Impacto del Digital Omnibus sobre el RGPD

Según comentábamos en la anterior entrada (“Claves del “Digital Package” de la Comisión Europea”, la propuesta de Reglamento Digital Omnibus introduce ajustes sustantivos en el Reglamento General de Protección de Datos (“RGPD”).

Estas modificaciones tienen como principal objetivo simplificar la aplicación práctica, armonizar criterios a escala de la UE y clarificar la interacción del RGPD con tecnologías y marcos digitales clave.

A continuación, resaltamos algunas de las modificaciones más relevantes que se pretenden introducir en el RGPD.

1.   Modificación a la definición de datos personales

Se introduce una modificación muy relevante en la definición de dato personal (art. 4.1), que va en línea con la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) (véase, por ejemplo, la STJUE de 9.11.2023 en asunto C-319/22, Gesamtverband Autoteile-Handel)

Conforme a la modificación propuesta, una información no será dato personal para una entidad si esta no puede identificar al interesado teniendo en cuenta los medios que sea razonablemente probable que emplee dicha entidad. Y la información no deviene personal para esa entidad por el mero hecho de que un potencial receptor ulterior disponga de medios razonablemente probables para identificar a la persona afectada.

En la práctica, esta modificación impone a los responsables la carga de analizar los medios “razonablemente probables” de las entidades receptoras de la información y exigirá metodologías de evaluación de riesgo de reidentificación.

Estas evaluaciones deberán basarse en los criterios de la Comisión, quién podrá adoptar actos de ejecución especificando medios y criterios para determinar cuándo datos resultantes de pseudonimización dejan de constituir datos personales para ciertos destinatarios, previa evaluación del estado del arte y del riesgo de reidentificación.

Adicionalmente, se ha propuesta la incorporación de nuevas definiciones como, “investigación científica”, “equipo terminal” o “interfaz digital”.

2.   Compatibilidad de fines en tratamientos ulteriores para investigación, estadística y archivo

Se propone reformular la regla de “limitación de la finalidad” del artículo 5.1.b) para dejar claro que el tratamiento ulterior con fines de archivo en interés público, investigación científica o histórica, o fines estadísticos, se considerará compatible con la finalidad inicial siempre que se apliquen las salvaguardas del artículo 89.1. La novedad clave es que esta compatibilidad opera de forma independiente del artículo 6.4 del RGPD, por lo que no será necesario realizar el test de compatibilidad en estos supuestos.

En cualquier caso, es importante señalar que no se crea una base jurídica propia: seguirá siendo exigible una base del artículo 6.1 y, cuando corresponda, el cumplimiento de los artículos 9 y 10.

En la práctica, el régimen pasa de la mera “no incompatibilidad” a una presunción positiva de compatibilidad, aportando claridad y seguridad jurídica. El foco se desplaza a las salvaguardas del artículo 89.1 (minimización, seudonimización y medidas técnicas y organizativas adecuadas) como condición habilitante. Permanecen las obligaciones de transparencia, el reflejo en el Registro de Actividades y, si procede, la evaluación de impacto. Sectores como salud, estadística oficial y archivo público se beneficiarán de menor fricción operativa, siempre bajo criterios de proporcionalidad y necesidad y con verificación efectiva de garantías para evitar usos oportunistas.

3.   Base jurídica para IA y tratamiento de categorías especiales

Una de las propuestas de modificación más relevante es la relativa a la incorporación de un nuevo artículo (el artículo 88c), que reconoce el interés legítimo del responsable del tratamiento como base jurídica para el tratamiento de datos necesario en el contexto del desarrollo y la operación de sistemas de IA o modelos de IA (según se definen en el Reglamento de Inteligencia Artificial). Desde esta perspectiva, la propuesta no crea un “cheque en blanco”, sino que codifica expresamente que el desarrollo y la explotación de modelos de IA pueden, en determinados supuestos, ampararse en la cláusula del artículo 6.1.f) del RGPD siempre que el interés invocado sea real, lícito y concreto; que el tratamiento sea necesario para alcanzarlo; y que, tras una ponderación rigurosa, los derechos y libertades de las personas no prevalezcan sobre el interés perseguido. El considerando 30 destaca que el acceso a datos (incluidos datos personales) durante las fases de entrenamiento, prueba y validación es inherente al ciclo de vida de la IA. Por ello se admite que el interés legítimo puede ser una base apropiada, pero subraya que esta posibilidad no exime de cumplir el resto de principios y obligaciones del RGPD ni de respetar prohibiciones sectoriales, por ejemplo, las restricciones del Reglamento de IA a determinados usos de alto riesgo o prohibidos.

