Logotipo Servicios Integrales Para Pymes
Cita online
,

Ómnibus Digital y RGPD: qué podría cambiar (y qué no) en 2026

Introducción

En la UE se está intentando “ordenar” el ecosistema regulatorio digital: privacidad, cookies, ciberseguridad y obligaciones de reporte se han ido acumulando y, en la práctica, muchas organizaciones sienten más carga administrativa que claridad. En ese contexto aparece el llamado “Ómnibus Digital”, un término usado para referirse a una propuesta europea que agrupa cambios técnicos en varias normas digitales, incluyendo ajustes relacionados con el RGPD.

Importante: no hablamos de una norma ya aplicable en España. Si está en tramitación, el contenido final puede cambiar (enmiendas, límites, excepciones, fechas). Por eso, conviene leerlo con una idea clara: qué es verificable hoy, qué podría cambiar si prospera, y qué no debería cambiar porque forma el núcleo del RGPD y la LOPDGDD.

Qué es el “Ómnibus Digital” (estado y alcance, con prudencia)

Hechos verificables (a día de hoy):

  • Se presenta como una iniciativa legislativa europea para simplificar y armonizar requisitos en el ámbito digital.
  • En el debate público se asocia a ajustes sobre transparencia, cookies/seguimiento, notificación de brechas y una posible mayor homogeneización de la EIPD/DPIA.

Lo que no es verificable sin el texto final:

  • El alcance definitivo de los cambios (porque puede variar durante la negociación).
  • El calendario real de aprobación y entrada en vigor.
  • Si algunas ideas se rebajarán, se endurecerán o quedarán fuera.

 

Qué podría cambiar (y qué no): cuadro comparativo

Área

Qué hay hoy (RGPD/LOPDGDD + práctica habitual)

Qué podría cambiar (escenarios razonables)

Qué probablemente no cambia

Deber de informar

Transparencia y deber de informar en recogida o a posteriori (arts. 12–14 RGPD). En España, muy extendida la información “por capas”.

Posible flexibilización para evitar repeticiones cuando sea razonable pensar que la persona ya tiene la información, con excepciones (p. ej., tratamientos nuevos, cesiones, transferencias, decisiones automatizadas).

La transparencia sigue siendo obligatoria: claridad, accesibilidad y comprensión (arts. 5.1.a y 12 RGPD).

Seudonimización

Medida de seguridad: reduce riesgos, pero sigue siendo dato personal si puede reidentificarse (art. 4.5 RGPD) y debe protegerse (art. 32 RGPD).

Aclaraciones sobre cuándo un conjunto seudonimizado podría considerarse no identificable para determinados receptores (si no tienen medios razonables de reidentificación), afectando a cómo se evalúa el riesgo y las salvaguardas.

Si existe reidentificación razonable para alguien, se aplican principios y obligaciones RGPD (arts. 5 y 32 RGPD).

Brechas de seguridad

Notificación a autoridad en 72h salvo que sea improbable riesgo (art. 33 RGPD) y comunicación al afectado si hay alto riesgo (art. 34 RGPD). Documentación interna siempre (art. 33.5).

Posible ajuste “más basado en riesgo”: notificar a autoridad solo cuando el impacto sea realmente relevante (por ejemplo, umbrales más altos) y estandarizar contenidos/formatos.

Obligación de gestionar incidentes, documentar, mitigar y demostrar diligencia (arts. 32 y 33.5 RGPD).

Cookies/seguimiento

Marco ePrivacy + en España art. 22.2 LSSI y guía de cookies: consentimiento salvo excepciones técnicas. RGPD entra para el tratamiento posterior (perfiles, analítica, publicidad).

Cambios para reducir “fatiga” de banners: preferencias más centralizadas, señales técnicas, interfaces más simples; posible reordenación normativa, sin eliminar la necesidad de base jurídica para tratar datos personales.

Sin base legítima no hay tratamiento: consentimiento cuando corresponda, y principios de minimización y finalidad (arts. 5 y 6 RGPD).

