Informe sobre cambios normativos

La propuesta de Ómnibus Digital promete simplificar el RGPD. Su programa de cumplimiento acaba de complicarse.

Actualizado 2026-06-23
Puntos clave: Priverion es una plataforma de GRC alojada en Suiza que ayuda a las organizaciones multisociedad a seguir y adaptarse a las modificaciones del RGPD del Ómnibus Digital de la UE.

El 19 de noviembre de 2025, la Comisión Europea publicó modificaciones propuestas al RGPD que afectan a las EIPD, los umbrales de notificación de brechas, las exenciones del registro de tratamientos y la propia definición de dato personal. La Comisión lo llama "simplificación". Para los programas de privacidad multisociedad significa nuevos umbrales, marcos de cumplimiento paralelos durante la transición y un mosaico de obligaciones entre filiales de distinto tamaño.

Priverion ya está siguiendo cada cambio propuesto y preparando actualizaciones de configuración para que su programa de privacidad se adapte sin empezar de cero.

750

Nuevo umbral de empleados propuesto para las exenciones del registro de tratamientos, frente a 250

Dictamen conjunto CEPD/SEPD, julio de 2025

96 h

Plazo de notificación de brechas propuesto, ampliado desde las 72 horas

Propuesta de Reglamento de Ómnibus Digital, art. 33

en toda la UE

Listas de EIPD armonizadas que sustituirán los requisitos nacionales fragmentados

Modificaciones propuestas al art. 35 del RGPD

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Principales cambios propuestos al RGPD

Seis cambios del Ómnibus Digital que redefinen su programa de cumplimiento

La Comisión Europea publicó su paquete de Ómnibus Digital el 19 de noviembre de 2025, proponiendo modificaciones específicas al RGPD, la Directiva ePrivacy, la Directiva NIS2 y más. Cada uno de los cambios que se indican a continuación tiene implicaciones reales para los programas de privacidad multisociedad.

Umbrales del registro de tratamientos

Exenciones del registro de tratamientos para organizaciones de menos de 750 empleados

La modificación propuesta al artículo 30 exigiría a las organizaciones con menos de 750 empleados mantener un registro de tratamientos solo cuando el tratamiento pueda entrañar un alto riesgo para los interesados. Para los grupos multisociedad, esto crea una división: algunas filiales pueden acogerse a la exención y otras no, lo que obliga a su equipo de privacidad a gestionar dos estándares paralelos en todo el grupo.

Análisis de Considerati sobre la modificación propuesta al artículo 30 del RGPD, 2025

Armonización de las EIPD

Las listas de EIPD a escala de la UE sustituyen los requisitos nacionales

El CEPD elaboraría listas unificadas de actividades de tratamiento que requieren, o no, una EIPD, dejando sin efecto todas las listas nacionales existentes de las autoridades de control. También se introduciría una plantilla y una metodología estandarizadas, revisadas al menos cada tres años. Hasta que la Comisión adopte actos de ejecución, las listas nacionales existentes seguirán vigentes, lo que crea un periodo transitorio de doble requisito.

Análisis de White & Case, art. 35 propuesto del RGPD modificado, dic. de 2025

Notificación de brechas

Umbral más alto y plazo ampliado para los informes de brechas

El umbral de notificación pasaría a aplicarse únicamente al "alto riesgo" y el plazo de notificación se ampliaría de 72 a 96 horas. También se introduciría un punto de entrada único para la notificación de incidentes en el marco del RGPD, la NIS2 y DORA. Para las organizaciones que ya han creado protocolos de 72 horas ante varias autoridades de control, será necesario recalibrar cada flujo de trabajo y cada matriz de escalado.

Dictamen conjunto del CEPD y el SEPD sobre el Ómnibus Digital, feb. de 2026

Definición de dato personal

La identificabilidad relativa restringe el alcance de "dato personal"

Los datos solo se considerarían "personales" para una entidad que disponga de los medios que razonablemente sea probable que se utilicen para identificar a la persona física. El CEPD y el SEPD instan firmemente a los colegisladores a no adoptar este cambio, advirtiendo de que podría "debilitar significativamente la protección de datos de las personas". Para los programas de privacidad, esto implica reevaluar los inventarios de datos para determinar qué conjuntos de datos siguen dentro del alcance, entidad por entidad.

