El EDPB y el EDPS publican su Dictamen Conjunto sobre la propuesta de Reglamento Digital Omnibus

El pasado 10 de febrero de 2026, el Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS) adoptaron su Dictamen Conjunto 2/2026 sobre la propuesta de Reglamento Digital Omnibus, presentada por la Comisión Europea el 19 de noviembre de 2025. Esta propuesta pretende modificar un amplio corpus de la legislación digital de la UE, incluyendo el RGPD, el Reglamento EUDPR, la Directiva ePrivacy, el Data Act, el Data Governance Act, la Directiva NIS 2 y el Reglamento del Portal Digital Único. Ya resumimos las principales novedades propuestas por medio de esta iniciativa legislativa en esta entrada de nuestro blog.

Aspectos valorados positivamente

El EDPB y el EDPS apoyan los objetivos de la propuesta de optimizar la aplicación de la normativa digital, simplificar el cumplimiento, reforzar la capacidad de los individuos para ejercer sus derechos y estimular la competitividad. En particular, acogen favorablemente aquellas partes de la propuesta que pueden fomentar una mayor armonización, coherencia y seguridad jurídica o reducir cargas administrativas innecesarias.

Entre los cambios que reciben una valoración positiva destacan:

En materia de investigación científica, el EDPB y el EDPS celebran la introducción de una definición armonizada del concepto de "investigación científica" en el contexto del RGPD, ya que puede aumentar la seguridad jurídica y apoyar la actividad investigadora. También valoran positivamente la aclaración de que el artículo 6(4) del RGPD no necesita aplicarse en estos casos, así como la nueva exención limitada al deber de informar.

Respecto al tratamiento de datos biométricos, se acoge con satisfacción la nueva excepción que permite el tratamiento de categorías especiales de datos para la autenticación biométrica, siempre que los medios de verificación estén bajo el control exclusivo del individuo.

En cuanto a las notificaciones de brechas de seguridad, el EDPB y el EDPS apoyan el aumento del umbral para la notificación obligatoria a las autoridades de control, de modo que solo deberán notificarse las brechas que puedan suponer un alto riesgo para los derechos y libertades de los interesados. Asimismo, respaldan la ampliación del plazo de notificación de 72 a 96 horas. También valoran positivamente la creación de plantillas comunes y listas de circunstancias para las notificaciones de brechas.

Sobre las evaluaciones de impacto en protección de datos (EIPD), el EDPB y el EDPS apoyan la armonización a nivel de la UE de las listas de tratamientos que requieren o no una EIPD, así como la creación de una plantilla y metodología comunes.

En relación con la Directiva ePrivacy, ambos organismos apoyan firmemente el objetivo de proporcionar una solución regulatoria contra la fatiga del consentimiento y la proliferación de banners de cookies, así como simplificar las normas aplicables a la protección del equipamiento terminal de los usuarios finales. También acogen favorablemente los requisitos sobre el uso de indicaciones automatizadas y legibles por máquina de las preferencias de los interesados. 

Respecto al Data Acquis, el EDPB y el EDPS celebran la integración en el Data Act de las normas del Data Governance Act y la Directiva de Datos Abiertos sobre la reutilización de datos y documentos en poder de organismos del sector público, lo que simplificará el cumplimiento normativo, dejando, no obstante, algunas recomendaciones sobre temáticas específicas para garantizar la seguridad de los datos personales, en particular, con respecto a los servicios de intermediación y organizaciones altruistas, el EDPB y el EDPS detallan algunas recomendaciones para garantizar que el acceso a los datos se realice de acuerdo con los principios y requisitos aplicables.

Aspectos que generan preocupación

El Dictamen Conjunto también expresa preocupaciones respecto a determinados cambios propuestos que, en su opinión, afectarán negativamente al nivel de protección de los individuos, generarán incertidumbres jurídicas o dificultarán la aplicación práctica de la normativa.

La principal objeción se refiere a los cambios propuestos en la definición de datos personales. El EDPB y el EDPS subrayan que la definición de datos personales constituye el núcleo mismo del Derecho de la UE de protección de datos, incluyendo el artículo 8 de la Carta de Derechos Fundamentales y el artículo 16 del TFUE. Consideran que los cambios propuestos estrecharían significativamente el concepto de datos personales, afectando negativamente al derecho fundamental a la protección de datos. Por ello, instan firmemente a los colegisladores a no adoptar los cambios propuestos a la definición de datos personales.

Respecto a los actos de ejecución sobre seudonimización, el EDPB y el EDPS expresan su preocupación por que la propuesta permita especificar mediante actos de ejecución los medios y criterios para determinar cuándo los datos resultantes de la seudonimización dejan de constituir datos personales. Consideran que definir qué deja de ser dato personal afecta directamente al ámbito de aplicación del Derecho de protección de datos de la UE y no debería abordarse mediante un acto de ejecución. Por ello, sugieren la eliminación del propuesto artículo 41a del RGPD.

En cuanto a la separación de las normas sobre protección del equipamiento terminal, el EDPB y el EDPS advierten de que la separación propuesta de las normas sobre acceso y almacenamiento de información en equipos terminales entre diferentes instrumentos jurídicos puede generar incertidumbre legal.

Sobre la limitación del derecho de acceso, aunque valoran positivamente el objetivo de clarificar qué constituye un abuso de derecho, consideran problemático vincular esta noción con el ejercicio del derecho de acceso para fines distintos de la protección de datos, dado que el RGPD también protege otros derechos y libertades fundamentales.

Respecto a las decisiones individuales automatizadas, el EDPB y el EDPS consideran que debe mantenerse la prohibición de principio clarificada por el TJUE, utilizando un lenguaje apropiado que refleje que el artículo 22(1) del RGPD establece una prohibición con excepciones bajo condiciones específicas.

En materia de servicios de intermediación de datos, el EDPB y el EDPS recomiendan mantener el requisito de registro previo obligatorio, o al menos cuando los servicios de intermediación previstos impliquen un tratamiento de datos personales que pueda suponer un alto riesgo para los derechos y libertades de las personas físicas.

Valoración final

El EDPB y el EDPS lamentan que la propuesta no fuera acompañada de una evaluación de impacto completa y consideran que no se ha prestado suficiente atención a los efectos adversos de ciertos cambios propuestos sobre la protección de los derechos y libertades fundamentales de los individuos. Subrayan la importancia de que las simplificaciones propuestas clarifiquen las obligaciones y aporten seguridad jurídica, manteniendo al mismo tiempo la confianza y un alto nivel de protección de los derechos y libertades fundamentales.