EIPD/DPIA

Obligatoria cuando hay alto riesgo (art. 35 RGPD). Listas y criterios nacionales; metodología basada en riesgos.

Mayor armonización: listas/criterios más uniformes, plantillas y procedimientos comunes en la UE.

La lógica de “alto riesgo = EIPD” y la exigencia de salvaguardas no se elimina (art. 35 RGPD).

 

Impactos prácticos (si prospera la propuesta)

A) Deber de informar: “información esencial vs ampliada” con más exigencia de coherencia

Qué podría pasar: se reforzaría el enfoque de dar información esencial de forma inmediata y permitir ampliar detalles por vías complementarias, reduciendo duplicidades. Pero el “ahorro” solo sería defendible si el usuario sigue entendiendo lo clave: quién trata, para qué, con qué base, cuánto tiempo, a quién se comunica, derechos y reclamación.

Qué exigiría a organizaciones:

  • Diseñar avisos con lectura rápida (primera capa) y profundidad (segunda capa).
  • Evitar “capas” que oculten información relevante.
  • Documentar por qué se considera que el interesado “ya dispone” de determinada información, si se usa esa vía (principio de responsabilidad proactiva, art. 5.2 RGPD).

Ejemplo sencillo: una academia que ya informó al alumno al matricularse puede no necesitar repetir el aviso íntegro en cada email, pero sí mantener siempre accesibles (y actualizados) los elementos esenciales y avisar si cambia la finalidad o se incorporan nuevos destinatarios.

B) Seudonimización: útil para reducir riesgo, pero no para “salirse” del RGPD a la ligera

Definición clara:

  • Seudonimización: sustituyes identificadores por códigos; la identificación es posible si existe una “llave” o información adicional.
  • Anonimización: no es razonablemente posible identificar a una persona; si es realmente anónimo, queda fuera del RGPD.

Impacto práctico posible: si la UE concreta criterios de “no identificable para terceros”, podría facilitar compartición de datos seudonimizados con menor exposición… pero obligaría a:

  • delimitar quién puede reidentificar y quién no,
  • separar llaves y reforzar controles de acceso,
  • y reflejarlo en análisis de riesgo y contratos con encargados (arts. 28 y 32 RGPD).

Riesgo: confundir “seudonimizado” con “anónimo” y relajar medidas; eso suele acabar en brechas y en tratamientos excesivos.

C) Brechas de seguridad: menos burocracia, más calidad (si se hace bien)

Qué podría cambiar: umbrales y formatos podrían ajustarse para reducir notificaciones de bajo impacto y concentrar recursos en incidentes relevantes. También podría aumentar el peso de plantillas o canales estandarizados.

Qué no cambia en la práctica: tendrás que seguir:

  • detectando rápido,
  • conteniendo,
  • evaluando impacto en derechos,
  • documentando cronología y decisiones (art. 33.5 RGPD),
  • y comunicando a afectados cuando exista alto riesgo (art. 34 RGPD).

Consejo operativo: lo que más falla no es “el plazo”, sino no tener un proceso de clasificación del riesgo y evidencias claras. Ensayar simulacros y roles (TI, legal, DPO, negocio) suele ser el mejor “seguro”.

D) Cookies y tecnologías de seguimiento: menos fricción, misma exigencia de legitimación y proporcionalidad

Qué podría cambiar: se buscaría reducir la “fatiga del consentimiento” con mecanismos más simples o centralizados. Eso podría mejorar la experiencia del usuario, pero exigirá a las organizaciones:

  • trazabilidad de la elección,
  • coherencia entre lo que se muestra y lo que realmente se ejecuta (inventario real),
  • y revisar la base jurídica del tratamiento posterior (analítica, perfiles, publicidad) bajo art. 6 RGPD.

Riesgo: que el consentimiento se vuelva “automático” sin comprensión real o que se amplíen finalidades por debajo del radar. Aquí los principios de minimización y limitación de finalidad (art. 5.1.b y c RGPD) son el freno principal.

