La propuesta del Reglamento Ómnibus Digital: la visión de las autoridades europeas de protección de datos

La renovada Estrategia europea de datos tiene como uno de sus principales objetivos superar la actual fragmentación normativa mediante la propuesta de una nueva regulación coloquialmente denominada Reglamento Ómnibus Digital. El objetivo es consolidar y racionalizar en una única norma buena parte de la normativa sobre datos. Entre otras medidas, el Reglamento modifica la Data Act, que por tanto seguiría vigente, pero con una nueva redacción. En otras palabras, el Ómnibus tiene una virtualidad instrumental, ya que es solo un instrumento para modificar otras normas, cuya redacción quedará por tanto actualizada.

Desde que la propuesta se hizo pública en noviembre de 2025, el debate se ha acelerado. Recientemente se ha conocido el dictamen conjunto del Comité Europeo de Protección de Datos (EDPB) y del Supervisor Europeo de Protección de Datos (EDPS) sobre el alcance de dicha iniciativa. El mismo valora positivamente la integración de las reglas del Reglamento de Gobernanza de datos (Data Governance Act) y de la Directiva de datos abiertos en una versión actualizada del Reglamento de Datos (Data Act), por entender que facilita su cumplimiento y también la aplicación coherente de las normas sobre el acceso y la reutilización de los datos generados por las entidades del sector público. Sin embargo, aun cuando reconoce los avances relativos a la armonización de la regulación y la simplificación del cumplimiento normativo, expresa “preocupaciones significativas” por cambios que, sin ser meramente técnicos, generan incertidumbres y afectan a la protección de los datos de carácter personal. A continuación, nos centraremos en algunos de los aspectos más relevantes.

La controversia sobre el concepto de dato de carácter personal

La propuesta de añadir un nuevo párrafo al artículo 4.1 RGPD para matizar cuándo una información es un dato personal es, probablemente, el aspecto más controvertido de la regulación propuesta. Hasta ahora, se entendía que cualquier información que permitiera identificar a una persona era un dato de carácter personal para cualquier sujeto, incluso si solo un tercero tenía los medios para identificarla. La nueva propuesta cambia esta situación. En concreto, se pretende especificar que:

«la información relativa a una persona física no es necesariamente datos personales para cualquier otra persona o entidad por el mero hecho de que otra entidad pueda identificar a esa persona física. La información no será personal para una entidad determinada cuando dicha entidad no pueda identificar a la persona física a la que se refiere la información teniendo en cuenta los medios que razonablemente puedan ser utilizados por dicha entidad. Dicha información no se convierte en personal para dicha entidad por el mero hecho de que un posible destinatario ulterior disponga de medios que razonablemente puedan ser utilizados para identificar a la persona física a la que se refiere la información».

El dictamen advierte que utilizar un enfoque negativo para definir lo que no se entiende por dato personal puede suponer una merma para la seguridad jurídica, esto es, un efecto contrario al que se pretende con la iniciativa. El informe considera que se pueden producir efectos colaterales que, en última instancia, impliquen una pérdida de garantías. Imaginemos los datos de salud que contiene una historia clínica. Según el enfoque actual, dicha información se encuentra sometida al RGPD incluso cuando se desvincule de su titular y, una vez seudonimizada, se ponga en manos de un equipo de investigación o a disposición de las autoridades sanitarias con fines de salud pública. En cambio, si atendemos a la propuesta del Reglamento Ómnibus Digital podría considerarse que, en dichos casos, dejen de considerarse “datos personales” para los citados sujetos que los reciben. En concreto, se hace hincapié en que la reforma incorpora con naturaleza de norma jurídica lo que simplemente es un criterio jurisprudencial adoptado para resolver un caso concreto, lo que lleva a no tener en cuenta el contexto y las singularidades del mismo, además de otras decisiones relevantes del propio Tribunal de Justicia de la Unión Europea (TJUE).

Por otro lado, el dictamen se plantea que la relatividad del concepto utilizado puede suponer una “invitación” a generar estructuras organizativas en el tratamiento de los datos personales con la sola intención de evitar la aplicación de las garantías, límites y condiciones que establece el RGPD. En concreto, al considerar como “no personal” la información que una entidad concreta no puede identificar, aunque otros sujetos sí sean capaces, podría incentivar a los responsables del tratamiento a impulsar soluciones de ingeniería jurídica un tanto forzadas, con el fin de eludir la regulación sin aplicar mecanismos de anonimización real. En concreto, una entidad podría externalizar formalmente aspectos esenciales del tratamiento de la información —como podría ser el acceso a claves de seudonimización  o capacidades de combinación de datos— a otras entidades jurídicamente distintas. De este modo no serían datos personales para ninguna de ellas ya que cada una por sí sola no sería capaz de asociar la información al titular, si bien en la práctica sería sencillo conocer su identidad. La consecuencia de esta seudonimización formal sería la no aplicación de garantías esenciales de la regulación sobre datos personales, como la obligación de realizar una evaluación de impacto o la efectividad de los derechos del titular de los datos.