Declaración del CEPD/SEPD sobre el Ómnibus Digital, feb. de 2026

IA e interés legítimo

Nueva base jurídica para el entrenamiento de IA con datos personales

La propuesta reconocería explícitamente el desarrollo y la operación de la IA como un interés legítimo en virtud del RGPD, sujeto a las pruebas de necesidad y proporcionalidad. Los responsables del tratamiento seguirán teniendo que minimizar los datos utilizados para el entrenamiento y conceder a los interesados un derecho de oposición incondicional. Para las organizaciones que implantan IA en sus filiales, esto introduce una nueva categoría de actividades de tratamiento que debe seguirse, evaluarse y documentarse en todo el grupo.

Análisis de Covington, Inside Privacy, nov. de 2025

Calendario legislativo

Negociaciones de trílogo a la vista: hoy no cambia nada, mañana cambia todo

La propuesta avanza ahora por el procedimiento legislativo ordinario con el Parlamento Europeo y el Consejo. Se prevén negociaciones de trílogo para la primavera de 2026, con una posible adopción definitiva a mediados de 2026 o más tarde. Durante este periodo de transición, las organizaciones tendrán que mantener el cumplimiento actual del RGPD mientras se preparan para los requisitos modificados. Las reglas del juego pueden cambiar varias veces antes de que se fije el texto definitivo.

Análisis del calendario legislativo de Bird & Bird, nov. de 2025

El seguimiento de cambios normativos de Priverion mantiene su programa de privacidad alineado a medida que estas propuestas evolucionan, de modo que nunca tenga que reconstruirlo desde cero.

Explore la plataforma
Cómo ayuda Priverion

Cada cambio propuesto tiene una respuesta operativa en su plataforma de privacidad

El Ómnibus Digital no solo cambia las reglas. Cambia su forma de operar en todas las entidades. Así es como Priverion mantiene su programa preparado, cambio a cambio.

División del umbral del registro de tratamientos

Gestione dos estándares en un solo grupo

Cuando algunas filiales tienen menos de 750 empleados y otras no, sus requisitos del registro de tratamientos se fragmentan. La gestión del registro de tratamientos entre entidades de Priverion le permite configurar las obligaciones por entidad, con recertificación automatizada para las que aún la necesitan y pistas de auditoría claras para las que pueden acogerse a la exención.

Una aseguradora suiza alcanzó una tasa de recertificación del registro de tratamientos del 100 % con flujos de trabajo totalmente automatizados

Periodo de transición de las EIPD

Gestione el doble requisito sin duplicar el trabajo

Hasta que se adopten las listas unificadas de EIPD del CEPD, las listas nacionales siguen vigentes. La automatización de EIPD asistida por IA de Priverion mapea sus actividades de tratamiento frente a los requisitos nacionales actuales y a los criterios propuestos para toda la UE, señalando dónde cambiarán sus obligaciones para que pueda prepararse, no reaccionar.

La IA ayuda en la redacción y la puntuación de riesgos; cada resultado se revisa antes de convertirse en un registro de cumplimiento

Recalibración de la notificación de brechas

Actualice cada protocolo, en cada relación con una autoridad de control

Pasar de 72 a 96 horas y de "riesgo" a "alto riesgo" significa que cada flujo de trabajo de incidentes necesita recalibrarse. El módulo de gestión de incidentes de Priverion le permite actualizar los umbrales de notificación y los plazos de escalado de forma centralizada y, después, propagar los cambios al proceso de respuesta ante brechas de cada entidad.