Beneficios vs riesgos

Beneficios potenciales

  • Más claridad práctica: menos duplicidades, más coherencia.
  • Reducción de carga administrativa en incidentes de escaso impacto, si se define bien el umbral.
  • Mejor experiencia de usuario en cookies si se simplifican opciones sin perder control.
  • EIPD más homogénea en la UE, útil para grupos y entidades con presencia multinacional.

Riesgos

  • “Normalizar” excepciones y que la transparencia se degrade (avisos menos útiles).
  • Interpretaciones expansivas que incrementen tratamientos (perfiles, reutilización) sin salvaguardas.
  • Confusión entre seudonimización y anonimización, debilitando seguridad.
  • Consentimientos menos informados por automatismos técnicos.

Implicaciones jurídicas concretas (RGPD/LOPDGDD que seguirán mandando)

  • Principios: licitud, lealtad, transparencia; minimización; finalidad; exactitud; limitación de plazo; integridad y confidencialidad; responsabilidad proactiva (arts. 5 y 5.2 RGPD).
  • Bases de legitimación (art. 6 RGPD): especialmente relevante para cookies/seguimiento y perfiles.
  • Transparencia e información (arts. 12–14 RGPD): claridad, accesibilidad, lenguaje comprensible.
  • Seguridad (art. 32 RGPD): medidas técnicas y organizativas apropiadas al riesgo.
  • Brechas (arts. 33–34 RGPD): notificación, comunicación, contenido mínimo y documentación.
  • EIPD (art. 35 RGPD): obligatoriedad por alto riesgo y enfoque preventivo.
  • LOPDGDD (España): complementa el RGPD en múltiples materias (p. ej., régimen sancionador, derechos digitales, tratamientos específicos). Para aspectos concretos adicionales, N/D aquí sin entrar en supuestos sectoriales; se verifica en el articulado aplicable al caso.

Recomendaciones prácticas (checklist)

  1. Revisa tus avisos por capas: primera capa con lo esencial; segunda capa completa y fácil de encontrar (arts. 12–14 RGPD).
  2. Inventario real de cookies/trackers: lo que está “en producción”, no lo que crees que está.
  3. Base jurídica por finalidad: separa analítica necesaria vs marketing/perfilado; documenta interés legítimo si lo usas y aplica test de ponderación (art. 6.1.f RGPD).
  4. Seudonimización con gobernanza: quién guarda la llave, cómo se accede, auditoría, cifrado, segregación, logs (arts. 4.5 y 32 RGPD).
  5. Plan de brechas: detección + triage de riesgo + plantilla interna + evidencias + decisión motivada (arts. 33–34 RGPD).
  6. EIPD cuando toque (y cuando convenga): obligatoria si hay alto riesgo (art. 35 RGPD); recomendable si hay perfilado, gran escala, datos sensibles, tecnologías nuevas o combinación de fuentes.
  7. Contratos con encargados: revisa medidas, subencargados, plazos de notificación de incidentes y soporte para derechos (art. 28 RGPD).
  8. Pruebas y formación: simulacros de brechas, revisión trimestral de cookies, y formación mínima a marketing/TI.

Conclusión + qué vigilar en los próximos meses

Si el Ómnibus Digital avanza, podría traer una simplificación operativa en transparencia, cookies y brechas, y más uniformidad en EIPD. Pero el riesgo es claro: que “simplificar” se traduzca en menos información útil, consentimientos menos conscientes o seguridad más débil.

Qué vigilar:

  • cómo se definen las excepciones al deber de informar,
  • el umbral final y el contenido exigible en brechas,
  • el encaje real de cookies/seguimiento con RGPD,
  • y los criterios sobre seudonimización/no identificabilidad.

Aviso legal: este contenido es información general y no sustituye asesoramiento jurídico. La aplicación correcta depende de los tratamientos concretos, sector, tecnologías y nivel de riesgo.

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Imagen de admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones