La Unión Europea ha dado un paso decisivo hacia la simplificación normativa con la propuesta del Reglamento Ómnibus Digital. Este paquete legislativo busca reorganizar y armonizar leyes como el Reglamento General de Protección de Datos (RGPD), ePrivacy, el Data Act y el AI Act. Sin embargo, no se limita a reorganizar textos normativos, también redefine conceptos clave, plantea nuevos retos para las organizaciones y promete reducir cargas administrativas. Esta búsqueda de coherencia y eficiencia abre la puerta a una cuestión esencial, ¿cómo impactará esta iniciativa en la privacidad de los usuarios?

Entre sus novedades más relevantes, destacan las siguientes:

• Redefinición del concepto de dato personal

Hasta ahora, el RGPD consideraba dato personal cualquier información que permitiera identificar de forma directa o indirecta a una persona. La propuesta incorpora un matiz, indicando que no se considerará dato personal para una entidad si esta no dispone de medios razonablemente probables para reidentificar al individuo. La definición pasa de ser absoluta a depender del contexto y de los recursos disponibles, lo que impacta de manera significativa en la seudonimización.

Por ejemplo, una empresa que trata datos seudonimizados para realizar análisis estadísticos sin acceso a las claves de reidentificación podría realizar el tratamiento sin aplicar las obligaciones dispuestas en el RGPD, siempre y cuando pueda demostrar que no dispone de medios razonables que le permitan reidentificar a los usuarios.

• Interés legítimo como base de legitimación para entrenar modelos de IA

La propuesta reconoce explícitamente el interés legítimo como base jurídica para el tratamiento de datos personales en el funcionamiento y entrenamiento de sistemas de inteligencia artificial. No obstante, no se trata de un «cheque en blanco» ya que las organizaciones deben atenerse al cumplimiento de unos requisitos específicos, entre otros, reforzar la transparencia en la información facilitada, realizar evaluaciones de impacto en supuestos de riesgo elevado, minimizar los datos tratados, implantar controles técnicos robustos e, indudablemente, otorgar a los usuarios la posibilidad de ejercer el derecho de oposición.

• Excepciones para el tratamiento de datos de categoría especial

Se añaden dos importantes excepciones al artículo 9.2 del RGPD, que establece las circunstancias que levantan la prohibición del tratamiento de datos de categoría especial:

• Se permite el tratamiento de datos biométricos cuando sea necesario para confirmar la identidad del interesado, siempre que los datos estén bajo su control exclusivo como ocurriría en los procesos de autenticación en banca online con biometría en el dispositivo del usuario. De esta manera, el banco no almacenaría la plantilla biométrica, la cual estaría exclusivamente almacenada en el dispositivo, recibiendo solamente un token de éxito para permitir el acceso al usuario.
• Se autoriza el uso de datos de categoría especial (por ejemplo: datos de origen racial o étnico, datos biométricos, datos relativos a la salud) para entrenar u operar sistemas de inteligencia artificial, siempre que esté sujeto a una serie de medidas técnicas organizativas apropiadas. Un ejemplo práctico podría ser el uso de datos sobre género y origen étnico en un sistema de IA diseñado para detectar discriminación en procesos de selección, resultando justificado el tratamiento de dichos datos para garantizar la equidad del modelo.
• Evaluaciones de impacto

Hasta la fecha, cada autoridad nacional publicaba sus propios criterios sobre cuando era necesario realizar las evaluaciones de impacto. Con el objetivo de garantizar la homogeneidad en toda la Unión Europea, la propuesta atribuye al CEPD (Comité Europeo de Protección de Datos) la tarea de elaborar una lista común con aquellos tratamientos que precisan evaluación de impacto y aquellos que no, creando una plantilla oficial y una metodología armonizada para su ejecución, reemplazando las listas nacionales existentes y otorgando seguridad jurídica al proceso.

• Excepciones al deber de información al interesado

Se introducen flexibilizaciones para reducir la carga administrativa que puede suponer facilitar la información al interesado en los términos previstos por el RGPD, definiendo criterios claros de aplicabilidad. Entre las excepciones se encuentran los tratamientos realizados con fines de investigación científica, cuando el interesado disponga razonablemente de la información o cuando la comunicación individual sea desproporcionada en relación con el esfuerzo requerido, con más claridad y alcance que el criterio actual. Para cada uno de los escenarios se definen criterios claros que permitan determinar si es aplicable o no la exención, reduciendo así la interpretación subjetiva.

• Brechas de seguridad

Entre los cambios más significativos destacan los siguientes:

• Se amplía el plazo para notificar una brecha a la autoridad competente, pasando de 72 a 96 horas, ofreciendo así un margen superior que permita a las organizaciones estudiar el caso de una manera más completa.
• La obligación de notificar se limita a incidentes que supongan un alto riesgo para los derechos y libertades de las personas.
• Se crea una plataforma centralizada para el reporte de las brechas de seguridad como punto único de notificación (Single-Entry Point). Este sistema será gestionado por ENISA (Agencia de la Unión Europea para la Ciberseguridad) el cual se encargará de distribuir la información a las autoridades pertinentes.
• Se elaborarán plantillas estándar para las notificaciones por parte del CEPD, para garantizar su uniformidad.

En definitiva, la propuesta Ómnibus Digital introduce cambios sustanciales en la forma en la que se entiende y gestiona la privacidad en la Unión Europea. Su propuesta marca un giro hacia un modelo más pragmático, buscando adaptarse a un entorno digital cada vez más dinámico. Sin embargo, esta modernización no se encuentra exenta de riesgos. El verdadero desafío será garantizar que estas medidas, orientadas a la eficiencia y la innovación, se implementen con salvaguardas lo suficientemente sólidas para que estos cambios no se traduzcan en pérdida de confianza digital.

Isabel Abad Ayala
Govertis, parte de Telefónica Tech