Lo que la Comisión ha propuesto en realidad
El 19 de noviembre de 2025 la Comisión Europea publicó el Digital Omnibus, un paquete que modificaría el RGPD junto con las normas de privacidad electrónica, la Ley de Datos y otra legislación digital. Es el primer intento sustancial de revisar el RGPD desde que el reglamento entró en vigor en mayo de 2018. El objetivo declarado es la simplificación: menos obligaciones administrativas para los tratamientos de menor riesgo, definiciones más claras y un punto único para notificar incidentes a través de varios instrumentos de la UE.
Varios cambios importan a una empresa dirigida por su propietario. El deber de nombrar a un delegado de protección de datos se restringiría, de modo que menos empresas estarían obligadas a designar uno. La definición de datos personales se aclararía, con especial atención a los datos seudonimizados, de manera que cierta información podría no considerarse personal para una empresa que carece de medios razonables para identificar a la persona que hay detrás de ella. La exención de llevar un registro de actividades de tratamiento se elevaría hacia plantillas más grandes, y la notificación de brechas pasaría de una ventana de 72 horas a una de 96 horas y solo se aplicaría cuando el riesgo para las personas sea alto.
Por qué esto es una propuesta y no la ley
Nada de esto está en vigor. El Digital Omnibus es un proyecto de reglamento que ha entrado en el procedimiento legislativo ordinario de la UE, lo que significa que debe ser negociado y acordado por el Parlamento Europeo y el Consejo de la Unión Europea antes de poder adoptarse. Los textos que entran en este proceso se modifican de forma habitual, y partes de este ya se están reelaborando. Según los plazos actuales, no se espera la adopción definitiva antes de finales de 2026 o de 2027, y cualquier nueva obligación llevaría entonces sus propias fechas de transición.
La reforma también es objeto de controversia entre las instituciones que supervisan la protección de datos. En un dictamen conjunto del 11 de febrero de 2026, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos acogieron con satisfacción una parte de la simplificación, incluido el régimen más ligero de notificación de brechas, al tiempo que se opusieron con firmeza a la definición más estricta de datos personales y a la facultad que daría a la Comisión para decidir, mediante acto de ejecución, qué se considera dato personal tras la seudonimización. Ese desacuerdo es una señal clara de que el texto final aún no está cerrado.
Lo que un propietario debería hacer ahora
El error se comete con facilidad en ambas direcciones. Uno consiste en ignorar la reforma por completo y quedar desprevenido cuando las obligaciones finalmente cambien. El otro, más costoso, consiste en empezar a desmantelar ahora su dispositivo de protección de datos sobre la base de una propuesta: prescindir de un delegado de protección de datos, borrar registros o relajar los procedimientos ante brechas mientras el RGPD actual sigue plenamente en vigor y plenamente exigible. Hasta la adopción, las normas de hoy se aplican por entero, y las autoridades de control pueden seguir actuando con arreglo a ellas.
La respuesta sensata es seguir el expediente y planificar en función de él, no actuar sobre él. Anote cuáles de sus obligaciones actuales se aliviarían si la propuesta se aprueba en algo parecido a su forma presente, y dónde el cambio reduciría de verdad un coste o un riesgo real para su empresa. Mantenga intacto su cumplimiento actual, vigile las etapas en el Parlamento y el Consejo y los dictámenes de la supervisión, y esté listo para moverse con rapidez en cuanto se conozcan un texto final y sus fechas de transición. Una preparación disciplinada cuesta poco. Un desmantelamiento prematuro lo expone a cambio de un beneficio que aún no existe.
Leer a continuación: La multa sobre el papel no es la final · Tu factura de IA ya no tiene techo