La propuesta de Ómnibus Digital promete simplificar el RGPD. Su programa de cumplimiento acaba de complicarse.
El 19 de noviembre de 2025, la Comisión Europea publicó modificaciones propuestas al RGPD que afectan a las EIPD, los umbrales de notificación de brechas, las exenciones del registro de tratamientos y la propia definición de dato personal. La Comisión lo llama "simplificación". Para los programas de privacidad multisociedad significa nuevos umbrales, marcos de cumplimiento paralelos durante la transición y un mosaico de obligaciones entre filiales de distinto tamaño.
Priverion ya está siguiendo cada cambio propuesto y preparando actualizaciones de configuración para que su programa de privacidad se adapte sin empezar de cero.
750
Nuevo umbral de empleados propuesto para las exenciones del registro de tratamientos, frente a 250
Dictamen conjunto CEPD/SEPD, julio de 2025
96 h
Plazo de notificación de brechas propuesto, ampliado desde las 72 horas
Propuesta de Reglamento de Ómnibus Digital, art. 33
en toda la UE
Listas de EIPD armonizadas que sustituirán los requisitos nacionales fragmentados
Modificaciones propuestas al art. 35 del RGPD
Seis cambios del Ómnibus Digital que redefinen su programa de cumplimiento
La Comisión Europea publicó su paquete de Ómnibus Digital el 19 de noviembre de 2025, proponiendo modificaciones específicas al RGPD, la Directiva ePrivacy, la Directiva NIS2 y más. Cada uno de los cambios que se indican a continuación tiene implicaciones reales para los programas de privacidad multisociedad.
Umbrales del registro de tratamientos
Exenciones del registro de tratamientos para organizaciones de menos de 750 empleados
La modificación propuesta al artículo 30 exigiría a las organizaciones con menos de 750 empleados mantener un registro de tratamientos solo cuando el tratamiento pueda entrañar un alto riesgo para los interesados. Para los grupos multisociedad, esto crea una división: algunas filiales pueden acogerse a la exención y otras no, lo que obliga a su equipo de privacidad a gestionar dos estándares paralelos en todo el grupo.
Análisis de Considerati sobre la modificación propuesta al artículo 30 del RGPD, 2025
Armonización de las EIPD
Las listas de EIPD a escala de la UE sustituyen los requisitos nacionales
El CEPD elaboraría listas unificadas de actividades de tratamiento que requieren, o no, una EIPD, dejando sin efecto todas las listas nacionales existentes de las autoridades de control. También se introduciría una plantilla y una metodología estandarizadas, revisadas al menos cada tres años. Hasta que la Comisión adopte actos de ejecución, las listas nacionales existentes seguirán vigentes, lo que crea un periodo transitorio de doble requisito.
Análisis de White & Case, art. 35 propuesto del RGPD modificado, dic. de 2025
Notificación de brechas
Umbral más alto y plazo ampliado para los informes de brechas
El umbral de notificación pasaría a aplicarse únicamente al "alto riesgo" y el plazo de notificación se ampliaría de 72 a 96 horas. También se introduciría un punto de entrada único para la notificación de incidentes en el marco del RGPD, la NIS2 y DORA. Para las organizaciones que ya han creado protocolos de 72 horas ante varias autoridades de control, será necesario recalibrar cada flujo de trabajo y cada matriz de escalado.
Dictamen conjunto del CEPD y el SEPD sobre el Ómnibus Digital, feb. de 2026
Definición de dato personal
La identificabilidad relativa restringe el alcance de "dato personal"
Los datos solo se considerarían "personales" para una entidad que disponga de los medios que razonablemente sea probable que se utilicen para identificar a la persona física. El CEPD y el SEPD instan firmemente a los colegisladores a no adoptar este cambio, advirtiendo de que podría "debilitar significativamente la protección de datos de las personas". Para los programas de privacidad, esto implica reevaluar los inventarios de datos para determinar qué conjuntos de datos siguen dentro del alcance, entidad por entidad.
Declaración del CEPD/SEPD sobre el Ómnibus Digital, feb. de 2026
IA e interés legítimo
Nueva base jurídica para el entrenamiento de IA con datos personales
La propuesta reconocería explícitamente el desarrollo y la operación de la IA como un interés legítimo en virtud del RGPD, sujeto a las pruebas de necesidad y proporcionalidad. Los responsables del tratamiento seguirán teniendo que minimizar los datos utilizados para el entrenamiento y conceder a los interesados un derecho de oposición incondicional. Para las organizaciones que implantan IA en sus filiales, esto introduce una nueva categoría de actividades de tratamiento que debe seguirse, evaluarse y documentarse en todo el grupo.
