Consultoría en Protección de Datos Personales

Traducción al Español de las modificaciones al GDPR en la Ley «Ómnibus Digital»

El pasado miércoles 19 de noviembre, la Comisión Europea presentó un set de medidas destinadas a simplificar la regulación digital existente en la Unión Europea.

Dicha simplificación fue justificada en la necesidad de proveer de mayor dinamismo a la innovación de las empresas europeas, especialmente en la carrera por la IA. En este punto podríamos decir que no escapa a nadie que históricamente los desarrollos tecnológicos disruptivos (salvo contadas excepciones) han sido promovidos por ecosistemas regulatorios con mayor laxitud que el europeo.

Ahora bien, la ley presentada intenta modificar algunos aspectos del Reglamento General de Protección de Datos. De una lectura rápida, si bien en algunos casos procede a armonizar la normativa en favor del obligado, como por ejemplo llevar el plazo de notificación de brechas de seguridad a 96 horas conforme el Reglamento NIS2, en otros casos agrega cierto nivel de confusión a lo que ya estaba claro.

A continuación las modificaciones:

  • Modificación Artículo 4:

(a) en el punto 1, se añaden las siguientes frases:

«La información relacionada con una persona natural no constituye necesariamente datos personales para cualquier otra persona o entidad, simplemente porque otra entidad pueda identificar a esa persona natural. La información no será considerada personal para una entidad determinada cuando esa entidad no pueda identificar a la persona natural a la que se refiere la información, teniendo en cuenta los medios que es razonablemente probable que utilice dicha entidad. Tal información no se convierte en personal para esa entidad únicamente porque un posible receptor posterior tenga medios que, razonablemente, pueda utilizar para identificar a la persona natural a la que se refiere la información.»

(b) se añaden los siguientes puntos:

‘(32) “equipo terminal” significa equipo terminal tal como se establece en el Artículo 1(1) de la Directiva 2008/63/CE;

(33) para “redes de comunicaciones electrónicas” se aplicará la definición del Artículo 2(1) de la Directiva (UE) 2018/1972;

(34) “navegador web” significa navegador web según se define en el Artículo 2(11) del Reglamento (UE) 2022/1925;

(35) “servicio de medios” significa un servicio de medios según se define en el Artículo 2(1) del Reglamento (UE) 2024/1083;

(36) “prestador de servicios de medios” significa un prestador de servicios de medios según se define en el Artículo 2(2) del Reglamento (UE) 2024/1083;’

(37) “interfaz en línea” significa una interfaz en línea según se define en el Artículo 3(m) del Reglamento (UE) 2022/2065.’

(38) “investigación científica” significa cualquier investigación que también pueda apoyar la innovación, como el desarrollo tecnológico y la demostración. Estas acciones deberán contribuir al conocimiento científico existente o aplicar el conocimiento existente de nuevas maneras, llevándose a cabo con el objetivo de contribuir al crecimiento del conocimiento general de la sociedad conocimiento y bienestar, y cumplir con los estándares éticos en el área de investigación pertinente. Esto no excluye que la investigación también pueda tener como objetivo promover un interés comercial.

  • El artículo 5 (1)(b) se reemplaza por lo siguiente:

‘recopilados para fines específicos, explícitos y legítimos y no procesados posteriormente de manera incompatible con dichos fines; el procesamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos se considerará, de conformidad con el artículo 89(1), compatible con los fines iniciales, independientemente de las condiciones del artículo 6(4) de este Reglamento, (‘limitación de finalidad’);’

  • El artículo 9 se modifica de la siguiente manera:

(a) en el apartado 2, se añaden los siguientes puntos:

‘(k) el tratamiento en el contexto del desarrollo y funcionamiento de un sistema de IA según lo definido en el artículo 3, punto (1), del Reglamento (UE) 2024/1689 o de un modelo de IA, sujeto a las condiciones mencionadas en el apartado 5.
(l) el tratamiento de datos biométricos es necesario con el fin de confirmar la identidad de un interesado (verificación), cuando los datos biométricos o los medios necesarios para la verificación estén bajo el control exclusivo del interesado.’

