Privacy Week 2026:

Qué viene ahora para la Protección de Datos en la UE

Privacy week

Privacy Week 2026

Alerta Legal
Publicado: 
Como parte de la Semana de la Privacidad 2026, Albert Castellanos, Director de Derecho Digital y Privacidad de BDO Abogados, ofrece una visión general de la propuesta de Reglamento Ómnibus Digital de la Comisión Europea.

Publicado en noviembre de 2025, la propuesta pretende modernizar aspectos clave de la protección de datos y la gobernanza digital en la UE.

Para organizaciones que trabajan con servicios intensivos en datos, plataformas digitales o IA, los cambios —si se aprueban— podrían aportar vías de cumplimiento más claras y prácticas. Este artículo resume los elementos más relevantes para empresas y organismos públicos, ofreciendo una visión concisa de lo que podría venir.

Una definición más práctica de “dato personal”

Flexibilidad específica para datos sensibles

La propuesta ofrece una aclaración esperada desde hace tiempo sobre cuándo una información debe tratarse como dato personal. Bajo el nuevo enfoque:

  • Los datos no se consideran personales para una organización si esta no puede identificar a una persona y no es razonablemente probable que llegue a tener los medios para hacerlo.
  • La información no se convierte en dato personal solo porque un receptor futuro pudiera identificar a la persona.

Por qué esto importa para las organizaciones

  • Algunas obligaciones del RGPD dejarían de aplicarse cuando la identificación sea realmente imposible.
  • Las organizaciones deberán documentar y revisar periódicamente su evaluación de no identificabilidad.

Nuevas excepciones para el tratamiento de datos especialmente sensibles

a) Verificación de identidad

Los datos biométricos podrán tratarse únicamente para verificar la identidad cuando el método permanezca bajo control total de la persona (por ejemplo, autenticación basada en el dispositivo).
Esto facilita un acceso digital seguro sin activar todo el régimen de datos sensibles.

b) Desarrollo y funcionamiento de IA

Podrá permitirse el tratamiento residual y no intencional de datos sensibles durante el desarrollo o uso de sistemas de IA, siempre que las organizaciones:

  • Tomen medidas proactivas para evitar recopilar dichos datos.
  • Los eliminen inmediatamente en cuanto se detecten.

Requisitos de información del artículo 13: Simplificación

La propuesta permite exenciones limitadas de las obligaciones de información en escenarios simples y de bajo riesgo, cuando sea razonable que las personas comprendan quién recoge sus datos y con qué propósito.

La exención no podrá usarse cuando: 

  • Los datos se compartan externamente (especialmente fuera de la UE). 
  • Exista toma de decisiones automatizada. 
  • El tratamiento pueda implicar alto riesgo. 

También existe una exención separada para la investigación científica cuando contactar con los individuos sea imposible o desproporcionado.

Decisiones automatizadas: aclaración del artículo 22 RGPD

La propuesta confirma que una decisión automatizada puede considerarse “necesaria para un contrato”, aunque una persona pudiera teóricamente tomar la decisión.
Esto beneficia especialmente:

  • Procesos de onboarding digital
  • Análisis automático de riesgos
  • Mayor eficiencia operativa en flujos digitales

Las garantías del RGPD para los individuos se mantienen plenamente.



Violaciones de datos personales: más tiempo y mayor coherencia 

Destacan dos mejoras operativas: 

  • El plazo de notificación para las violaciones de alto riesgo se amplía de 72 a 96 horas. 
  • Una plantilla de notificación estándar para toda la UE y un futuro punto de entrada único en la UE promoverán la armonización.

Para las organizaciones multinacionales, esto podría aliviar significativamente la carga que supone la presentación de informes.


Armonización a nivel de la UE de las listas de EIPD

La propuesta sustituiría las listas nacionales de evaluación del impacto de la protección de datos por listas únicas armonizadas a nivel de la UE que especifican cuándo es necesaria una EIPD y cuándo no.

Este cambio tiene por objeto:

  • Mejorar la previsibilidad,
  • Reducir las interpretaciones nacionales divergentes y
  • Simplificar el cumplimiento para las organizaciones que operan a través de las fronteras.


Intereses legítimos para el desarrollo de la IA

Con el fin de apoyar la innovación, la propuesta aclara cómo los intereses legítimos (artículo 6, apartado 1, letra f), del RGPD) pueden utilizarse como base para el tratamiento de datos personales en el desarrollo y el funcionamiento de la IA. 


Los responsables del tratamiento deben garantizar que:

  • El tratamiento sea necesario para el desarrollo o el funcionamiento de la IA.
  • Se realice una rigurosa prueba de equilibrio.
  • Se apliquen garantías reforzadas, entre las que se incluyen:
    • Una estricta minimización de los datos.
    • Medidas claras de transparencia.
    • Un derecho incondicional de oposición.

Esto proporciona una vía jurídica más clara para las organizaciones que desean crear o implementar sistemas de IA de forma responsable.


Reflexiones finales: Perspectiva de la Semana de la Privacidad de datos 2026

El Reglamento Ómnibus Digital representa un esfuerzo más amplio por adaptar la aplicación del RGPD a las realidades tecnológicas emergentes, como la IA, la autenticación digital y las prácticas transfronterizas en materia de datos. 

En general, las modificaciones tienen por objeto simplificar determinadas obligaciones mediante la introducción de definiciones más claras, la limitación de los casos en los que se pueden relajar las obligaciones de transparencia, una mayor claridad en torno a la toma de decisiones automatizada, la adaptación de los procesos de notificación de violaciones y la armonización de los factores desencadenantes de la DPIA en toda la UE.

La propuesta reconoce que la interpretación puede seguir variando.

Al mismo tiempo, la propuesta reconoce que la interpretación puede seguir variando. Por consiguiente, sigue siendo esencial contar con una gobernanza interna sólida, una documentación coherente y controles auditables, especialmente en los flujos de datos relacionados con la IA y otras áreas en las que puede persistir la incertidumbre.


El Reglamento Ómnibus Digital representa un esfuerzo más amplio por adaptar la aplicación del RGPD a realidades tecnológicas emergentes, como la IA, la autenticación digital y las prácticas de datos transfronterizas."

BDO Abogados
Albert Castellanos

Albert Castellanos Rodríguez

Director de Derecho Digital
View bio