Reevaluación del inventario de datos

Reevalúe qué cuenta como dato personal, entidad por entidad

Si la "identificabilidad relativa" se convierte en ley, los conjuntos de datos que son datos personales para una filial pueden no serlo para otra. El mapeo de datos entre entidades de Priverion le da la visibilidad para evaluar los medios de identificación de cada entidad y documentar el razonamiento, generando paquetes de evidencia listos para auditoría en minutos, no en semanas.

Un proveedor sanitario alcanzó una cobertura del 100 % en la evaluación de riesgos de proveedores en todas las entidades

Documentación del tratamiento con IA

Siga una nueva categoría de actividades de tratamiento en todo el grupo

Con el desarrollo de IA reconocido como interés legítimo, cada filial que implante IA necesita evaluaciones documentadas de necesidad y proporcionalidad. El registro de IA de Priverion, creado para la preparación ante el Reglamento de IA de la UE, ofrece la estructura para inventariar, evaluar y documentar las actividades de tratamiento relacionadas con la IA en todo su grupo.

Ningún dato de cliente se usa para entrenar modelos. La IA ayuda, las personas deciden.

Seguimiento de cambios normativos

Manténgase al día mientras las reglas del juego cambian

Las negociaciones de trílogo implican que el texto definitivo podría diferir notablemente de la propuesta actual. El seguimiento de cambios normativos de Priverion supervisa cada evolución, alerta a su equipo de los cambios sustanciales y prepara actualizaciones de configuración para que su programa de privacidad se adapte sin empezar de cero. Usted mantiene el cumplimiento actual del RGPD mientras se prepara para lo que viene.

Operativo en semanas, no en meses. Aircraft manufacturer se puso en marcha en menos de 6 meses.

Resultados que hablan por sí solos

Resultados reales de equipos de cumplimiento reales

200+

Horas ahorradas en la preparación de ISO 27001

Una empresa de tecnología médica ahorró más de 200 horas de documentación manual y recopilación de evidencias para su certificación ISO 27001, mientras que el plazo medio del sector se sitúa entre 6 y 12 meses.

Una empresa de tecnología médica, medido durante la preparación de ISO 27001

60 %

Coste inferior frente a las plataformas heredadas

Las suites de privacidad de gran empresa suelen costar cifras de seis dígitos al año, con precios modulares que se disparan a medida que crece. Los precios predecibles y por empresa de Priverion eliminan las trampas de expansión y las tarifas por usuario.

Según comparativas de costes de clientes; datos de Vendr, feb. de 2026

60 %

Menos tiempo de administración de cumplimiento

Aircraft manufacturer redujo el tiempo de administración de cumplimiento en un 60 % en sus primeros seis meses, pasando de las actualizaciones manuales del registro de tratamientos entre filiales a una recertificación totalmente automatizada.

Aircraft manufacturer, primeros 6 meses con Priverion

Por qué cambian los equipos

Gestión de privacidad de nivel empresarial, sin la complejidad empresarial

Los equipos de privacidad de la mediana empresa necesitan herramientas diseñadas para su forma real de trabajar: equipos reducidos, varias entidades, presupuestos ajustados. Así se compara Priverion con plataformas heredadas como OneTrust en las áreas que más importan.

Priverion

Creado para equipos multisociedad de la mediana empresa

Soberanía de datos suiza

Todo el tratamiento de datos se mantiene dentro de infraestructura suiza. Suiza cuenta con una decisión de adecuación de la UE, lo que significa que sus datos de cumplimiento nunca tocan una jurisdicción con riesgo de vigilancia masiva.

Decisión de adecuación de la CE para Suiza al amparo del art. 45 del RGPD

Precios predecibles

Un precio único basado en el número de empresas y el tamaño de la organización. Sin tarifas por usuario, sin cargos por módulo, sin sorpresas de expansión en la renovación.

Operativo en semanas

Diseñado para equipos de privacidad reducidos. Aircraft manufacturer pasó de hojas de cálculo manuales a la recertificación automatizada del registro de tratamientos en sus primeros 6 meses, reduciendo el 60 % del tiempo de administración de cumplimiento.