(b) se añade el siguiente párrafo:
‘5. Para el procesamiento mencionado en el punto (k) del párrafo 2, se deberán implementar medidas organizativas y técnicas adecuadas para evitar la recopilación y, en general, el procesamiento de categorías especiales de datos personales. Cuando, a pesar de la implementación de dichas medidas, el responsable del tratamiento identifique categorías especiales de datos personales en los conjuntos de datos utilizados para el entrenamiento, la prueba o la validación, o en el sistema o modelo de IA, el responsable deberá eliminar dichos datos. Si la eliminación de esos datos requiere un esfuerzo desproporcionado, el responsable deberá, en cualquier caso, proteger eficazmente y sin demora indebida dichos datos frente a su uso para generar resultados, su divulgación o su puesta a disposición de terceros.’

  • En el Artículo 12, el párrafo 5 se reemplaza por lo siguiente:

‘5. La información proporcionada en virtud de los Artículos 13 y 14 y cualquier comunicación y cualquier acción realizada en virtud de los Artículos 15 a 22 y 34 se proporcionará de forma gratuita. Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular debido a su carácter repetitivo o, también, en el caso de solicitudes en virtud del Artículo 15, porque el interesado abuse de los derechos conferidos por este reglamento con fines distintos de la protección de sus datos, el responsable del tratamiento podrá:

(a) cobrar una tarifa razonable teniendo en cuenta los costes administrativos de proporcionar la información o comunicación o de realizar la acción solicitada;

o (b) negarse a actuar sobre la solicitud.

El responsable del tratamiento asumirá la carga de demostrar que la solicitud es manifiestamente infundada o que existen motivos razonables para creer que es excesiva.’

  • En el Artículo 13, el párrafo 4 se reemplaza por lo siguiente:

‘4. Los párrafos 1, 2 y 3 no serán aplicables cuando los datos personales se hayan recopilado en el contexto de una relación clara y limitada entre los interesados y un responsable del tratamiento que ejerza una actividad que no sea intensiva en datos y existan motivos razonables para suponer que el interesado ya dispone de la información a la que se hace referencia en los puntos (a) y (c) del párrafo 1, salvo que el responsable del tratamiento transmita los datos a otros destinatarios o categorías de destinatarios, transfiera los datos a un tercer país, lleve a cabo decisiones automatizadas, incluido el perfilado, al que se refiere el artículo 22(1), o el tratamiento pueda resultar en un alto riesgo para los derechos y libertades de los interesados en el sentido del artículo 35.’

En el Artículo 13, se añade el párrafo 5:
‘5. Cuando el tratamiento se realice con fines de investigación científica y la provisión de información mencionada en los párrafos 1, 2 y 3 resulte imposible o suponga un esfuerzo desproporcionado, sujeto a las condiciones y garantías mencionadas en el artículo 89, apartado 1, o en la medida en que la obligación mencionada en el párrafo 1 de este Artículo pueda hacer imposible o dificultar gravemente la consecución de los objetivos de dicho tratamiento, el responsable del tratamiento no necesitará proporcionar la información mencionada en los párrafos 1, 2 y 3. En tales casos, el responsable del tratamiento adoptará medidas apropiadas para proteger los derechos y libertades y los intereses legítimos del interesado, incluyendo la difusión pública de la información.’

  • En el Artículo 22, los párrafos 1 y 2 se reemplazan por lo siguiente:


‘1. Una decisión que produzca efectos legales para un interesado o que le afecte de forma significativa de manera similar solo podrá basarse en un tratamiento automatizado, incluida la elaboración de perfiles, cuando dicha decisión:
(a) sea necesaria para la celebración o ejecución de un contrato entre el interesado y el responsable del tratamiento, con independencia de que la decisión pueda adoptarse de otro modo que no sea mediante medios totalmente automatizados;
(b) se encuentre autorizada por la legislación de la Unión o del Estado miembro a la que esté sujeto el responsable y que también establezca medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado; o
(c) se base en el consentimiento explícito del interesado.’

