El paquete Ómnibus Digital y el futuro de la regulación digital

Publicado el 22 de enero 2026

Mediante la modificación el RGPD y otras normas europeas relacionadas con el tratamiento de información, las nuevas propuestas del Ómnibus Digital pretenden simplificar la regulación digital

Close up view of a laptop and a cup of coffee

El paquete Ómnibus Digital en contexto

En noviembre de 2025, la Comisión Europea presentó el paquete legislativo Ómnibus Digital, que comprende una propuesta general para simplificar y recalibrar la regulación digital de la UE y una propuesta complementaria independiente centrada en la aplicación del Reglamento de Inteligencia Artificial (el Ómnibus Digital sobre IA). Ambas propuestas están actualmente sujetas a negociación en el marco del procedimiento legislativo ordinario y siguen abiertas a enmiendas antes de su adopción.

La propuesta general del Ómnibus Digital modificaría, entre otros, el RGPD, la Directiva sobre privacidad en las comunicaciones electrónicas (ePrivacy), el Reglamento de Datos, el Reglamento de Gobernanza de Datos y la Directiva NIS2, a la vez que deroga ciertos instrumentos que la Comisión considera parcialmente obsoletos, como el Reglamento P2B. El objetivo principal, siguiendo las recomendaciones del informe de Mario Draghi para una UE más competitiva, es reducir la fragmentación, clarificar solapamientos y disminuir la carga administrativa, sin alterar los objetivos fundamentales de la legislación vigente.

Paralelamente, el Ómnibus Digital sobre IA propone ajustes al Reglamento de IA, centrándose en los mecanismos de implementación más que en las clasificaciones sustantivas de riesgos o las prácticas prohibidas. 

Aclaración del concepto de datos personales

Marco vigente. El RGPD define «datos personales» de manera amplia como cualquier información sobre una persona física identificada o identificable. Sin embargo, la sentencia del TJUE en el asunto C‑413/23 P examinó y aclaró el concepto de datos personales cuando se tratan datos seudonimizados y se comparten con terceros. El TJUE defendió que la identificabilidad de una persona física debe evaluarse teniendo en cuenta «los medios que razonablemente» pueda utilizar el responsable/encargado para identificar directa o indirectamente a la persona física. En otras palabras, los datos seudonimizados se considerarán datos personales para quienes posean una clave de reasociación, mientras que esos mismos datos se considerarán datos anonimizados (datos no personales) para quienes no posean dicha clave.

Enfoque propuesto. El Ómnibus Digital introduciría aclaraciones específicas a la definición de datos personales, incorporando efectivamente la interpretación del TJUE sobre los datos seudonimizados, y adoptando un enfoque relativo al concepto de datos anonimizados. 

Posibles implicaciones. Aunque en España se ha aplicado tradicionalmente el concepto de datos personales de forma amplia (especialmente cuando no se pueden descartar los riesgos de reasociación), la interpretación del TJUE es vinculante y el Ómnibus Digital no debería suponer cambios en este aspecto. En cualquier caso, las empresas podrán beneficiarse de una mayor seguridad jurídica a la hora de evaluar si los conjuntos de datos entran o no en el ámbito de aplicación del RGPD.

Categorías especiales de datos y su tratamiento en sistemas de IA

Marco vigente. El RGPD prohíbe generalmente el tratamiento de categorías especiales de datos, salvo que pueda aplicarse una excepción específica. En el desarrollo de la IA, las organizaciones suelen basarse en el consentimiento explícito, en motivos de interés público sustancial o en exenciones por investigación científica, sujetos a estrictas garantías.

Enfoque propuesto. El Ómnibus Digital sobre IA permitiría expresamente el tratamiento de categorías especiales de datos con fines de detección y corrección de sesgos en los sistemas de IA, siempre que se establezcan las garantías adecuadas. Esta propuesta pretende armonizar el Reglamento de IA con la legislación de protección de datos y abordar las preocupaciones planteadas durante las primeras fases de implementación.

Posibles implicaciones. Para los desarrolladores y usuarios de IA, esto podría reducir la incertidumbre a la hora de realizar evaluaciones de equidad y sesgos. No obstante, seguiría siendo esencial respetar los principios del RGPD, como la minimización de datos y la limitación de la finalidad, y las autoridades nacionales de control conservarían sus competencias de supervisión.

