La Comisión Europea lanza su propuesta de reglamento «ómnibus digital»

28-11-2025 — AR/2025/112

Este borrador de reglamento plantea una revisión ambiciosa de una amplia lista de normas relacionadas con los datos, personales y no personales, que va a reconfigurar la estrategia europea para los datos.

La Comisión Europea presentó, el 19-11-2025, la propuesta de un nuevo reglamento denominado «ómnibus digital»1 con el que  propone simplificar las normas vigentes sobre datos personales y no personales.

La propuesta de este nuevo reglamento responde a dos grandes iniciativas; una de política legislativa y otra de reforma de reglas.

Resumimos a continuación estas cuestiones.

Iniciativa de política legislativa

Esta iniciativa, denominada como «revolución de simplificación» para resolver los impedimentos al desarrollo empresarial que provocan la fragmentación normativa y las restricciones innecesarias.

En el ámbito del derecho digital, el conjunto de normas dictadas para el desarrollo de la estrategia europea para los datos, que anunció la Comisión en febrero de 2020 también requería de esta iniciativa a pesar de lo reciente de su aprobación.

Esta necesidad trata de atenderse mediante la propuesta de reglamento, que afecta a los siguientes cinco pilares que definió la citada Estrategia del 2020.

Servicios digitales

De estos depende la operativa básica de Internet. La regulación se fundamenta en:

  • la exoneración de la responsabilidad por los contenidos ilícitos que son objeto de transmisión, memoria caché o de alojamiento en su prestación, y
  • la exigencia de un deber de colaboración muy cualificado para su persecución.

La iniciativa que comentamos no afecta a las normas que los regulan, que son:

  • el Reglamento (UE) 2022/2065,2 de servicios digitales (conocido como DSA por la siglas en inglés), y
  • la Directiva 2000/31/CE,3 del comercio electrónico, con las normas nacionales de trasposición, como la Ley 34/2002,4 la LSSI.

Mercados digitales

La regulación trata de asegurar la transparencia y la competencia en las plataformas (los servicios que sustentan los mercados en línea) y en Internet como un mercado abierto para las empresas, europeas y no europeas.

El nuevo reglamento derogará el Reglamento (UE) 2019/1150,5  y consolida como única norma regulatoria el Reglamento (UE) 2022/1925,6 conocido como ley de mercados digitales (DMA, en siglas inglesas).

Seguridad en la Red

Este apartado engloba las normas esenciales de seguridad en la operativa de Internet y los sistemas que operan a través de la Red.

En este ámbito, el reglamento «ómnibus digital» modifica las directivas 2022/25557 (conocida como SRI 2) y  2022/25578 (de resiliencia de las entidades críticas), para definir un punto único de notificación de incidentes de ciberseguridad y lograr la coordinación en la gestión de estas notificaciones.

En lo demás, las normas específicas de cada uno de los ámbitos continúan en vigor.

Mercado único europeo de datos

El crecimiento económico, la innovación en cualquier actividad y la competencia como motor de la economía han pasado a depender en gran medida del acceso a los datos.

Por este motivo, una de las iniciativas más relevantes fue alcanzar un mercado único de datos, que permita acceder a los datos generados en la actividad del sector público y que fomente también el acceso a los datos que genera la actividad privada.

En esta iniciativa, muchas de las normas aprobadas habían perdido su lugar en el acervo normativo, ocupado por los recientes reglamentos de datos y de gobernanza de los datos.

Por ello, el «ómnibus digital»:

  1. derogará:
    • el Reglamento (UE) 2018/1807,9 sobre la libre circulación de datos no personales, y
    • la Directiva (UE) 2019/1024,10 de los datos del sector público; y
  2. acomete otra reforma de política legislativa trascendental: la unificación de las reglas del Reglamento (UE) 2022/868,11 el reglamento de gobernanza de datos, que queda sin contenido, en el Reglamento (UE) 2023/2854,12 el reglamento de datos o Data Act, que queda como norma troncal del mercado único europeo de datos.

Datos personales

Cuando los datos que operan en el mercado único europeo de datos son personales, es preciso garantizar el respeto a los derechos individuales y, concretamente, a la protección de los datos personales, además de las reglas operativas del mercado.

Esta garantía constituye el quinto pilar de la estrategia europea para los datos y se concentra en el Reglamento (UE) 2016/679,13 el general de protección de datos (RGPD), que, a pesar de los rumores relativos a su modificación trascendental, se ratifica como la norma esencial de protección.

