les permite seguir utilizando carteles tediosos o engañosos para obtener el consentimiento para compartir datos. La recopilación de información de usuarios por parte de un servicio de medios en su sitio web para rastrear a sus clientes es distinta de la recopilación de noticias, que debería estar protegida. 

Un panorama legal confuso

El uso por parte de la Comisión del proceso "Ómnibus" tiene como objetivo agilizar la elaboración de leyes mediante la agrupación de múltiples cambios. Una propuesta anterior mantenía intacto el RGPD, centrándose en aliviar la obligación de registro para las empresas más pequeñas, una medida mucho menos contenciosa. El nuevo paquete digital, en cambio, avanza con pruebas más escasas de lo que requeriría una reforma estructural sustantiva, violando principios básicos de Mejor Regulación, como la coherencia y la proporcionalidad.

El resultado es lo opuesto a  “simple”. El retraso propuesto de los requisitos de alto riesgo bajo la Ley de IA hasta finales de 2027 —parte del paquete ómnibus— lo ilustra: las empresas se enfrentarán a un panorama legal confuso, ya que deberán cumplir con normas que pronto podrían ser pausadas y luego reactivadas de nuevo. Esto suena más a "complicación" que a simplificación.

El paquete digital no es un hecho consumado

Evaluar la legislación existente es parte de un ciclo legislativo sensato, y aclarar y simplificar procesos y prácticas complejos no es una mala idea. Lamentablemente, el paquete digital no da en el blanco al hacer los procesos aún más complejos, a expensas de la protección de los datos personales. 

La simplificación no requiere desechar los derechos digitales. La CE debería tenerlo en cuenta al iniciar su control de realidad de legislaciones fundamentales como la Ley de Servicios Digitales y la Ley de Mercados Digitales, donde el ordenamiento puede derivar demasiado fácilmente en un verschlimmbessern, el tipo de arreglo bienintencionado que acaba pareciéndose a la infame restauración del ecce homo. 

```

Related Issues

International
European Union
EU Policy

Related Updates

Purple padlock with an 18+ only symbol and a combination lock requiring Day, Month, and Year.
Deeplinks Blog by Jillian C. York | May 5, 2026

La EFF y 18 organizaciones instan a los responsables políticos del Reino Unido a dar prioridad a la lucha contra las causas fundamentales de los daños en Internet

La EFF se une a 18 organizaciones en la redacción de una carta dirigida a los responsables de la formulación de políticas en el Reino Unido, instándoles a abordar las causas fundamentales de los daños en línea, en lugar de socavar la red abierta mediante restricciones contundentes.
shackled hands above a keyboard
Deeplinks Blog by Jillian C. York | April 15, 2026

EFF Calls on Kuwait to Release Journalist Ahmed Shihab-Eldin

EFF calls on the Kuwaiti government to immediately release journalist Ahmed Shihab-Eldin. An award-winning journalist and television host who worked for Al Jazeera for many years, Shihab-Eldin—a dual American-Kuwaiti citizen—was arrested in Kuwait on March 3 while visiting family. The Committee to Protect Journalists (CPJ) reported yesterday that it is...

Jacob Mchangama
Deeplinks Blog by Jillian C. York | April 2, 2026

Speaking Freely: Jacob Mchangama

Jacob Mchangama is a Danish lawyer, human-rights advocate, and public commentator. He is the founder and director of Justitia, a Copenhagen-based think tank focusing on human rights, freedom of speech, and the rule of law.