  • El artículo 33 se modifica de la siguiente manera:

(a) el párrafo 1 se sustituye por el siguiente:
‘1. En el caso de una violación de datos personales que probablemente resulte en un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá, sin dilación indebida y, cuando sea posible, a más tardar 96 horas después de haber tenido conocimiento de la violación, notificar la violación de datos personales a través del punto de acceso único establecido conforme al artículo 23a de la Directiva (UE) 2022/2555 a la autoridad de control competente de acuerdo con los artículos 55 y 56. Cuando la notificación a la autoridad de control no se realice dentro de las 96 horas, deberá acompañarse de las razones del retraso.’

(b) se añade el siguiente párrafo:
‘1a. Hasta el establecimiento del punto de acceso único conforme al artículo 23a de la Directiva (UE) 2022/2555, los responsables del tratamiento continuarán notificando las violaciones de datos personales directamente a la autoridad de control competente de acuerdo con los artículos 55 y 56.’

(c) se añaden los siguientes párrafos:

6. La Junta deberá elaborar y transmitir a la Comisión una propuesta de un modelo común para notificar una violación de datos personales a la autoridad de control competente mencionada en el párrafo 1, así como una lista de las circunstancias en las que es probable que una violación de datos personales resulte en un alto riesgo para los derechos y libertades de una persona física. Las propuestas deberán ser presentadas a la Comisión dentro de [fecha OP = nueve meses desde la entrada en vigor de este Reglamento]. La Comisión, tras la debida consideración, la revisará, si es necesario, y está facultada para adoptarla mediante un acto de ejecución de acuerdo con el procedimiento de examen establecido en el artículo 93, apartado 2.

7. El modelo y la lista mencionados en el párrafo 6 deberán revisarse al menos cada tres años y actualizarse cuando sea necesario. La Junta deberá presentar su evaluación y posibles propuestas de actualización a la Comisión con la debida antelación. La Comisión, después de la debida consideración de las propuestas, las revisa y tiene la facultad de adoptar cualquier actualización siguiendo el procedimiento del párrafo 6.

  • El artículo 35 se modifica de la siguiente manera:

(a) los párrafos 4, 5 y 6 se reemplazan por los siguientes:

4. La Junta preparará y remitirá a la Comisión una propuesta de lista del tipo de operaciones de tratamiento que están sujetas al requisito de realizar una evaluación de impacto en la protección de datos conforme al párrafo 1.
5. La Junta preparará y remitirá a la Comisión una propuesta de lista del tipo de operaciones de tratamiento para las cuales no se requiere una evaluación de impacto en la protección de datos.
6. La Junta preparará y remitirá a la Comisión una propuesta de plantilla común y una metodología común para la realización de evaluaciones de impacto en la protección de datos.’

(b) se insertan los siguientes párrafos:

‘6a. Las propuestas para las listas a las que se hace referencia en los párrafos 4 y 5 y para la plantilla y la metodología a las que se hace referencia en el párrafo 6 deberán ser presentadas a la Comisión dentro de [fecha OP = 9 meses desde la entrada en vigor de este Reglamento]. La Comisión, después de la debida consideración, las revisa según sea necesario y está facultada para adoptarlas mediante un acto de ejecución de conformidad con el procedimiento de examen establecido en el artículo 93, apartado 2.

6b. Las listas y la plantilla y metodología a las que se hace referencia en el párrafo 6a deberán revisarse al menos cada tres años y actualizarse cuando sea necesario. La Junta deberá presentar su evaluación y posibles propuestas de actualización a la Comisión a tiempo. La Comisión, después de la debida consideración de las propuestas, las revisa y está facultada para adoptar cualquier actualización siguiendo el procedimiento del párrafo 6a.