Aircraft manufacturer, primeros 6 meses de implantación

Plataforma todo en uno

Registro de tratamientos, EIPD/TIA, riesgo de proveedores, gestión de incidentes, atención de solicitudes de los interesados, mapeo de datos, registro de IA y paneles de cumplimiento en una sola plataforma. Sin paquetes de módulos que ensamblar.

Asistido por IA, controlado por personas

La IA ayuda en la redacción de EIPD, la puntuación de riesgos y el mapeo normativo. Cada resultado se revisa antes de convertirse en un registro de cumplimiento. Ningún dato de cliente se usa para entrenar modelos.

Plataforma de gran empresa típica

Creada para compradores de la lista Fortune 500

Alojamiento de datos en EE. UU.

El riesgo de las transferencias transfronterizas sigue siendo una preocupación real. El Marco de Privacidad de Datos UE-EE. UU. afronta impugnaciones legales en curso y se vislumbra en el horizonte una posible impugnación "Schrems III".

DLA Piper GDPR Fines and Data Breach Survey, enero de 2026

Precios opacos y modulares

Cada módulo se factura según su propia métrica y los costes pueden escalar en direcciones inesperadas a medida que crecen los equipos o el volumen de datos. Solo las tarifas de implementación pueden añadir entre 10.000 y 50.000 dólares a los costes del primer año.

Análisis de precios de Vendr, febrero de 2026; estudio de mercado de Enzuzo, marzo de 2026

Puesta en marcha de semanas a meses

Los usuarios mencionan con frecuencia la necesidad de periodos de configuración prolongados. Un evaluador de la mediana empresa señaló que dedicó "varias semanas solo a configurar los flujos de trabajo y mapear nuestros datos" antes de la puesta en marcha.

Reseñas verificadas de G2, 2025

Arquitectura basada en módulos

Cinco líneas de producto independientes, cada una con precio propio. Configurar y mantener la plataforma requiere mucho tiempo y esfuerzo, sobre todo para equipos más pequeños que gestionan la privacidad entre entidades.

Reseñas verificadas de Capterra, 2025

UX amplia pero abrumadora

Conjunto de funciones completo, pero varios evaluadores señalan que la interfaz puede resultar recargada. La pronunciada curva de aprendizaje y la complejidad añaden carga a los equipos de privacidad que no cuentan con administradores de plataforma dedicados.

Reseñas agregadas de G2 y Capterra, 2025

7.100 millones de EUR

Multas acumuladas del RGPD desde mayo de 2018

DLA Piper GDPR Fines Survey, enero de 2026

443 al día

Media de notificaciones de brechas a los reguladores de la UE (un 22 % más interanual)

DLA Piper, enero de 2026

33 %

De las organizaciones tiene conocimiento completo de dónde se almacenan sus datos

Thales Data Threat Report, 2026

Lo que no cubrimos (y por qué eso es una ventaja)

Priverion no incluye informes ESG, líneas éticas ni gestión del consentimiento de cookies. Nos centramos por completo en la gestión del programa de privacidad para organizaciones que operan en varias entidades y jurisdicciones. Si necesita una plataforma de privacidad que haga un trabajo excepcionalmente bien en todo su grupo, eso es exactamente lo que hemos creado.

Nos integramos en profundidad con los sistemas relevantes para los flujos de trabajo de privacidad, incluidos RR. HH., compras y gestión de activos de TI, en lugar de ofrecer 200 conectores superficiales que generan carga de mantenimiento.

¿Tiene curiosidad por cómo funciona realmente el cambio?

Vea cómo Aircraft manufacturer pasó de 47 hojas de cálculo a la gestión automatizada de la privacidad en todo el grupo.

Reserve un recorrido de 30 min
Preguntas frecuentes

Lo que los DPD y responsables de cumplimiento preguntan sobre el Ómnibus Digital

¿Cuándo entrarán realmente en vigor estos cambios del RGPD?