Análisis de Covington, Inside Privacy, nov. de 2025
Calendario legislativo
Negociaciones de trílogo a la vista: hoy no cambia nada, mañana cambia todo
La propuesta avanza ahora por el procedimiento legislativo ordinario con el Parlamento Europeo y el Consejo. Se prevén negociaciones de trílogo para la primavera de 2026, con una posible adopción definitiva a mediados de 2026 o más tarde. Durante este periodo de transición, las organizaciones tendrán que mantener el cumplimiento actual del RGPD mientras se preparan para los requisitos modificados. Las reglas del juego pueden cambiar varias veces antes de que se fije el texto definitivo.
Análisis del calendario legislativo de Bird & Bird, nov. de 2025
El seguimiento de cambios normativos de Priverion mantiene su programa de privacidad alineado a medida que estas propuestas evolucionan, de modo que nunca tenga que reconstruirlo desde cero.
Explore la plataformaCada cambio propuesto tiene una respuesta operativa en su plataforma de privacidad
El Ómnibus Digital no solo cambia las reglas. Cambia su forma de operar en todas las entidades. Así es como Priverion mantiene su programa preparado, cambio a cambio.
División del umbral del registro de tratamientos
Gestione dos estándares en un solo grupo
Cuando algunas filiales tienen menos de 750 empleados y otras no, sus requisitos del registro de tratamientos se fragmentan. La gestión del registro de tratamientos entre entidades de Priverion le permite configurar las obligaciones por entidad, con recertificación automatizada para las que aún la necesitan y pistas de auditoría claras para las que pueden acogerse a la exención.
Una aseguradora suiza alcanzó una tasa de recertificación del registro de tratamientos del 100 % con flujos de trabajo totalmente automatizados
Periodo de transición de las EIPD
Gestione el doble requisito sin duplicar el trabajo
Hasta que se adopten las listas unificadas de EIPD del CEPD, las listas nacionales siguen vigentes. La automatización de EIPD asistida por IA de Priverion mapea sus actividades de tratamiento frente a los requisitos nacionales actuales y a los criterios propuestos para toda la UE, señalando dónde cambiarán sus obligaciones para que pueda prepararse, no reaccionar.
La IA ayuda en la redacción y la puntuación de riesgos; cada resultado se revisa antes de convertirse en un registro de cumplimiento
Recalibración de la notificación de brechas
Actualice cada protocolo, en cada relación con una autoridad de control
Pasar de 72 a 96 horas y de "riesgo" a "alto riesgo" significa que cada flujo de trabajo de incidentes necesita recalibrarse. El módulo de gestión de incidentes de Priverion le permite actualizar los umbrales de notificación y los plazos de escalado de forma centralizada y, después, propagar los cambios al proceso de respuesta ante brechas de cada entidad.
Reevaluación del inventario de datos
Reevalúe qué cuenta como dato personal, entidad por entidad
Si la "identificabilidad relativa" se convierte en ley, los conjuntos de datos que son datos personales para una filial pueden no serlo para otra. El mapeo de datos entre entidades de Priverion le da la visibilidad para evaluar los medios de identificación de cada entidad y documentar el razonamiento, generando paquetes de evidencia listos para auditoría en minutos, no en semanas.
Un proveedor sanitario alcanzó una cobertura del 100 % en la evaluación de riesgos de proveedores en todas las entidades
Documentación del tratamiento con IA
Siga una nueva categoría de actividades de tratamiento en todo el grupo
Con el desarrollo de IA reconocido como interés legítimo, cada filial que implante IA necesita evaluaciones documentadas de necesidad y proporcionalidad. El registro de IA de Priverion, creado para la preparación ante el Reglamento de IA de la UE, ofrece la estructura para inventariar, evaluar y documentar las actividades de tratamiento relacionadas con la IA en todo su grupo.
Ningún dato de cliente se usa para entrenar modelos. La IA ayuda, las personas deciden.
Seguimiento de cambios normativos
Manténgase al día mientras las reglas del juego cambian
Las negociaciones de trílogo implican que el texto definitivo podría diferir notablemente de la propuesta actual. El seguimiento de cambios normativos de Priverion supervisa cada evolución, alerta a su equipo de los cambios sustanciales y prepara actualizaciones de configuración para que su programa de privacidad se adapte sin empezar de cero. Usted mantiene el cumplimiento actual del RGPD mientras se prepara para lo que viene.