Mecanismos de consentimiento y cookies

Marco vigente. Los requisitos de consentimiento para el uso de cookies en España se basan principalmente en la Directiva ePrivacy, según traspuesta a nivel nacional, complementada por las normas del RGPD y las guías de la AEPD. Esto ha dado lugar a un uso generalizado de complejos banners de consentimiento y a un escrutinio continuo de la validez del consentimiento.

Enfoque propuesto. El Ómnibus Digital modernizaría las normas sobre cookies promoviendo opciones de consentimiento expresas y legibles automáticamente, incluido el uso de señales a nivel del navegador, con el objetivo de reducir la «fatiga del consentimiento» y mantener al mismo tiempo el control del usuario.

Posibles implicaciones. Estos cambios podrían llevar a los operadores de sitios web a revisar los actuales mecanismos de gestión del consentimiento. Además, dado que las normas sobre el uso de cookies pasarían a integrarse en el ámbito del RGPD en lugar de la Directiva ePrivacy, las infracciones relacionadas con las cookies quedarían sujetas al régimen sancionador del RGPD (hasta 20 millones de euros o el 4 % de la facturación anual). En consecuencia, si se aprueban las propuestas, será necesario reevaluar la materialidad de las deficiencias de cumplimiento. A título comparativo, la sanción máxima actualmente establecida en virtud de la trasposición de la Directiva ePrivacy en España para este tipo de infracciones es de 30.000 euros.

Simplificación de las obligaciones de notificación de incidentes

Marco vigente. Las empresas digitales pueden estar sujetas a múltiples regímenes de notificación de incidentes conforme al RGPD (violaciones de datos personales), NIS/NIS2 (incidentes de ciberseguridad), y/o a obligaciones sectoriales de notificación de incidentes basadas (como las aplicables para operadores de telecomunicaciones), cada uno con diferentes umbrales y plazos.

Enfoque propuesto. El Ómnibus Digital propone un mecanismo único y simplificado de notificación de incidentes, cubre obligaciones que se solapan, y también amplía el plazo para notificar los incidentes de datos en virtud del RGPD de 72 a 96 horas. El objetivo sería reducir la duplicidad normativa y, al mismo tiempo, mantener las salvaguardias específicas de cada sector.

Posibles implicaciones. Para los operadores de servicios digitales y las entidades esenciales, esto podría simplificar a la larga los procesos internos de respuesta a incidentes. No obstante, seguiría siendo necesaria la coordinación entre las autoridades de protección de datos y las de ciberseguridad, lo que puede dar lugar a una transición compleja.

Ajustes en la aplicación del reglamento de IA

Marco vigente. El Reglamento de IA entró en vigor en 2024, y la mayoría de las obligaciones relacionadas con sistemas de IA de alto riesgo serán exigibles a partir de 2026-2027. Las empresas se están preparando para cumplir con las normas y directrices en constante evolución.

Enfoque propuesto. El Ómnibus Digital sobre IA ajustará los plazos de implementación vinculando determinadas obligaciones a la disponibilidad de normas armonizadas. Incrementará las simplificaciones para las pymes y las pequeñas empresas de mediana capitalización e introducirá requisitos más flexibles de registro y supervisión posteriores a la comercialización.

Posibles implicaciones. Estos ajustes podrán ofrecer un margen adicional a las organizaciones que desarrollan o implementan sistemas de IA. No obstante, la estructura básica del Reglamento de IA (basado en un enfoque de riesgo) se mantendrá sin cambios, por lo que seguirá siendo recomendable planificar el cumplimiento con antelación.

Comentario de Osborne Clarke

El paquete Ómnibus Digital representa el intento de recalibrar la regulación digital de la UE mediante enmiendas técnicas específicas en lugar de una reforma integral. Para las empresas digitales, las propuestas evidencian la importancia de supervisar la evolución legislativa, comparar las obligaciones de cumplimiento existentes con los posibles cambios y mantener marcos de gobernanza sólidos que puedan adaptarse a medida que avancen las negociaciones.

Related articles
Servicios de atención a la clientela: evolución del Proyecto de Ley
18/07/2025 4 mins
Nueva normativa impulsa la digitalización y modernización de la legislación financiera española
29/01/2025 6 mins
PSD3 y PSR: impacto sobre las entidades de pago y de dinero electrónico
27/09/2024 6 mins
Clasificación de los criptoactivos: aspectos clave a considerar
29/04/2024 4 mins
Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Registrarse

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacte con uno de nuestros expertos

Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Registrarse