La propuesta de Ómnibus Digital debe superar el procedimiento legislativo ordinario, que incluye la revisión en comisión del Parlamento Europeo, las negociaciones del Consejo y el trílogo. Se prevé la adopción definitiva, como muy pronto, hacia mediados de 2027, con un periodo de aplicación posterior. Hoy no cambia nada en sus obligaciones legales, pero el momento de preparar su programa es ahora, no después de que se publique el texto definitivo.

Análisis del calendario legislativo de Bird & Bird, nov. de 2025

Nuestro grupo tiene filiales tanto por encima como por debajo de 750 empleados. ¿Qué ocurre con nuestro registro de tratamientos?

Con los cambios propuestos, las filiales con menos de 750 empleados solo necesitarían un registro de tratamientos para las actividades de tratamiento de alto riesgo. Las filiales más grandes conservan las obligaciones plenas del registro de tratamientos. Esto crea un estándar de cumplimiento dividido dentro de un único grupo. Priverion le permite configurar los requisitos del registro de tratamientos por entidad, de modo que puede gestionar ambos estándares desde una sola plataforma sin duplicar el trabajo ni perder visibilidad.

Análisis de Considerati sobre la modificación propuesta al artículo 30 del RGPD, 2025

Ya hemos creado protocolos de notificación de brechas de 72 horas. ¿Tenemos que rehacerlos?

Si se adopta, el plazo ampliado de 96 horas y el umbral más alto de "alto riesgo" exigirán recalibrar cada flujo de trabajo de incidentes, cada matriz de escalado y cada plantilla de notificación a las autoridades de control. El módulo de gestión de incidentes de Priverion le permite actualizar todo esto de forma centralizada y propagar los cambios a cada entidad, de modo que reconfigure una sola vez en lugar de rehacer los protocolos filial por filial.

Dictamen conjunto del CEPD y el SEPD sobre el Ómnibus Digital, feb. de 2026

¿Cómo afecta el cambio propuesto a "dato personal" a nuestros inventarios de datos?

El enfoque de identificabilidad relativa implica que un conjunto de datos podría ser "dato personal" para una entidad de su grupo pero no para otra, según los medios de identificación de cada entidad. Esto exige reevaluar los inventarios de datos entidad por entidad y documentar el razonamiento. El mapeo de datos entre entidades de Priverion ofrece la visibilidad para hacerlo de forma sistemática y genera paquetes de evidencia listos para auditoría.

Declaración del CEPD/SEPD sobre el Ómnibus Digital, feb. de 2026

¿Puede Priverion escalar a más de 50 entidades en varias jurisdicciones?

Sí. Priverion está diseñado para grupos multisociedad. Damos servicio a organizaciones con más de 50 entidades en varias jurisdicciones, con mapeo de datos entre entidades, recertificación automatizada del registro de tratamientos y paneles de cumplimiento centralizados. La plataforma está operativa en semanas, no en meses. Aircraft manufacturer pasó de 47 hojas de cálculo a la gestión automatizada de la privacidad en todo el grupo en sus primeros 6 meses.

Aircraft manufacturer, primeros 6 meses con Priverion

¿Es segura la IA de Priverion para el trabajo de cumplimiento?

Todos los datos se procesan dentro de infraestructura suiza. La IA ayuda en la redacción de EIPD, la puntuación de riesgos y el mapeo normativo, pero cada resultado lo revisa una persona antes de convertirse en un registro de cumplimiento. Ningún dato de cliente se usa para entrenar modelos. La IA ayuda, las personas deciden.

Guía gratuita

El informe del DPD: qué significa el Ómnibus Digital para su programa de privacidad

La propuesta de Ómnibus Digital de la Comisión Europea introduce los cambios más relevantes en el RGPD desde 2018, con una adopción prevista hacia mediados de 2027. Esta guía, en lenguaje claro, atraviesa la complejidad jurídica y le indica exactamente para qué cambios prepararse en las entidades de su grupo.