Operativo en semanas, no en meses. Aircraft manufacturer se puso en marcha en menos de 6 meses.
Resultados que hablan por sí solos
Resultados reales de equipos de cumplimiento reales
200+
Horas ahorradas en la preparación de ISO 27001
Una empresa de tecnología médica ahorró más de 200 horas de documentación manual y recopilación de evidencias para su certificación ISO 27001, mientras que el plazo medio del sector se sitúa entre 6 y 12 meses.
Una empresa de tecnología médica, medido durante la preparación de ISO 27001
60 %
Coste inferior frente a las plataformas heredadas
Las suites de privacidad de gran empresa suelen costar cifras de seis dígitos al año, con precios modulares que se disparan a medida que crece. Los precios predecibles y por empresa de Priverion eliminan las trampas de expansión y las tarifas por usuario.
Según comparativas de costes de clientes; datos de Vendr, feb. de 2026
60 %
Menos tiempo de administración de cumplimiento
Aircraft manufacturer redujo el tiempo de administración de cumplimiento en un 60 % en sus primeros seis meses, pasando de las actualizaciones manuales del registro de tratamientos entre filiales a una recertificación totalmente automatizada.
Aircraft manufacturer, primeros 6 meses con Priverion
Gestión de privacidad de nivel empresarial, sin la complejidad empresarial
Los equipos de privacidad de la mediana empresa necesitan herramientas diseñadas para su forma real de trabajar: equipos reducidos, varias entidades, presupuestos ajustados. Así se compara Priverion con plataformas heredadas como OneTrust en las áreas que más importan.
Priverion
Creado para equipos multisociedad de la mediana empresa
Soberanía de datos suiza
Todo el tratamiento de datos se mantiene dentro de infraestructura suiza. Suiza cuenta con una decisión de adecuación de la UE, lo que significa que sus datos de cumplimiento nunca tocan una jurisdicción con riesgo de vigilancia masiva.
Decisión de adecuación de la CE para Suiza al amparo del art. 45 del RGPD
Precios predecibles
Un precio único basado en el número de empresas y el tamaño de la organización. Sin tarifas por usuario, sin cargos por módulo, sin sorpresas de expansión en la renovación.
Operativo en semanas
Diseñado para equipos de privacidad reducidos. Aircraft manufacturer pasó de hojas de cálculo manuales a la recertificación automatizada del registro de tratamientos en sus primeros 6 meses, reduciendo el 60 % del tiempo de administración de cumplimiento.
Aircraft manufacturer, primeros 6 meses de implantación
Plataforma todo en uno
Registro de tratamientos, EIPD/TIA, riesgo de proveedores, gestión de incidentes, atención de solicitudes de los interesados, mapeo de datos, registro de IA y paneles de cumplimiento en una sola plataforma. Sin paquetes de módulos que ensamblar.
Asistido por IA, controlado por personas
La IA ayuda en la redacción de EIPD, la puntuación de riesgos y el mapeo normativo. Cada resultado se revisa antes de convertirse en un registro de cumplimiento. Ningún dato de cliente se usa para entrenar modelos.
Plataforma de gran empresa típica
Creada para compradores de la lista Fortune 500
Alojamiento de datos en EE. UU.
El riesgo de las transferencias transfronterizas sigue siendo una preocupación real. El Marco de Privacidad de Datos UE-EE. UU. afronta impugnaciones legales en curso y se vislumbra en el horizonte una posible impugnación "Schrems III".
DLA Piper GDPR Fines and Data Breach Survey, enero de 2026
Precios opacos y modulares
Cada módulo se factura según su propia métrica y los costes pueden escalar en direcciones inesperadas a medida que crecen los equipos o el volumen de datos. Solo las tarifas de implementación pueden añadir entre 10.000 y 50.000 dólares a los costes del primer año.
Análisis de precios de Vendr, febrero de 2026; estudio de mercado de Enzuzo, marzo de 2026
Puesta en marcha de semanas a meses
Los usuarios mencionan con frecuencia la necesidad de periodos de configuración prolongados. Un evaluador de la mediana empresa señaló que dedicó "varias semanas solo a configurar los flujos de trabajo y mapear nuestros datos" antes de la puesta en marcha.
Reseñas verificadas de G2, 2025
Arquitectura basada en módulos
Cinco líneas de producto independientes, cada una con precio propio. Configurar y mantener la plataforma requiere mucho tiempo y esfuerzo, sobre todo para equipos más pequeños que gestionan la privacidad entre entidades.
