📣 Últimas novedades
9 de marzo de 2026 – La Comisión esboza su plan de simplificación del Omnibus Digital (haz clic para ampliar)
La Comisión Europea ha señalado que el Omnibus Digital propuesto tiene como objetivo simplificar el marco normativo digital de la UE y reducir al menos 5.000 millones de euros en costes administrativos para las empresas, especialmente las pymes. La propuesta se centra en mejorar la claridad jurídica de las normas sobre datos y la regulación de la IA, agilizar la notificación de incidentes de ciberseguridad y ajustar los plazos de algunas partes de la Ley de IA, incluidos los sistemas de alto riesgo. La Comisión también confirmó que está revisando el marco digital en su conjunto a través de un «Control de adecuación digital», que podría derivar en nuevas medidas de simplificación. Leer más →
5 de diciembre de 2025 – Las autoridades europeas de protección de datos cuestionan un cambio clave de la propuesta (haz clic para ampliar)
El Comité Europeo de Protección de Datos (CEPD), la máxima autoridad europea en materia de protección de datos, ha analizado la propuesta del Omnibus Digital y ha manifestado su preocupación por la nueva definición de «datos personales». La propuesta limitaría la definición para centrarse en si el responsable del tratamiento concreto puede identificar a una persona, sin tener en cuenta si un tercero podría hacerlo. El CEPD considera que este enfoque podría ir demasiado lejos y entrar en conflicto con sentencias judiciales recientes. Para profundizar en la cuestión, el Comité organizó un debate con partes interesadas el 12 de diciembre de 2025 (documento de debate). Esto es relevante porque cuando el CEPD plantea una objeción, puede influir en la forma final de la ley. La definición de datos personales es la base de toda la normativa de privacidad, por lo que esta parte de la propuesta podría revisarse. Leer más →
La Comisión Europea publicó su propuesta de Reglamento Omnibus Digital el 19 de noviembre de 2025. Si trabajas en cumplimiento digital, conviene que la conozcas.
La propuesta busca simplificar y modernizar el marco normativo europeo mediante la modificación de varias leyes clave, entre ellas el RGPD, la Directiva ePrivacy, la Ley de Datos, NIS2, eIDAS, DORA y la CER.
El texto evolucionará a medida que avance por el proceso legislativo de la UE. Aun así, la dirección que apunta es prometedora, y nos comprometemos a ayudarte a entender lo que se avecina.
💡 Antes de entrar en detalle, ten esto presente: esto es una propuesta, no una ley. El texto está en una fase temprana y puede cambiar sustancialmente durante el proceso legislativo europeo. Los principios y obligaciones descritos aún no están en vigor ni son exigibles. Hasta que el Reglamento sea formalmente adoptado, el marco jurídico vigente (incluidos el RGPD y demás leyes aplicables) sigue regulando las actividades de tratamiento de datos.
📊 Ver cronología: de la propuesta a la ley (haz clic para ampliar)
El consentimiento de cookies se renueva
La propuesta traslada la norma ePrivacy sobre cookies al RGPD como nuevo artículo 88a. El consentimiento sigue siendo la regla general para almacenar o acceder a información en los dispositivos, aunque con novedades importantes.
- Excepciones sin consentimiento añadidas: una lista cerrada cubre ahora la transmisión, las cookies estrictamente necesarias, la medición de audiencia agregada de origen propio para tus propios servicios y la seguridad del servicio o del dispositivo.
- Aceptar y rechazar con un solo clic: los banners de cookies deben ofrecer ambas opciones con la misma facilidad.
- Período de espera de seis meses: los sitios no pueden seguir solicitando consentimiento a los usuarios durante al menos seis meses después de que lo rechacen, salvo que haya cambios relevantes en tus actividades de tratamiento.
Lo que no cambia:
- El consentimiento sigue siendo la base: seguirás necesitando consentimiento para publicidad, elaboración de perfiles, rastreo entre sitios y analítica de terceros. La propuesta no debilita estos requisitos.
Señales de preferencia legibles por máquina
El artículo 88b introduce una novedad: las señales de preferencia legibles por máquina. Piensa en ajustes del navegador que comuniquen automáticamente el consentimiento o la objeción del usuario. Los responsables del tratamiento deberán respetar estas señales, y los desarrolladores de navegadores tendrán que incorporarlas de forma progresiva.
Esto podría transformar de raíz el modo en que fluye el consentimiento en la web, desplazando algunas decisiones al nivel del navegador sin por ello reducir el control del usuario.
🍪 ¿Menos banners de cookies en el futuro?
Esto es lo que cambiaría: si los usuarios configuran sus preferencias de privacidad en el navegador o en el sistema operativo (por ejemplo, «rechazar todo el rastreo» o «solo esenciales»), los sitios leerían y respetarían esa preferencia automáticamente. Sin banner.