En la guía encontrará:

  • 1. Un desglose de cada modificación propuesta al RGPD: desde la nueva exención del registro de tratamientos para organizaciones de menos de 750 empleados, hasta los requisitos simplificados de EIPD y el punto de entrada único para la notificación de brechas
  • 2. Lo que el dictamen conjunto del CEPD y el SEPD señala como "preocupaciones significativas", incluidos los cambios propuestos a la definición de dato personal que los reguladores instan a los colegisladores a no adoptar
  • 3. Una lista de comprobación de preparación multisociedad que abarca la migración del consentimiento de cookies desde la Directiva ePrivacy al RGPD, las nuevas excepciones de tratamiento relacionadas con la IA y los cambios de armonización transfronteriza
  • 4. Un calendario legislativo realista para que sepa cuándo actuar, no solo qué seguir, con las negociaciones de trílogo y los posibles hitos de adopción detallados

Basado en la propuesta oficial de la Comisión Europea y en el dictamen conjunto del CEPD/SEPD (febrero de 2026).

Descargue su ejemplar gratuito

Consiga la guía que ya está ayudando a los DPD de toda Europa a prepararse para los cambios del Ómnibus Digital.

PDF gratuito. No se requiere demostración. Se lo enviamos a su bandeja de entrada.

Por qué esto importa ahora

La Comisión pretende recortar la burocracia en un 25 % en general y en un 35 % para las pymes. Casi 38.000 empresas de la UE encajan en la nueva categoría de pequeñas empresas de mediana capitalización.

Comisión Europea, paquete de simplificación (mayo de 2025)

Lo que dicen los equipos de privacidad

Del caos de las hojas de cálculo al trabajo estratégico de privacidad

"Pasamos de dedicar la mayor parte de nuestro tiempo de administración de cumplimiento a actualizaciones manuales del registro de tratamientos —persiguiendo a las áreas de negocio en varias filiales— a una recertificación totalmente automatizada. Nuestro DPD ahora se centra en el trabajo estratégico de privacidad en lugar de en el mantenimiento de hojas de cálculo."

Aircraft manufacturer

Reducción del 60 % del tiempo de administración de cumplimiento, primeros 6 meses

"Priverion nos dio visibilidad completa sobre el riesgo de proveedores en cada entidad. Alcanzamos una cobertura del 100 % en la evaluación de riesgos de proveedores, algo que con hojas de cálculo habría llevado meses de trabajo manual."

Un proveedor sanitario

Cobertura del 100 % en la evaluación de riesgos de proveedores en todas las entidades

Deje de gestionar el cumplimiento en hojas de cálculo

Su DPD tiene cosas mejores que hacer que perseguir actualizaciones del registro de tratamientos en 47 hojas de cálculo

Con las multas acumuladas del RGPD superando ya los 7.100 millones de EUR y los reguladores recibiendo más de 443 notificaciones de brechas al día, los procesos manuales de cumplimiento son un riesgo. Las organizaciones multisociedad necesitan una plataforma que escale con ellas, no en su contra.

Fuentes: DLA Piper GDPR Fines and Data Breach Survey, enero de 2026; CMS GDPR Enforcement Tracker

60 %

de reducción del tiempo de administración de cumplimiento

Aircraft manufacturer, primeros 6 meses

200+

horas ahorradas en la preparación de ISO 27001

Una empresa de tecnología médica

100 %

de recertificación del registro de tratamientos, totalmente automatizada

Una aseguradora suiza

Desarrollado y alojado en Suiza

Asistido por IA, controlado por personas

Precios predecibles, sin trampas por usuario

Reserve un recorrido de 30 minutos por la plataforma

Sin discurso comercial. Vea Priverion funcionando con su caso de uso. Operativo en semanas, no en meses.