En este ámbito, la iniciativa de política legislativa se concentra en:

  • modificar el régimen de las cookies en la Directiva 2002/58/CE,14 conocida como  ePrivacy, para armonizarlo a los principios del RGPD, y
  • adecuar las reglas del Reglamento (UE) 2018/1725,15 del tratamiento de datos personales por la propia Unión Europea, a los principios del RGPD.

Reforma de reglas

La propuesta de reglamento «ómnibus digital» contiene también diversas reglas ajenas a la iniciativa de simplificación, que pretenden actualizar y reformar principios normativos singulares para adecuarlos a las necesidades sobrevenidas que habían puesto de manifiesto las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) y las tensiones entre los operadores en el mercado y los reguladores encargados de la interpretación y aplicación de las reglas.

Resumimos estas reglas.

Referidas al RGPD

Sobre las cuestiones siguientes:

  1. Concepto de datos seudonimizados: para incorporar los matices establecidos por la sentencia del TJUE de 4-9-2025 respecto de la seudonimización, en el sentido que que esta no es una propiedad intrínseca de los datos, sino que depende de las circunstancias singulares en que se encuentren.
    • Es decir, solo serán seudonimizados para el responsable del tratamiento que singularmente no pueda vincular los datos a la persona a quien se refieren.
  2. Excepción a la prohibición de tratamiento de datos de categoría especial cuando estos datos se tratan para el desarrollo y funcionamiento de un sistema de inteligencia artificial.
  3. Diferencia entre comprobar la identidad e identificar: para delimitar el concepto de datos de categoría especial solo a los que se destinan a la identificación.
  4. Medidas de protección del responsable del tratamiento frente al abuso de derechos de protección de datos.
  5. Excepciones a la carga del deber de informar cuando el tratamiento se realiza en el marco de una relación contractual que lo hace evidente.
  6. Autorización de los sistemas de decisiones automáticas, aunque existan otros medios no automáticos para obtener el mismo resultado.
  7. Limitar el deber de notificar brechas de seguridad solo a los casos en que provoquen un alto riesgo para los derechos y libertades de los interesados.
  8. Concentrar la notificación de las brechas de seguridad en el punto de entrada único para todos los incidentes de seguridad cibernética, conforme al modelo que apruebe el Comité Europeo de Protección de Datos (CEPD).
  9. Atribuir al CEPD la competencia para elaborar las listas de tratamientos de datos que han de someterse necesariamente a una evaluación de impacto y los que están exonerados, así como de la plantilla común para la evaluación.

Referidas al servicio de intermediación de datos

El futuro reglamento de datos regulará la actividad de los prestadores de servicios de intermediación de datos, que se va a convertir en una actividad esencial en la economía digital, porque serán quienes:

  • faciliten el acceso a los datos a quienes tengan necesidad de estos, y
  • faciliten a los sujetos de datos (las personas a quienes se refieren los datos) la posibilidad de compartirlos con terceros.

La actividad de estos prestadores, que pasará a estar regulada por el reglamento de datos (Data Act), hoy lo está por el reglamento de gobernanza de datos (o DGA), antes citados, quedará  modificada en dos aspectos fundamentales:

  • La inscripción de los prestadores en el registro de prestadores de servicios será voluntaria (hasta ahora era obligada).
  • La posibilidad de que estos prestadores desarrollen servicios de valor añadido respecto de los datos que intermedien.

Impresión sobre el «ómnibus digital»

Desde nuestro punto de vista, la iniciativa de este nuevo reglamento puede dar lugar a un problema de falta de claridad de las normas a las que afecta.

Si no se completa la iniciativa con una revisión paralela de los considerandos que explican las reglas de los artículos cuya modificación se pretende, las normas afectadas van a reflejar una disparidad en su contenido, al mantener intactos los considerandos que explican las razones y finalidad de las reglas que después se han modificado y ya no están en vigor y, a su vez, las nuevas reglas modificadas, contradictorias con esos considerandos, estarán huérfanas de la explicación e interpretación auténtica de los considerandos.

Por eso, consideramos esencial complementar esta iniciativa.

1 Propuesta de reglamento  del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2016/1679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854, (UE) 2024/1689 y las Directivas 2002/58/CE, (UE) 2022/2555 y (UE) 2022/2557 en lo que respecta a la simplificación del marco legislativo digital, y por el que se derogan los Reglamentos (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 y la Directiva (UE) 2019/1024.
2 Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE.
3 Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior.
4 Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
5 Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea.
6 Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828.
7 Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148.
8 Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo.
9 Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea.
10 Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público.
11 Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724.
12 Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828.
13 Reglamento(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
14 Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.
15 Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.
Iniciativas relacionadas
Documentos vinculados
Ámbitos
Más información