6c. Las listas del tipo de operaciones de tratamiento que están sujetas al requisito de una evaluación de impacto en la protección de datos y del tipo de operaciones de tratamiento para las cuales no se requiere una evaluación de impacto en la protección de datos, establecidas y publicadas por las autoridades de supervisión, siguen siendo válidas hasta que la Comisión adopte el acto de ejecución mencionado en el apartado 6a.}

  • Se añade el siguiente artículo:

‘Artículo 41a
(1) La Comisión podrá adoptar actos de ejecución para especificar los medios y criterios para determinar si los datos resultantes de la seudonimización dejan de constituir datos personales para ciertas entidades.
(2) A efectos del apartado 1, la Comisión deberá:
(a) evaluar el estado del arte de las técnicas disponibles;
(b) desarrollar criterios y/o categorías para que los responsables y destinatarios evalúen el riesgo de reidentificación en relación con los destinatarios típicos de datos.
(3) La implementación de los medios y criterios establecidos en un acto de ejecución podrá utilizarse como elemento para demostrar que los datos no pueden llevar a la reidentificación de los sujetos afectados.
(4) La Comisión involucrará estrechamente al EDPB en la preparación de los actos de ejecución. El EDPB emitirá un dictamen sobre el proyecto de actos de ejecución dentro de un plazo de 8 semanas a partir de la recepción del proyecto por parte de la Comisión.
(5) Los actos de ejecución se adoptarán de conformidad con el procedimiento de examen mencionado en el Artículo 93(3).’

  • En el artículo 57(1) se modifica como sigue:

(a) se suprime el punto (k);

  • En el artículo 64(1), se suprime el punto (a).
  • En el artículo 70(1), se suprime el punto (h).
  • En el artículo 70(1), se insertan los siguientes puntos:

‘(ha) preparar y transmitir a la Comisión una propuesta de lista de los tipos de operaciones de tratamiento que están sujetas a la obligación de realizar una evaluación de impacto en la protección de datos y para las cuales no se requiere dicha evaluación, de conformidad con el artículo 35.


(hb) preparar y transmitir a la Comisión una propuesta de un modelo común y una metodología común para la realización de evaluaciones de impacto en la protección de datos, de conformidad con el artículo 35.


(hc) preparar y transmitir a la Comisión una propuesta de un modelo común para notificar una violación de datos personales a la autoridad de control competente, así como una lista de las circunstancias en las que es probable que una violación de datos personales resulte en un alto riesgo para los derechos y libertades de una persona física, de conformidad con el Artículo 33’.

  • Después del Artículo 88, se añaden los siguientes artículos:

‘Artículo 88a Tratamiento de datos personales en los equipos terminales de personas físicas

(1) El almacenamiento de datos personales, o el acceso a datos personales ya almacenados en los equipos terminales de una persona natural, solo está permitido cuando dicha persona ha dado su consentimiento, de acuerdo con este Reglamento.

(2) El párrafo 1 no impide el almacenamiento de datos personales, o el acceso a datos personales ya almacenados en los equipos terminales de una persona natural, basándose en la legislación de la Unión o del Estado miembro en el sentido de, y sujeto a las condiciones del Artículo 6, para salvaguardar los objetivos a los que se refiere el Artículo 23(1).

(3) El almacenamiento de datos personales, o el acceso a datos personales ya almacenados en los equipos terminales de una persona natural sin consentimiento, y el procesamiento posterior, será lícito en la medida en que sea necesario para cualquiera de los siguientes propósitos:

(a) llevar a cabo la transmisión de una comunicación electrónica a través de una red de comunicaciones electrónicas; (b) proporcionar un servicio solicitado explícitamente por el interesado; (c) crear información agregada sobre el uso de un servicio en línea para medir la audiencia de dicho servicio, cuando esto lo realiza el responsable de dicho servicio en línea únicamente para su propio uso; (d) mantener o restaurar la seguridad de un servicio proporcionado por el responsable y solicitado por el interesado o el equipo terminal utilizado para la prestación de dicho servicio.

(4) Cuando el almacenamiento de datos personales, o el acceso a datos personales ya almacenados, en el equipo terminal de una persona física se basa en el consentimiento, se aplicará lo siguiente:

(a) el sujeto de los datos podrá rechazar solicitudes de consentimiento de manera fácil e inteligible con un botón de un solo clic o medios equivalentes; (b) si el sujeto de los datos da su consentimiento, el responsable no deberá realizar una nueva solicitud de consentimiento para el mismo propósito durante el período en que pueda basarse legalmente en el consentimiento del sujeto de los datos; (c) si el sujeto de los datos rechaza una solicitud de consentimiento, el responsable no deberá realizar una nueva solicitud de consentimiento para el mismo propósito durante un período de al menos seis meses.