The Privacy Compliance Briefing

Análisis mensuales sobre la aplicación del RGPD, la LPD suiza

Acerca de esta página — referencias, definiciones y preguntas frecuentes

Puntos clave

La propuesta de Ómnibus Digital de la UE, publicada el 19 de noviembre de 2025, plantea seis grandes modificaciones del RGPD que afectan a los umbrales del registro de tratamientos, la armonización de las EIPD, los plazos de notificación de brechas, la definición de dato personal, el interés legítimo relacionado con la IA y el procedimiento legislativo. Las organizaciones multisociedad se enfrentan a marcos de cumplimiento paralelos durante el periodo de transición. La plataforma de GRC alojada en Suiza de Priverion sigue cada cambio propuesto y prepara actualizaciones de configuración para que los programas de privacidad se adapten sin reconstruirse desde cero.

Definiciones

¿Qué es la propuesta de Ómnibus Digital?

La propuesta de Ómnibus Digital es un paquete legislativo de la Comisión Europea que modifica el RGPD, la Directiva ePrivacy y la Directiva NIS2 para reducir la carga administrativa de las empresas. Se publicó el 19 de noviembre de 2025 como parte de la agenda de simplificación más amplia de la Comisión. Fuente: EUR-Lex

¿Qué es un registro de actividades de tratamiento (ROPA)?

Un registro de actividades de tratamiento (ROPA) es un registro obligatorio en virtud del artículo 30 del RGPD que documenta todas las operaciones de tratamiento de datos personales que lleva a cabo un responsable o un encargado del tratamiento. El Ómnibus Digital propone elevar el umbral de empleados para las exenciones del registro de tratamientos de 250 a 750.

¿Qué es una evaluación de impacto relativa a la protección de datos (EIPD)?

Una evaluación de impacto relativa a la protección de datos (EIPD) es obligatoria en virtud del artículo 35 del RGPD cuando el tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas físicas. El Ómnibus Digital propone sustituir las listas nacionales de EIPD fragmentadas por listas unificadas a escala de la UE elaboradas por el CEPD.

¿Qué es la identificabilidad relativa?

La identificabilidad relativa es el concepto propuesto según el cual los datos solo se consideran "personales" para una entidad que disponga de los medios que razonablemente sea probable que se utilicen para identificar a la persona física. El CEPD y el SEPD han advertido de que esto podría "debilitar significativamente la protección de datos de las personas". Fuente: dictamen conjunto del CEPD/SEPD 1/2025

Estadísticas y contexto

Según el IAPP-EY 2023 Privacy Governance Report, la organización media gasta aproximadamente 2,7 millones de USD al año en cumplimiento de la privacidad. El Ómnibus Digital pretende reducir la carga administrativa, pero el CEPD señala en su dictamen conjunto 1/2025 que los cambios propuestos corren el riesgo de generar "inseguridad jurídica" durante el periodo de transición. La Comisión Europea estima que el paquete podría ahorrar a las empresas hasta 4.200 millones de EUR al año en costes de cumplimiento reducidos, aunque el CEPD y el SEPD advierten de que debilitar la definición de dato personal podría socavar el derecho fundamental a la protección de datos consagrado en el artículo 8 de la Carta de los Derechos Fundamentales de la UE.

Comparativa: RGPD actual frente a las modificaciones propuestas del Ómnibus Digital

ÁreaRGPD actualÓmnibus Digital propuesto
Umbral de exención del registro de tratamientos250 empleados (art. 30 del RGPD)750 empleados (solo tratamiento de alto riesgo)
Plazo de notificación de brechas72 horas (art. 33 del RGPD)96 horas, solo umbral de alto riesgo
Listas de EIPDListas nacionales de las autoridades de control por Estado miembro (art. 35 del RGPD)Listas unificadas del CEPD a escala de la UE con plantilla estandarizada
Definición de dato personalToda información sobre una persona física identificada o identificable (art. 4, apdo. 1, del RGPD)Identificabilidad relativa: personal solo para las entidades con medios para identificar
IA e interés legítimoSin disposición explícita sobre IA; prueba de ponderación caso por casoInterés legítimo explícito para el desarrollo y la operación de la IA
Notificación entre normativasNotificación separada en el marco del RGPD, la NIS2 y DORAPunto de entrada único para la notificación de incidentes

Preguntas frecuentes

¿Qué es la propuesta de Ómnibus Digital de la UE?