¿La realidad? La mayoría de los usuarios no adoptará estos ajustes de inmediato, así que los banners de cookies seguirán siendo el estándar durante un tiempo. Pero a medida que más visitantes configuren sus preferencias en el navegador, verán menos banners al navegar.
Entre bastidores, seguirás necesitando sistemas de gestión del consentimiento como iubenda para gestionar las opciones de los usuarios correctamente. El sistema simplemente se volverá más inteligente a la hora de decidir cuándo mostrar un banner y cuándo leer una señal de preferencia existente.
⚠️ Excepción para los proveedores de servicios de comunicación
No todos están obligados a respetar estas señales. La propuesta exime explícitamente a los proveedores de servicios de comunicación de la obligación de respetar las señales de preferencia legibles por máquina.
¿Por qué? La Comisión argumenta que las organizaciones de comunicación dependen de los ingresos publicitarios para su sostenibilidad financiera y que unos medios independientes son esenciales para el pluralismo y el debate democrático. Esto se califica como objetivo de interés público.
En la práctica, los sitios de comunicación podrán solicitar consentimiento incluso si el usuario ha configurado una preferencia global de «rechazar el rastreo». Esta excepción no se aplica a otros sitios web, aplicaciones ni proveedores de servicios en línea.
Cambios relevantes en el RGPD
La propuesta introduce varios cambios prácticos en el RGPD:
Datos personales y seudonimización
Se estrecha la definición de datos personales. La pregunta clave pasa a ser si el responsable del tratamiento o el destinatario concreto dispone de medios para identificar a alguien de forma «razonable». El hecho de que un tercero pueda identificar a una persona no convierte automáticamente ese dato en dato personal para todos los implicados.
Qué significa esto: la Comisión, junto con el Comité Europeo de Protección de Datos (CEPD), podrá adoptar criterios para determinar cuándo los datos seudonimizados dejan de considerarse datos personales para determinadas entidades.
El derecho de acceso incorpora protecciones contra el abuso
Se modifica el artículo 12 para que los responsables puedan rechazar solicitudes de acceso o cobrar una tasa razonable cuando sean claramente abusivas. Esto cubre supuestos como:
- Campañas de acoso
- Reclamaciones de indemnización especulativas
- Esquemas de «págame y retiro la solicitud»
La carga de la prueba recae sobre el responsable del tratamiento.
Excepciones a la transparencia en situaciones de bajo riesgo
En situaciones de bajo riesgo y de naturaleza evidente (como artesanos locales o pequeñas asociaciones), los responsables pueden ampararse en una excepción más amplia cuando existan motivos razonables para suponer que las personas ya disponen de la información necesaria.
Normalización de las EIPD y las notificaciones de brechas
El CEPD deberá proponer listas a nivel europeo de los tratamientos que requieren o no una Evaluación de Impacto relativa a la Protección de Datos (EIPD), junto con una plantilla y una metodología comunes. Lo mismo se aplica a las notificaciones de brechas de alto riesgo: se elaborará una plantilla y unos criterios estándar que la Comisión convertirá en actos de ejecución.
Por qué es relevante: esta normalización podría reducir la complejidad del cumplimiento, especialmente para las organizaciones que operan en varios estados miembros de la UE.
IA y datos personales
Los considerandos de la propuesta aclaran que el uso de datos personales para entrenar, probar y validar sistemas de IA puede basarse en el interés legítimo previsto en el artículo 6, apartado 1, letra f). El requisito: superar una prueba de ponderación estricta y contar con las salvaguardias adecuadas.
Las salvaguardias requeridas incluyen:
- Transparencia sobre el uso para entrenamiento de IA
- Derecho incondicional de oposición
- Técnicas de preservación de la privacidad
- Protecciones adicionales según el nivel de riesgo
Se añade una excepción limitada para los datos de categoría especial incluidos de forma incidental en conjuntos de datos de entrenamiento de IA, cuando su eliminación resultaría desproporcionada. En esos casos, los datos deben estar fuertemente protegidos y no pueden utilizarse para inferir ni divulgar información sensible. Las bases habituales del artículo 9, apartado 2, siguen siendo aplicables cuando el tratamiento de datos de categoría especial sea realmente necesario.
Otros cambios a tener en cuenta
Punto de entrada único en la UE para la notificación de incidentes
Se crea un punto de entrada único en la UE para la notificación de incidentes de ciberseguridad y de datos personales. Los responsables del tratamiento bajo el RGPD lo utilizarán para las notificaciones de brechas, eliminando las notificaciones duplicadas exigidas por NIS2, RGPD, eIDAS, DORA y la CER.
La ventaja: esta consolidación resuelve un problema real para las organizaciones que deben cumplir múltiples obligaciones de notificación.