La ponderación de intereses debe incorporar un enfoque basado en el riesgo. El considerando 31 señala que, al evaluar si el interés del responsable o de un tercero prevalece, se debe valorar si dicho interés reporta beneficios sociales o para los propios interesados —como la detección de sesgos o la mejora de la accesibilidad— y tener en cuenta las expectativas razonables de los afectados, el volumen y sensibilidad de los datos, la transparencia y otras salvaguardas técnicas como el uso de técnicas de preservación de la privacidad o la limitación de la retención. La propuesta de Digital Omnibus, en sintonía con las recientes orientaciones del Comité Europeo de Protección de Datos (“CEPD”), insiste en que el test de necesidad obliga a justificar por qué el tratamiento de datos personales es imprescindible para desarrollar el modelo (por ejemplo, porque no es posible entrenar con datos sintéticos de calidad suficiente) y a documentar por escrito la valoración de alternativas menos intrusivas. De acuerdo con el CEPD, el interés puede ser, por ejemplo, crear un agente conversacional que asista a usuarios o mejorar la ciberseguridad, pero no legitima usos contrarios a otras normas, como sistemas destinados a prácticas publicitarias prohibidas o a decisiones automatizadas vetadas.

El recurso al interés legítimo en este ámbito exige, por tanto, salvaguardas reforzadas. Además de la minimización en la selección de fuentes y la limpieza previa de conjuntos de datos, es imprescindible aplicar medidas durante el entrenamiento y la prueba que limiten la incorporación de datos innecesarios, reducir la posibilidad de reidentificación y prevenir la “memorización” o regurgitación de datos personales.

La transparencia también se refuerza: los responsables deberán informar de manera accesible sobre el uso de la base jurídica, las finalidades concretas y los derechos de oposición u objeción sin necesidad de motivar; y deberán respetar las señales técnicas que indiquen que no debe utilizarse cierta información para el entrenamiento. A ello se añade el deber de atender de forma efectiva un derecho de oposición incondicionado —sin necesidad de demostrar motivos— cuando el tratamiento para el entrenamiento de la IA se basa en el interés legítimo, facilitando mecanismos automatizados para ejercerlo. La doctrina del CEPD y de autoridades como la CNIL subraya, además, la importancia de realizar evaluaciones de impacto específicas para IA, ponderar los beneficios frente a los riesgos (incluidos los derivados de web scraping masivo o de la retención de datos en los modelos) y establecer controles técnicos para mitigar la extracción o inversión de modelos.

Desde la óptica de las categorías especiales de datos, la propuesta introduce un régimen excepcional para aquellos casos en los que estos datos aparezcan de manera residual en los conjuntos de entrenamiento o sean retenidos en el modelo sin resultar necesarios para la finalidad perseguida. El considerando 33 habilita, de forma tasada, una excepción o derogación a la prohibición general del artículo 9 del RGPD siempre que el responsable haya implantado medidas técnicas y organizativas eficaces para evitar la recopilación de categorías especiales, supervise el ciclo de vida del sistema y elimine los datos sensibles detectados. Si la supresión exige un esfuerzo desproporcionado —por ejemplo, porque implicaría reentrenar el modelo— el responsable deberá garantizar que estos datos no se utilicen para generar salidas ni se divulguen a terceros, mediante técnicas de bloqueo o filtrado en los outputs. Este régimen excepcional se circunscribe a situaciones en las que la presencia de datos sensibles es incidental; cuando su tratamiento sea necesario para la finalidad del modelo deberá recurrirse a una de las bases legales existentes del artículo 9(2), como el consentimiento explícito o el interés público en el ámbito de la salud.

El texto también prevé una excepción específica para el uso de datos biométricos en la verificación de identidad. El considerando 34 recuerda que la biometría abarca tanto la identificación (búsqueda uno-a-muchos) como la verificación (comparación uno-a-uno) y permite levantar la prohibición del artículo 9(1) cuando la verificación de la identidad es necesaria y el proceso se realiza bajo el control exclusivo del interesado. Esto supone que los datos biométricos o las credenciales necesarias para autenticarse deben almacenarse localmente o cifrados de forma que solo el titular disponga de la clave; de esta manera el responsable no accede a la plantilla biométrica o solo lo hace durante un lapso mínimo, reduciendo el riesgo de fuga o uso indebido. Esta excepción pretende facilitar la adopción de tecnologías de autenticación seguras, pero no permite reutilizar las plantillas biométricas para otros fines ni integrar sistemas de reconocimiento a gran escala.