La propuesta de Ómnibus Digital de la UE es un paquete legislativo publicado por la Comisión Europea el 19 de noviembre de 2025 que plantea modificaciones específicas al RGPD, la Directiva ePrivacy, la Directiva NIS2 y otras normativas digitales. Su objetivo es simplificar las obligaciones de cumplimiento de las empresas manteniendo los estándares de protección de datos. El texto completo está disponible en EUR-Lex.

¿Cómo cambia el Ómnibus Digital los requisitos del registro de tratamientos?

La propuesta eleva el umbral de exención del registro de tratamientos de 250 a 750 empleados. Las organizaciones con menos de 750 empleados solo necesitarían mantener un registro de actividades de tratamiento cuando el tratamiento pueda entrañar un alto riesgo para los interesados. Para los grupos multisociedad, esto crea obligaciones divididas en las que algunas filiales pueden acogerse a la exención y otras no. Consulte el artículo 30 del RGPD para ver el texto actual.

¿Qué cambios propone el Ómnibus Digital para la notificación de brechas?

El umbral de notificación pasaría a aplicarse únicamente al "alto riesgo" y el plazo de notificación se ampliaría de 72 a 96 horas. También se introduciría un punto de entrada único para la notificación de incidentes en el marco del RGPD, la NIS2 y DORA. El CEPD y el SEPD abordaron estos cambios en su dictamen conjunto 1/2025.

¿Cómo redefine el Ómnibus Digital el dato personal?

La propuesta introduce la "identificabilidad relativa", lo que significa que los datos solo se considerarían personales para una entidad que disponga de los medios que razonablemente sea probable que se utilicen para identificar a la persona. El CEPD y el SEPD han instado firmemente a los colegisladores a no adoptar este cambio, advirtiendo de que podría "debilitar significativamente la protección de datos de las personas". Consulte el artículo 4, apdo. 1, del RGPD para ver la definición actual.

¿Cuándo se convertirá en ley la propuesta de Ómnibus Digital?

La propuesta sigue el procedimiento legislativo ordinario a través del Parlamento Europeo y el Consejo. Se prevén negociaciones de trílogo para la primavera de 2026, con una posible adopción definitiva a mediados de 2026 o más tarde. Durante el periodo de transición, las organizaciones deben mantener el cumplimiento actual del RGPD mientras se preparan para los requisitos modificados.

¿Cómo afecta el Ómnibus Digital a los requisitos de EIPD?

El CEPD elaboraría listas unificadas a escala de la UE de actividades de tratamiento que requieren, o no, una EIPD, sustituyendo todas las listas nacionales existentes de las autoridades de control. Se introduciría una plantilla y una metodología estandarizadas, revisadas al menos cada tres años. Hasta que se adopten los actos de ejecución, las listas nacionales existentes siguen vigentes, lo que crea un periodo transitorio de doble requisito. Consulte el artículo 35 del RGPD.

¿Crea el Ómnibus Digital una base jurídica para entrenar IA con datos personales?

Sí. La propuesta reconocería explícitamente el desarrollo y la operación de la IA como un interés legítimo en virtud del RGPD, sujeto a las pruebas de necesidad y proporcionalidad. Los responsables del tratamiento siguen teniendo que minimizar los datos utilizados para el entrenamiento y conceder a los interesados un derecho de oposición incondicional.

¿Cómo pueden prepararse las organizaciones para los cambios del Ómnibus Digital?

Las organizaciones deberían auditar sus flujos de trabajo actuales de registro de tratamientos, EIPD y notificación de brechas frente a los umbrales propuestos, evaluar el impacto de la identificabilidad relativa en los inventarios de datos y seguir el calendario legislativo. Una plataforma de GRC con capacidades de gestión entre entidades puede ayudar a gestionar los marcos de cumplimiento paralelos durante el periodo de transición, garantizando una documentación lista para auditoría en cada fase.