La gestión del cumplimiento normativo tecnológico se ha convertido, en los últimos años, en una navegación de aguas cada vez más revueltas para las organizaciones: el RGPD, el Data Act, el Reglamento de IA, NIS 2… Normas que se solapan, que se contradicen en los márgenes y que generan una burocracia que, en ocasiones, asfixia más que protege.
Con ese diagnóstico sobre la mesa, el 19 de noviembre de 2025 la Comisión Europea presentó el llamado Paquete Ómnibus Digital: no una gran norma nueva, sino una reforma transversal que modifica simultáneamente un amplio conjunto de legislación digital vigente con el objetivo declarado de simplificar, armonizar y reducir cargas administrativas. No tardaron en reaccionar quienes más de cerca vigilan ese equilibrio: el 10 de febrero de 2026, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) publicaron su Dictamen Conjunto 2/2026, un documento que conviene leer con atención porque no es ni un cheque en blanco ni un rechazo frontal, sino algo más incómodo: un apoyo condicionado que señala con precisión quirúrgica dónde está el límite.
Los puntos de fricción
- Cambios a la definición de datos personales: La propuesta introduce un nuevo artículo 41a en el RGPD que permitiría a la Comisión determinar, mediante acto de ejecución, en qué condiciones los datos seudonimizados dejarían de considerarse datos personales. El CEPD y el SEPD lo rechazan con contundencia: este concepto es el núcleo del derecho a la protección de datos, anclado en el artículo 8 de la Carta de Derechos Fundamentales y el artículo 16 del TFUE, y la propuesta no refleja con precisión la jurisprudencia del TJUE, sino que la distorsiona. Una modificación estructural inadmisible disfrazada de simplificación.
- Derecho de acceso: El dictamen advierte que vincular el abuso de derecho a su ejercicio con fines no estrictamente vinculados a la privacidad contradice al TJUE, que ampara ese ejercicio con independencia de la motivación del interesado.
- Decisiones individuales automatizadas: La prohibición de principio frente a las decisiones individuales automatizadas debe mantenerse tal como la ha interpretado el TJUE, sin que quepa entender que el mero contexto contractual la excepciona por defecto.
- Tratamiento incidental y residual de categorías especiales de datos en el contexto de la IA: La nueva excepción para este tipo de tratamiento en el contexto del desarrollo de sistemas de IA es bienvenida en su intención, pero necesita mejoras: el concepto de «operación» queda indefinido y los datos procesados mediante prompts durante el despliegue del sistema deben quedar expresamente fuera de su alcance.
- Interés legítimo como base jurídica en contextos de IA: La propuesta de consagrar el interés legítimo como base jurídica para el tratamiento de datos en contextos de IA resulta innecesaria: el CEPD ya lo confirmó en su Opinión 28/2024 y una nueva previsión específica podría generar más confusión que certeza.
Lo que sí funciona
El dictamen no es un documento de resistencia al cambio. Los reguladores valoran positivamente varias medidas: la elevación del umbral para notificar brechas a las autoridades —solo cuando exista riesgo real alto— y la ampliación del plazo de 72 a 96 horas; la creación de una ventanilla única (Single-Entry Point) que permita notificar simultáneamente bajo el RGPD, NIS 2 y otros marcos; la nueva excepción para datos biométricos con fines de autenticación; la definición armonizada de investigación científica; y las medidas contra la fatiga del consentimiento y la proliferación de banners de cookies. Son avances reales que reducen carga sin comprometer protección.
El efecto Bruselas en cuestión
Las modificaciones que el Ómnibus Digital introduce en el Reglamento de IA envían una señal inquietante al resto del mundo: la de una Europa dispuesta a negociar sus propios estándares ante la presión competitiva de EE.UU. y China.
Es, en definitiva, la degradación del llamado «efecto Bruselas», esa capacidad europea de exportar su modelo regulatorio por la mera fuerza de su mercado interior. Las prisas por regular la inteligencia artificial han producido un Reglamento cuestionado prácticamente desde su publicación, y que ahora se pretende reformular cuando apenas ha cumplido año y medio de vida y su grueso de obligaciones aún no ha entrado plenamente en vigor. Reabrir ese debate tan pronto no solo genera inseguridad jurídica: también lanza un mensaje de fragilidad normativa difícil de compatibilizar con la ambición de liderar globalmente la gobernanza de la IA.
Para las organizaciones, la señal es clara: el marco está en movimiento, pero conviene esperar al texto definitivo. El proceso legislativo acaba de comenzar, y la posición firme de los reguladores anticipa que los cambios más polémicos tendrán difícil recorrido.