Ajustes en la Ley de Datos
La Ley de Datos recibe varias actualizaciones:
- Mayores salvaguardias para los secretos comerciales
- El intercambio de datos de empresa a Administración (B2G) se limita a emergencias públicas
- Régimen más liviano para algunos contratos en la nube
- La Directiva de datos abiertos y la Ley de Gobernanza de Datos quedan integradas en ella
Se deroga el Reglamento sobre relaciones entre plataformas y empresas (P2B), en gran medida superado por las normativas de plataformas más recientes.
Qué significa esto para tu empresa
Esta propuesta apunta hacia dónde se dirige la regulación de la privacidad en la UE, y es un futuro que celebramos.
Mayor control para los usuarios. Requisitos simplificados. Una normalización que realmente ayuda. No son solo objetivos políticos; son la base de lo que llevamos construyendo en iubenda desde el principio.
«El Omnibus Digital no es ley todavía. Y mientras no lo sea, el cumplimiento del RGPD y la ePrivacy sigue siendo exactamente como lo conoces. Lo que no cambiará, ni siquiera con el futuro régimen, es la necesidad de una capa operativa sólida que traduzca los requisitos legales en aplicación técnica. Eso sigue siendo tu plataforma de gestión del consentimiento. Las señales globales y la automatización no reemplazan a las plataformas de gestión del consentimiento; las hacen indispensables, porque alguien sigue necesitando tender el puente entre los derechos abstractos y el código concreto.»
Giulia Stancampiano, responsable legal de producto de privacidad, iubenda
Estamos comprometidos a desempeñar un papel activo mientras esta propuesta toma forma, contribuyendo a que funcione en la práctica tanto para las empresas como para sus clientes.
El proceso legislativo lleva su tiempo, pero estaremos contigo en cada paso del camino, convirtiendo el cambio normativo en orientación clara y accionable.
Preguntas frecuentes
¿Qué es el Reglamento Omnibus Digital?
El Omnibus Digital es una propuesta de la Comisión Europea que modifica y armoniza varias leyes digitales de la UE, en especial el RGPD y la Directiva ePrivacy, con el objetivo de reducir la complejidad, mejorar la coherencia y modernizar las disposiciones obsoletas.
¿El Reglamento Omnibus Digital ya está en vigor?
No. El Omnibus Digital es todavía una propuesta en una fase temprana del proceso legislativo europeo. Puede sufrir cambios sustanciales antes de su adopción. Hasta que se convierta en ley, los reglamentos vigentes como el RGPD siguen siendo aplicables.
¿Cuándo entrará en vigor el Omnibus Digital?
No hay un calendario fijo. Los procedimientos legislativos de la UE suelen durar entre 12 y 30 meses. Una vez adoptado, el Reglamento entra en vigor 20 días después de su publicación. Las nuevas obligaciones se aplican de forma escalonada (por ejemplo, 6 meses para las nuevas normas sobre cookies y 24 meses para las señales de preferencia legibles por máquina).
¿El Omnibus Digital reemplaza al RGPD?
No. El Omnibus Digital modifica y actualiza el RGPD en lugar de reemplazarlo. Propone cambios en artículos concretos, como las normas sobre el consentimiento de cookies y los procedimientos de notificación de brechas de datos.
¿Qué cambios en el consentimiento de cookies propone el Omnibus Digital?
La propuesta exigiría opciones de aceptación y rechazo con un solo clic, impediría repetir la solicitud de consentimiento durante al menos seis meses tras una negativa, e introduciría señales de preferencia legibles por máquina. Además, traslada las normas sobre cookies al RGPD (nuevo artículo 88a) y aclara para qué fines limitados se pueden usar excepciones al consentimiento, como la medición de audiencia agregada de origen propio y la seguridad.
¿Seguiré necesitando un banner de cookies con el Omnibus Digital?
Sí. Los sistemas de gestión del consentimiento siguen siendo imprescindibles para gestionar las opciones de los usuarios, conservar las pruebas de consentimiento y aplicar las preferencias correctamente. Lo que cambiaría es que algunos usuarios que hayan configurado sus preferencias en el navegador podrían no ver el banner, ya que el sistema leería su preferencia existente. Sin embargo, los proveedores de servicios de comunicación podrán seguir solicitando consentimiento aunque esté presente una señal global de «rechazo».
¿Cómo afecta el Omnibus Digital a la IA y a los datos personales?
La propuesta aclara que el uso de datos personales para entrenar sistemas de IA puede basarse en el interés legítimo del artículo 6, apartado 1, letra f), siempre que se apliquen salvaguardias estrictas: transparencia, derecho incondicional de oposición y técnicas de conservación de la privacidad. Para ello, se crea un nuevo artículo 88c del RGPD.
¿Tengo que hacer algo ahora mismo?
No se requiere ninguna acción inmediata. Tus obligaciones de cumplimiento bajo el RGPD y demás leyes vigentes no han cambiado. Te recomendamos mantenerte informado a medida que la propuesta evolucione; nosotros te iremos actualizando sobre cualquier novedad que afecte a tu trabajo de cumplimiento.