La Comisión, ¿es competente para determinar qué son datos personales?

El dictamen también rechaza el enfoque de la propuesta de habilitar a la Comisión para que, mediante actos de ejecución, especifique en qué casos los datos seudonimizados dejan de ser datos personales para determinadas entidades. Esto supondría dejar la delimitación del alcance de un derecho fundamental en manos de un instrumento jurídico pensado para cuestiones técnicas de aplicación. A este respecto se considera que la delimitación por vía interpretativa de lo que sea y lo que no sea dato de carácter personal debe seguir siendo competencia de las autoridades de control y de los tribunales, pues, de lo contrario, se estaría generando colateralmente más complejidad y, por tanto, incrementando la inseguridad jurídica.

IA y datos sensibles: ¿excepción o puerta abierta?

Como ya explicamos en un comentario previo, en materia de inteligencia artificial (IA), la propuesta de la Comisión presta una especial atención al impacto de la reforma en la protección de datos personales, perspectiva previamente analizada por el EDPB en 2024. En concreto, la Comisión intenta reforzar la seguridad jurídica introduciendo reglas específicas sobre el uso del interés legítimo para entrenar y operar determinados sistemas de IA. El interés legítimo es la base que permitiría a una empresa o entidad entrenar o mejorar un sistema de IA con datos personales, como responsable del tratamiento, sin necesidad de consentimiento de su titular, cuando dicho tratamiento sea necesario para un fin legítimo (por ejemplo, mejorar un modelo, detectar abusos, garantizar una mayor seguridad, optimizar un servicio…), siempre que no deban prevalecer los derechos de las personas titulares de la información y, adicionalmente, se respeten ciertas garantías.

Además, la propuesta añade una excepción adicional para los casos en que aparezcan de forma incidental o residual categorías especiales de datos del artículo 9 RGPD en el ciclo de vida de esos sistemas. Según el apartado 5 que se pretende añadir a dicho precepto:

«se aplicarán las medidas organizativas y técnicas adecuadas para evitar la recogida y, de otro modo, el tratamiento de categorías especiales de datos personales. Cuando, a pesar de la aplicación de dichas medidas, el responsable del tratamiento detecte categorías especiales de datos personales en los conjuntos de datos utilizados para el entrenamiento, la prueba o la validación, o en el sistema o modelo de IA, eliminará dichos datos. Si la supresión de dichos datos requiere un esfuerzo desproporcionado, el responsable del tratamiento protegerá en cualquier caso eficazmente y sin demora indebida dichos datos a fin de que no puedan utilizarse para producir resultados, ni puedan ser divulgados o de cualquier otra forma puestos a disposición de terceros».

En concreto, con la referencia al carácter incidental se trataría de hacer frente a aquellos supuestos en que se traten datos personales de esta singular naturaleza sin ser un objetivo deliberado, es decir, sin que se haya buscado ni pretendido incluirlos: sería el caso, por ejemplo, de un dataset para IA de reconocimiento de imágenes si aparece de forma imprevista una foto que revele orientación sexual o creencias políticas. Siguiendo con el ejemplo, así sucedería si el objetivo fuera identificar objetos, no personas ni rasgos sensibles, pero dentro de miles de fotos, apareciera una imagen en la que alguien lleva una camiseta con un lema político o aparece una pareja del mismo sexo besándose, lo que podría revelar orientación sexual. En este caso, aunque no se pretendiera tratar datos sensibles, sin embargo, las imágenes se han procesado sin pretenderlo de manera deliberada; pero debería impedirse que se divulguen o puedan aparecer indirectamente con ocasión del uso de la herramienta de IA.

Por su parte, el tratamiento residual se refiere a la posibilidad de que, por razones técnicas inevitables, en los modelos de IA puedan quedar “trazas” de los datos sensibles durante todo el ciclo de vida del sistema, incluso tras aplicar filtros de anonimización. Así podría suceder, por ejemplo, al entrenar un chatbot de atención al cliente con conversaciones reales donde haya menciones a problemas médicos en contextos triviales que no constituyan una consulta médica en sentido estricto.

El dictamen reconoce que, en la práctica, pueden darse tratamientos residuales difíciles de evitar, pero reclama una redacción mucho más estricta y ligada a salvaguardas efectivas a lo largo de toda la vida del sistema. Asimismo, recuerda que ya existen criterios interpretativos adecuados para enmarcar su uso en contextos de IA sin necesidad de añadir una cláusula específica, que podría interpretarse como una habilitación legal de carácter general para entrenar modelos siempre que exista un contrato o un interés comercial abstracto. En este sentido, la recomendación del dictamen es que, si se mantiene la referencia, se acompañe de requisitos claros de evaluación de impacto, documentación y derecho de oposición reforzado. Se trata, en definitiva, de evitar que la reforma acabe consolidando una autorización general para tratar categorías especiales de datos bajo la etiqueta de “incidental” o “residual”.