Conviene destacar, finalmente, que el reconocimiento del interés legítimo como base jurídica para IA ha suscitado debates doctrinales. Parte de la doctrina teme que la formulación demasiado abierta pueda erosionar el principio de consentimiento y propiciar una reutilización masiva de datos sin control suficiente. Por ello, las orientaciones del CEPD y de autoridades nacionales insisten en que no existe una “excepción para la IA” en protección de datos y que incluso el tratamiento incidental desencadena la aplicación íntegra del RGPD. Asimismo, recuerdan que la práctica común no constituye por sí sola una expectativa razonable de los interesados y que es necesario informar de forma clara cuando se reutilizan datos obtenidos de fuentes públicas mediante scraping. A efectos prácticos, los responsables deberán articular mecanismos para filtrar proactivamente categorías especiales, documentar la ponderación de intereses, adaptar sus evaluaciones de impacto al contexto de modelos generativos y mantener una coordinación estrecha con los equipos de ingeniería para asegurar que las salvaguardas jurídicas se traducen en controles técnicos, de modo que el encaje entre el RGPD, el Reglamento de IA y la propuesta de Digital Omnibus se traduzca en un desarrollo de modelos más responsable.

4.   Transparencia, información al interesado y decisiones automatizadas

Se ajustan las obligaciones de información del artículo 13 del RGPD en dos frentes. Primero, se introduce una exención cuando los datos se hayan recogido en el marco de una relación clara y circunscrita con un responsable que no realice actividades intensivas en datos y existan razones para asumir que el interesado ya dispone de cierta información básica; esta exención se excluye si hay cesión a terceros, transferencias internacionales, decisiones automatizadas o tratamientos con alto riesgo. Segundo, para tratamientos con fines de investigación científica, cuando informar resulte imposible o desproporcionado, se exime condicionado a salvaguardas del artículo 89(1) RGPD, exigiendo medidas alternativas como la publicación de información general.

Asimismo, se clarifica el artículo 22 RGPD: se mantiene la posibilidad de decisiones basadas únicamente en tratamientos automatizados cuando sean necesarias para la ejecución de un contrato, estén autorizadas por el Derecho de la Unión o del Estado miembro, o cuenten con el consentimiento explícito del interesado; se explicita que la excepción contractual aplica “independientemente” de que la decisión pudiera tomarse por medios no exclusivamente automatizados, sin alterar la necesidad de salvaguardas adecuadas.

La exención de las obligaciones de información a los interesados aplica exclusivamente en los casos en que el tratamiento de datos pueda considerarse de bajo riesgo. Sin embargo, los responsables están obligados a documentar las circunstancias que justifican dicha exención y a establecer mecanismos de vigilancia que permitan identificar cambios en las condiciones del tratamiento. Si estas condiciones dejan de cumplirse, de forma que el tratamiento ya no pueda ser considerado de bajo riesgo, la exención perderá su efecto y los responsables deberán cumplir con las obligaciones generales de información correspondientes. En investigación, se refuerza el marco de proporcionalidad con obligaciones de transparencia alternativa. En decisiones automatizadas, la precisión contractual reduce controversias interpretativas, pero no disminuye las exigencias de información, derecho a intervención humana y evaluación de riesgos.

5.   Evaluaciones de impacto (EIPD) y plantilla/metodologías comunes

Se sustituye el mosaico nacional por un sistema armonizado: el CEPD propondrá a la Comisión (i) la lista de tipos de tratamiento sujetos a EIPD y (ii) la lista de tratamientos exentos, así como (iii) una plantilla y una metodología común de EIPD. La Comisión podrá adoptar estas propuestas mediante actos de ejecución en un plazo específico y revisarlas periódicamente. Las listas nacionales seguirán vigentes hasta la adopción de la lista común. En consecuencia, se espera mayor coherencia y previsibilidad transfronteriza, con reducción de costes de cumplimiento para grupos multinacionales.

Sin embargo, la transición exigirá mapeos entre categorías nacionales y la lista común, la adaptación de metodologías internas a la plantilla armonizada y la revisión de registros y umbrales de riesgo, en particular para tratamientos innovadores (p. ej., IA generativa, monitorización a gran escala).

6.   Notificaciones de brechas: plazo de 96 horas y ventanilla única

Se modifica el artículo 33 RGPD para: (i) trasladar el canal de notificación a la ventanilla única establecida al amparo de la Directiva NIS2, permitiendo que una única presentación cumpla múltiples marcos; (ii) ampliar el plazo a 96 horas cuando la brecha sea probablemente de alto riesgo para las personas; y (iii) encargar al CEPD la propuesta de una plantilla común y de un listado indicativo de circunstancias en las que concurre alto riesgo, con revisiones periódicas. Hasta que la ventanilla única esté operativa, se mantiene la notificación directa a la autoridad competente.

Las organizaciones deberán alinear sus planes de respuesta a incidentes con el nuevo umbral de “alto riesgo”, el plazo de 96 horas, y los requisitos de la interfaz unificada. La plantilla común facilitará la estandarización de flujos internos de recogida de información y la coordinación con otros marcos (NIS2, DORA), pero exigirá actualización de los procedimientos, matrices de decisión y herramientas de ticketing.

7.   Efectos de la reforma y hoja de ruta de cumplimiento

En su conjunto, las modificaciones proponen una disciplina del RGPD más operativa y homogénea, con efectos inmediatos en cuatro frentes de cumplimiento.

1. Primero, consent management y diseño de interfaces: será necesario revisar banners de cookies, CMPs y flujos de consentimiento para acomodar rechazo en un clic, periodos de “enfriamiento” tras denegación y respeto de señales estandarizadas.
2. Segundo, data sharing y anonimización: convendrá reforzar los análisis de riesgo de reidentificación y la documentación de supuestos en cesiones de datos pseudonimizados, previendo los criterios de la Comisión.
3. Tercero, IA y datos especiales: habrá que institucionalizar evaluaciones de interés legítimo específicas para IA, filtros de categorías especiales en datasets y modelos, controles de transparencia y mecanismos de oposición incondicionada, con trazabilidad técnica de remediación y bloqueo en outputs.
4. Cuarto, seguridad y brechas: se deberán ajustar matrices de riesgo, el umbral de notificación y los plazos, e integrar la operativa de la ventanilla única, aprovechando la plantilla común del CEPD.

Estas exigencias vendrán acompañadas de actos de ejecución, plantillas y estándares técnicos que facilitarán la transición, pero requerirán planificación avanzada, actualización de políticas y contratos, y coordinación entre equipos jurídicos, de privacidad, seguridad y producto.

8.   Cookies, tratamientos en equipos terminales, consentimiento y señales automatizadas

La propuesta traslada al RGPD el régimen de almacenamiento/acceso a datos en equipos terminales de personas físicas, hoy contenido en la Directiva ePrivacy para supuestos con datos personales. Se introduce un artículo específico que exige consentimiento para almacenar o acceder a datos en el equipo terminal, con excepciones tasadas para transmisión de comunicaciones, prestación de un servicio solicitado por el usuario, medición de audiencia por el propio editor en forma agregada y para su uso propio, y seguridad del servicio/terminal.

Cuando el tratamiento se base en consentimiento, el rechazo deberá ser posible “con un solo clic o medio equivalente”; el controlador no podrá reiterar solicitudes para la misma finalidad si se otorgó consentimiento mientras este siga siendo válido, y, si se rechaza, no podrá reiterarse la petición para esa misma finalidad durante al menos seis meses. En paralelo, se prevé un régimen de indicaciones automatizadas y legibles por máquina de las elecciones del interesado (consentimiento, rechazo y ejercicio del derecho de oposición en marketing), que los controladores deberán habilitar y respetar. La Comisión encomendará a organismos europeos de normalización la elaboración de estándares para la interpretación de dichas señales; las interfaces conformes a normas armonizadas gozarán de presunción de conformidad. Se contempla además una obligación técnica específica para proveedores de navegadores que no sean pymes de soportar estas indicaciones.

Las organizaciones deberán rediseñar sus interfaces (incluida su gestión de consentimiento) para: incorporar mecanismos claros de “rechazo en un clic”; evitar dark patterns o reiteraciones indebidas; habilitar la recepción y respeto de señales automatizadas de elección; y documentar periodos de validez del consentimiento. La medición de audiencia propia sin consentimiento y con datos agregados se perfila como un supuesto exento, pero sujeto a una interpretación restrictiva.

La carga técnica se extenderá a proveedores de navegadores (que no sean pymes), lo que previsiblemente favorecerá la adopción generalizada de señales estandarizadas. El calendario de aplicación se escalona: el régimen de terminales aplica a los seis meses; el respeto de señales por controladores a los veinticuatro meses; la obligación para navegadores a los cuarenta y ocho meses desde la entrada en vigor.

Autor: Ramon Baradat, en colaboración con Aurora Righi