La Comisión Europea presentó una propuesta de reforma del Reglamento General de Protección de Datos (RGPD) que apunta a simplificar su cumplimiento normativo. El borrador, publicado el pasado 19 de noviembre, introduce definiciones más técnicas y específicas sobre qué es un dato personal, cómo debe gestionarse el consentimiento y qué margen tendrán tecnologías como la inteligencia artificial en el tratamiento de información sensible.

Uno de los cambios más llamativos es la redefinición del concepto de dato personal. Bajo el nuevo criterio, la información solo se consideraría personal si la entidad que la trata puede identificar razonablemente a la persona con sus propios medios. Esto se aleja de la interpretación actual del Tribunal de Justicia de la UE, que incluye también la posibilidad de identificación a través de terceros. En la práctica, algunos datos cifrados o seudonimizados podrían dejar de estar bajo el paraguas del RGPD para ciertos actores, reduciendo cargas y controles en múltiples sectores.

El texto también aborda la realidad del entrenamiento de modelos de IA con grandes volúmenes de información, donde pueden aparecer datos sensibles de forma incidental. La reforma permitiría su uso siempre que existan medidas para evitarlos, eliminarlos o impedir que impacten en los resultados. Asimismo, se refuerza el estatus de la seudonimización, con la posibilidad de que la Comisión determine cuándo estos datos pueden tratarse como no personales, lo que se argumenta que abriría la puerta a más usos en investigación y analítica.

Otro eje central es el consentimiento del usuario. La Comisión propone una gestión más simple y menos intrusiva: interfaces de un solo clic, validez de seis meses y obligatoriedad de aceptar “señales automáticas” de consentimiento (o no consentimiento) enviadas desde navegadores. Además, cuatro casos quedarían exentos de pedir autorización (como servicios solicitados por el usuario o seguridad), lo que apunta a frenar el abuso de prácticas invasivas en los dispositivos. Los medios quedan temporalmente exentos de respetar las señales automatizadas, lo que ya anticipa debate en un sector dependiente de la publicidad.

Críticas y reacciones

La ONG NOYB advierte que la propuesta no mantiente “el más alto nivel de protección de datos personales” como se afirma en el comunicado oficial, sino que introduce importantes recortes en los derechos de los ciudadanos europeos. En su análisis señalan que estos cambios favorecen especialmente a las grandes empresas tecnológicas, mientras que apenas generan beneficios tangibles para las pequeñas y medianas empresas europeas.

Una de las principales críticas se centra en la redefinición subjetiva de qué se considera un “dato personal”. Según NOYB, al permitir que una empresa determine por sí misma si puede o no identificar a una persona con sus propios medios, se crea una vía para eludir el RGPD. Esto reduce la previsibilidad para los usuarios y para las autoridades, y podría generar debates interminables sobre cuándo la normativa se aplica o no, además de complicar la cooperación entre empresas.

También se pone en cuestión la excesiva velocidad y el limitado sustento técnico y legal del proceso. NOYB destaca que los cambios han sido propuestos sin una evaluación de impacto adecuada, sin consulta exhaustiva y con una dinámica de “moverse rápido y romper cosas” que es inadecuada cuando se trata de derechos fundamentales de millones de personas. Además, advierten del riesgo de que la reforma sirva para ampliar el uso de datos por parte de IA y publicidad, en detrimento de la protección efectiva del individuo.