Se ha filtrado una propuesta legislativa que reforma el Reglamento General de Protección de Datos (RGPD) dentro del paquete conocido como «Digital Omnibus». Esta propuesta, presentada por la Comisión Europea busca simplificar y clarificar ciertas disposiciones del RGPD sin menoscabar sus objetivos esenciales. A continuación, se describen las principales modificaciones propuestas:
En primer lugar, se redefine el umbral para la obligación de llevar registros de actividades de tratamiento. Se eleva de 250 a 750 el número de empleados bajo el cual las entidades quedan exentas de esta carga, siempre que no realicen tratamientos de alto riesgo. Además, se eliminan requisitos complementarios como el carácter ocasional del tratamiento o la exclusión de datos sensibles. Esta reforma busca aliviar cargas administrativas en organizaciones con operaciones rutinarias y de bajo riesgo.
En segundo lugar, se introducen definiciones precisas para pequeñas, medianas y medianas-pequeñas empresas, con el fin de proporcionar seguridad jurídica y homogeneidad en la aplicación de exenciones y beneficios. Estas categorías serán tenidas en cuenta también en los códigos de conducta y esquemas de certificación previstos en los artículos 40 y 42 del RGPD.
En materia de notificación de violaciones de datos personales, el umbral para notificar a la autoridad de control se restringe a los incidentes con alto riesgo para los derechos de los interesados. Asimismo, el plazo para notificar se amplía a 96 horas y se prevé la adopción de un formulario único a nivel europeo, promoviendo el principio «report once, share many».
La propuesta también aborda el uso abusivo o desviado de los derechos reconocidos en el RGPD. Se faculta al responsable para denegar o condicionar solicitudes cuando éstas se utilicen con fines distintos a la protección de datos personales, con el objetivo de evitar cargas desproporcionadas y litigios oportunistas.
Uno de los cambios más relevantes es la integración parcial del régimen de cookies (hasta ahora regulado por la Directiva ePrivacy) en el RGPD. Se elimina la necesidad de consentimiento para el uso de tecnologías de rastreo en contextos de bajo riesgo, como medición de audiencia agregada o seguridad técnica. Se fomenta el desarrollo de mecanismos automatizados de gestión de preferencias por parte de los usuarios, como señales enviadas desde navegadores o dispositivos.
En cuanto a las evaluaciones de impacto en protección de datos (DPIA), se establece que el Comité Europeo de Protección de Datos elaborará listas comunes y plantillas armonizadas, sustituyendo los criterios dispares entre Estados miembros. Esto promueve una mayor coherencia y certeza jurídica para los responsables.
Otro aspecto crítico es la revisión del alcance de los datos sensibles. Solo se considerarán como tales aquellos que revelen directamente información protegida. Las inferencias indirectas dejarán de estar cubiertas por el artículo 9, lo que podría ampliar el margen para la elaboración de perfiles sin activar las salvaguardias reforzadas.
La propuesta incluye también medidas para facilitar el uso de datos personales en el entrenamiento de modelos de inteligencia artificial. Se reconoce como interés legítimo el tratamiento con dicha finalidad, y se introducen condiciones para el tratamiento residual de datos sensibles en estos contextos, siempre que se apliquen medidas técnicas de minimización y protección.
Se introduce además una exención específica al artículo 9 para el uso de datos biométricos en procesos de autenticación bajo control exclusivo del interesado, como ocurre con los sistemas de desbloqueo local en dispositivos personales.
Se flexibiliza la obligación de informar al interesado en el momento de la recogida de datos, permitiendo omitir esta comunicación si se presume razonablemente que el interesado ya dispone de la información pertinente, salvo en ciertos supuestos como transferencias internacionales o decisiones automatizadas.
Por último, se aclara que las decisiones automatizadas podrán considerarse necesarias para la ejecución de un contrato incluso si existen medios humanos alternativos, facilitando así la adopción de procesos algorítmicos sin infringir el artículo 22.
Estos cambios, aún en fase de tramitación legislativa, buscan equilibrar la protección de los derechos fundamentales con la necesidad de simplificar las obligaciones para los responsables del tratamiento y de facilitar la innovación en un contexto digital cada vez más dinámico. Representan una evolución del RGPD hacia un marco más claro, coherente y adaptado a los retos contemporáneos.