Reseñas verificadas de Capterra, 2025
UX amplia pero abrumadora
Conjunto de funciones completo, pero varios evaluadores señalan que la interfaz puede resultar recargada. La pronunciada curva de aprendizaje y la complejidad añaden carga a los equipos de privacidad que no cuentan con administradores de plataforma dedicados.
Reseñas agregadas de G2 y Capterra, 2025
Lo que no cubrimos (y por qué eso es una ventaja)
Priverion no incluye informes ESG, líneas éticas ni gestión del consentimiento de cookies. Nos centramos por completo en la gestión del programa de privacidad para organizaciones que operan en varias entidades y jurisdicciones. Si necesita una plataforma de privacidad que haga un trabajo excepcionalmente bien en todo su grupo, eso es exactamente lo que hemos creado.
Nos integramos en profundidad con los sistemas relevantes para los flujos de trabajo de privacidad, incluidos RR. HH., compras y gestión de activos de TI, en lugar de ofrecer 200 conectores superficiales que generan carga de mantenimiento.
¿Tiene curiosidad por cómo funciona realmente el cambio?
Vea cómo Aircraft manufacturer pasó de 47 hojas de cálculo a la gestión automatizada de la privacidad en todo el grupo.
Reserve un recorrido de 30 minLo que los DPD y responsables de cumplimiento preguntan sobre el Ómnibus Digital
¿Cuándo entrarán realmente en vigor estos cambios del RGPD?
La propuesta de Ómnibus Digital debe superar el procedimiento legislativo ordinario, que incluye la revisión en comisión del Parlamento Europeo, las negociaciones del Consejo y el trílogo. Se prevé la adopción definitiva, como muy pronto, hacia mediados de 2027, con un periodo de aplicación posterior. Hoy no cambia nada en sus obligaciones legales, pero el momento de preparar su programa es ahora, no después de que se publique el texto definitivo.
Análisis del calendario legislativo de Bird & Bird, nov. de 2025
Nuestro grupo tiene filiales tanto por encima como por debajo de 750 empleados. ¿Qué ocurre con nuestro registro de tratamientos?
Con los cambios propuestos, las filiales con menos de 750 empleados solo necesitarían un registro de tratamientos para las actividades de tratamiento de alto riesgo. Las filiales más grandes conservan las obligaciones plenas del registro de tratamientos. Esto crea un estándar de cumplimiento dividido dentro de un único grupo. Priverion le permite configurar los requisitos del registro de tratamientos por entidad, de modo que puede gestionar ambos estándares desde una sola plataforma sin duplicar el trabajo ni perder visibilidad.
Análisis de Considerati sobre la modificación propuesta al artículo 30 del RGPD, 2025
Ya hemos creado protocolos de notificación de brechas de 72 horas. ¿Tenemos que rehacerlos?
Si se adopta, el plazo ampliado de 96 horas y el umbral más alto de "alto riesgo" exigirán recalibrar cada flujo de trabajo de incidentes, cada matriz de escalado y cada plantilla de notificación a las autoridades de control. El módulo de gestión de incidentes de Priverion le permite actualizar todo esto de forma centralizada y propagar los cambios a cada entidad, de modo que reconfigure una sola vez en lugar de rehacer los protocolos filial por filial.
Dictamen conjunto del CEPD y el SEPD sobre el Ómnibus Digital, feb. de 2026
¿Cómo afecta el cambio propuesto a "dato personal" a nuestros inventarios de datos?
El enfoque de identificabilidad relativa implica que un conjunto de datos podría ser "dato personal" para una entidad de su grupo pero no para otra, según los medios de identificación de cada entidad. Esto exige reevaluar los inventarios de datos entidad por entidad y documentar el razonamiento. El mapeo de datos entre entidades de Priverion ofrece la visibilidad para hacerlo de forma sistemática y genera paquetes de evidencia listos para auditoría.
Declaración del CEPD/SEPD sobre el Ómnibus Digital, feb. de 2026
¿Puede Priverion escalar a más de 50 entidades en varias jurisdicciones?
Sí. Priverion está diseñado para grupos multisociedad. Damos servicio a organizaciones con más de 50 entidades en varias jurisdicciones, con mapeo de datos entre entidades, recertificación automatizada del registro de tratamientos y paneles de cumplimiento centralizados. La plataforma está operativa en semanas, no en meses. Aircraft manufacturer pasó de 47 hojas de cálculo a la gestión automatizada de la privacidad en todo el grupo en sus primeros 6 meses.
Aircraft manufacturer, primeros 6 meses con Priverion
¿Es segura la IA de Priverion para el trabajo de cumplimiento?
