La Comisión Europea prepara una reforma profunda del Reglamento General de Protección de Datos (RGPD) que podría modificar sustancialmente el marco europeo de privacidad. Según un borrador filtrado del denominado “Digital Omnibus”, la propuesta eliminaría la obligación de obtener consentimiento previo para instalar cookies, trasladando su regulación desde la Directiva ePrivacy (artículo 5.3) al propio GDPR mediante un nuevo artículo 88a, el cual abarca el “tratamiento de datos personales en y desde equipos terminales”. Esto permitiría el uso de cookies y tecnologías de seguimiento basadas en intereses legítimos o en un listado de fines de “bajo riesgo”, sustituyendo el actual modelo de consentimiento expreso por un sistema de oposición posterior. El artículo 88b prevé que los navegadores gestionen automáticamente las preferencias de consentimiento, lo que podría eliminar las actuales ventanas emergentes. Se contempla una excepción para medios de comunicación, que seguirán pudiendo requerir consentimiento para proteger su financiación publicitaria.
En el ámbito de la inteligencia artificial (IA), el borrador introduce la posibilidad de entrenar, probar y validar modelos de IA con datos personales bajo la base jurídica del interés legítimo, siempre que se apliquen medidas de minimización, transparencia y derecho de oposición. También prevé una excepción limitada para datos sensibles que aparezcan incidentalmente en conjuntos de entrenamiento. Además, la reforma reduciría el alcance del artículo 9 del RGPD, aplicando la protección reforzada solo a datos que revelen directamente características como la salud, religión o etnia, excluyendo los casos de inferencia indirecta.
La propuesta supone un giro hacia un modelo de tratamiento basado en la flexibilidad empresarial y la gestión del riesgo, desplazando el eje del consentimiento hacia el interés legítimo. Esto podría simplificar la carga administrativa para las empresas, pero también debilitar la protección efectiva de los derechos de los interesados, especialmente frente a tratamientos opacos como el perfilado o el entrenamiento de IA.
El reconocimiento de un “beneficio social” como justificación del tratamiento introduce un criterio jurídico vago y potencialmente conflictivo con el principio de limitación de la finalidad. En términos regulatorios, la convergencia entre RGPD y ePrivacy podría mejorar la coherencia, pero a costa de diluir la supervisión específica de las autoridades nacionales. En conjunto, la reforma plantea un cambio estructural que reabre el debate sobre el equilibrio entre innovación y derechos fundamentales en la Unión Europea.