Finalmente, por lo que se refiere a los tratamientos automatizados de datos personales —impliquen o no el uso de herramientas de IA—, el dictamen propone mantener el principio de prohibición como regla general que la Comisión intenta eliminar. Admite, eso sí, la existencia de un conjunto de excepciones tasadas en las que la automatización pueda estar justificada. Se trata, en definitiva, de evitar que la nueva regulación parezca ofrecer una autorización general simplemente porque exista un contrato con el interesado, aunque la automatización no sea realmente necesaria para ejecutarlo.

El uso de datos biométricos con fines de identificación

Una de las propuestas que reciben una acogida más favorable por parte del dictamen es la nueva excepción propuesta para autorizar el tratamiento de categorías especiales de datos en el contexto de la autenticación biométrica, siempre que el medio de verificación esté bajo el control exclusivo del interesado. Se trata de una cuestión que ha suscitado una relevante polémica en España como consecuencia de la guía práctica difundida por la Agencia Española de Protección de Datos —actualmente en revisión— y las posteriores medidas sancionadoras y de naturaleza restrictiva que se han adoptado por parte de dicha entidad. El dictamen entiende que permitir este tipo de tratamiento, cuando los datos o los medios permanecen en manos del usuario, puede reforzar la seguridad sin añadir riesgos desproporcionados, siempre que se exijan garantías estrictas sobre finalidades, conservación y no reutilización para otros fines.

Datos abiertos y reutilización de la información del sector público

El dictamen establece dos límites claros a la hora de valorar el alcance de la reforma que propone la Comisión para integrar las diversas normas existentes en este ámbito en la nueva versión de la Data Act, cuyo alcance ya explicamos de manera pormenorizada.

En primer lugar, el dictamen enfatiza que la nueva regulación no genera, por sí misma, una obligación adicional ni automática para los organismos públicos de permitir la reutilización de datos de carácter personal, señalando que no constituye una nueva base jurídica autónoma, conforme al artículo 6 RGPD, para legitimar el acceso y su reutilización.

Así pues, una mera solicitud de reutilización bajo la nueva redacción de la Data Act, no bastaría para obligar a una Administración a ceder datos personales, ni tampoco se sustituye la necesidad de acudir a una base legitimadora específica en el RGPD —interés público (art. 6.1.e), consentimiento (art. 6.1.a), obligación legal (art. 6.1.c), etc.— que, en todo caso, ha de ser evaluada caso por caso conforme a los principios de necesidad y proporcionalidad. Todo ello sin perjuicio de que sean aplicables las medidas que ya contemplaba desde su versión inicial la Data Governance Act, y que ahora se integrarían en la nueva versión actualizada de la Data Act.

En segundo lugar, en situaciones de emergencia pública —como podría ser el caso de pandemias, catástrofes naturales o, sin ánimo exhaustivo, ciberataques masivos— la reforma que la Comisión propone para la Data Act habilita el acceso por parte de ciertas autoridades públicas a datos en manos de sujetos privados, tanto personales como no personales, cuando exista una necesidad excepcional de utilizar determinados datos para desempeñar funciones de interés público. En este tipo de situaciones el dictamen propone una gradación estricta de intensidad de las medidas:

• Deberían utilizarse datos anónimos, que por lo tanto estarían fuera del ámbito del RGPD.

• Solo si resultan insuficientes para la necesidad planteada, podría recurrirse a datos personales, pero seudonimizados, es decir, identificables únicamente por quien posea la información adicional necesaria para la reidentificación;

• Reclama la necesaria adopción de medidas técnicas y organizativas adecuadas a lo largo de todo el ciclo de vida del tratamiento: desde la recogida, pasando por el análisis, hasta el borrado cuando ya no sea necesaria su conservación.

En definitiva, de acuerdo con el dictamen conjunto del EDPB y del EDPS, el Reglamento Ómnibus Digital constituye una iniciativa esencial destinada a reforzar un modelo europeo para impulsar la accesibilidad de los datos sin que se vea afectado el derecho a la protección de los datos personales. Más allá del resultado final de la tramitación de esta iniciativa, una vez culminado el proceso legislativo, el dictamen analizado pone de manifiesto la necesidad de prestar especial atención a los modelos de gobernanza de los datos en los proyectos e iniciativas que se impulsen. En particular, resulta esencial afinar sobre todo: las bases jurídicas de los tratamientos de los datos personales, el alcance de los análisis de riesgos y las evaluaciones de impacto, la documentación de las medidas adoptadas para hacer frente al cumplimiento normativo y, en última instancia, la distribución de los roles y el alcance de las obligaciones que correspondan a cada sujeto, todo ello a partir de premisas claras, coherentes y respetuosas con el núcleo del derecho fundamental a la protección de datos.