Todos los datos se procesan dentro de infraestructura suiza. La IA ayuda en la redacción de EIPD, la puntuación de riesgos y el mapeo normativo, pero cada resultado lo revisa una persona antes de convertirse en un registro de cumplimiento. Ningún dato de cliente se usa para entrenar modelos. La IA ayuda, las personas deciden.
El informe del DPD: qué significa el Ómnibus Digital para su programa de privacidad
La propuesta de Ómnibus Digital de la Comisión Europea introduce los cambios más relevantes en el RGPD desde 2018, con una adopción prevista hacia mediados de 2027. Esta guía, en lenguaje claro, atraviesa la complejidad jurídica y le indica exactamente para qué cambios prepararse en las entidades de su grupo.
En la guía encontrará:
- 1. Un desglose de cada modificación propuesta al RGPD: desde la nueva exención del registro de tratamientos para organizaciones de menos de 750 empleados, hasta los requisitos simplificados de EIPD y el punto de entrada único para la notificación de brechas
- 2. Lo que el dictamen conjunto del CEPD y el SEPD señala como "preocupaciones significativas", incluidos los cambios propuestos a la definición de dato personal que los reguladores instan a los colegisladores a no adoptar
- 3. Una lista de comprobación de preparación multisociedad que abarca la migración del consentimiento de cookies desde la Directiva ePrivacy al RGPD, las nuevas excepciones de tratamiento relacionadas con la IA y los cambios de armonización transfronteriza
- 4. Un calendario legislativo realista para que sepa cuándo actuar, no solo qué seguir, con las negociaciones de trílogo y los posibles hitos de adopción detallados
Basado en la propuesta oficial de la Comisión Europea y en el dictamen conjunto del CEPD/SEPD (febrero de 2026).
Descargue su ejemplar gratuito
Consiga la guía que ya está ayudando a los DPD de toda Europa a prepararse para los cambios del Ómnibus Digital.
PDF gratuito. No se requiere demostración. Se lo enviamos a su bandeja de entrada.
Por qué esto importa ahora
La Comisión pretende recortar la burocracia en un 25 % en general y en un 35 % para las pymes. Casi 38.000 empresas de la UE encajan en la nueva categoría de pequeñas empresas de mediana capitalización.
Comisión Europea, paquete de simplificación (mayo de 2025)
Del caos de las hojas de cálculo al trabajo estratégico de privacidad
"Pasamos de dedicar la mayor parte de nuestro tiempo de administración de cumplimiento a actualizaciones manuales del registro de tratamientos —persiguiendo a las áreas de negocio en varias filiales— a una recertificación totalmente automatizada. Nuestro DPD ahora se centra en el trabajo estratégico de privacidad en lugar de en el mantenimiento de hojas de cálculo."
Aircraft manufacturer
Reducción del 60 % del tiempo de administración de cumplimiento, primeros 6 meses
"Priverion nos dio visibilidad completa sobre el riesgo de proveedores en cada entidad. Alcanzamos una cobertura del 100 % en la evaluación de riesgos de proveedores, algo que con hojas de cálculo habría llevado meses de trabajo manual."
Un proveedor sanitario
Cobertura del 100 % en la evaluación de riesgos de proveedores en todas las entidades
Deje de gestionar el cumplimiento en hojas de cálculo
Su DPD tiene cosas mejores que hacer que perseguir actualizaciones del registro de tratamientos en 47 hojas de cálculo
Con las multas acumuladas del RGPD superando ya los 7.100 millones de EUR y los reguladores recibiendo más de 443 notificaciones de brechas al día, los procesos manuales de cumplimiento son un riesgo. Las organizaciones multisociedad necesitan una plataforma que escale con ellas, no en su contra.
Fuentes: DLA Piper GDPR Fines and Data Breach Survey, enero de 2026; CMS GDPR Enforcement Tracker
60 %
de reducción del tiempo de administración de cumplimiento
Aircraft manufacturer, primeros 6 meses
200+
horas ahorradas en la preparación de ISO 27001
Una empresa de tecnología médica
100 %
de recertificación del registro de tratamientos, totalmente automatizada
Una aseguradora suiza
Desarrollado y alojado en Suiza
Asistido por IA, controlado por personas
Precios predecibles, sin trampas por usuario
Sin discurso comercial. Vea Priverion funcionando con su caso de uso. Operativo en semanas, no en meses.
The Privacy Compliance Briefing
Análisis mensuales sobre la aplicación del RGPD, la LPD suiza