Este párrafo también se aplica al tratamiento posterior de datos personales basado en el consentimiento.

(5) Este artículo se aplicará a partir de [OP: por favor, inserte la fecha = 6 meses después de la fecha de entrada en vigor de este Reglamento]

  • Artículo 88b
    Indicaciones automatizadas y legibles por máquina de las elecciones del interesado con respecto al tratamiento de datos personales en los equipos terminales de personas físicas.

(1) Los responsables del tratamiento deberán asegurar que sus interfaces en línea permitan a los interesados:
(a) Dar su consentimiento mediante medios automatizados y legibles por máquina, siempre que se cumplan las condiciones para el consentimiento establecidas en este Reglamento;
(b) rechazar una solicitud de consentimiento y ejercer el derecho de oposición de conformidad con el artículo 21(2) mediante medios automatizados y legibles por máquina.

(2) Los responsables del tratamiento deberán respetar las elecciones realizadas por los interesados de acuerdo con el párrafo 1.
(3) Los párrafos 1 y 2 no serán aplicables a los responsables del tratamiento que sean proveedores de servicios de medios al prestar un servicio de medios.
(4) La Comisión, de conformidad con el artículo 10(1) del Reglamento (UE) 1025/2012, solicitará a una o más organizaciones europeas de normalización que elaboren normas para la interpretación de las indicaciones legibles por máquina de las elecciones de los interesados.

Se presumirá que las interfaces en línea de los controladores que estén en conformidad con normas armonizadas o con partes de las mismas, cuyos referentes hayan sido publicados en el Diario Oficial de la Unión Europea, cumplen con los requisitos cubiertos por dichas normas o partes de las mismas, establecidos en el párrafo 1.


(5) Los párrafos 1 y 2 se aplicarán a partir de [OP: por favor insertar la fecha = 24 meses después de la fecha de entrada en vigor de este Reglamento].
(6) Los proveedores de navegadores web, que no sean PYME, deberán proporcionar los medios técnicos para permitir que los interesados otorguen su consentimiento, rechacen una solicitud de consentimiento y ejerzan el derecho a oponerse conforme al artículo 21, apartado 2, a través de los medios automatizados y legibles por máquina mencionados en el párrafo 1 de este artículo, según se apliquen de conformidad con los párrafos 2 a 5 de este artículo.
(7) El párrafo 6 se aplicará a partir de [OP: por favor insertar la fecha = 48 meses después de la fecha de entrada en vigor de este Reglamento].

  • Artículo 88c
    Procesamiento en el contexto del desarrollo y funcionamiento de la IA

Cuando el procesamiento de datos personales sea necesario para los intereses del responsable en el contexto del desarrollo y funcionamiento de un sistema de IA según lo definido en el Artículo 3, punto (1), del Reglamento (UE) 2024/1689 o de un modelo de IA, dicho procesamiento podrá realizarse por intereses legítimos en el sentido del Artículo 6(1)(f) del Reglamento (UE) 2016/679, cuando sea apropiado, excepto cuando otras leyes de la Unión o nacionales requieran expresamente el consentimiento, y cuando dichos intereses sean superados por los intereses, o derechos y libertades fundamentales del interesado que requieran la protección de los datos personales, en particular cuando el interesado sea un niño.
Cualquier procesamiento de este tipo estará sujeto a medidas organizativas y técnicas apropiadas y a salvaguardias para los derechos y libertades del interesado, de manera que se garantice el respeto de la minimización de datos durante la fase de selección de fuentes y la formación y prueba de la IA un sistema o modelo de IA, para proteger contra la no divulgación de datos retenidos residualmente en el sistema o modelo de IA, con el fin de garantizar una mayor transparencia para los sujetos de datos y proporcionar a los sujetos de datos un derecho incondicional a oponerse al procesamiento de sus datos personales.