Consulta pública sobre la proposta de Reglament del Parlament Europeu i del Consell pel qual es modifiquen els Reglaments (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 i les Directives 2002/58/CE, (UE) 2022/2555 i (UE) 2022/2557 pel que fa a la simplificació del marc legislatiu digital, i es deroguen els Reglaments (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 i la Directiva (UE) 2019/1024 (Òmnibus Digital)

Fecha de publicació: 13/03/2026

Plazo: 13 de març a 29 de març de 2026.

Contexto

El article 133 de la Llei 39/2015, d'1 d'octubre, del Procediment Administratiu Comú de les Administracions Públiques, en relació amb l'article 26.2 de la Llei 50/1997, de 27 de novembre, del Govern, estableix que, amb l'objectiu de millorar la participació dels ciutadans en el procediment d'elaboració de les normes, ha de realitzar-se una consulta pública a través del portal web de l'Administració competent. En ella es recaptarà l'opinió dels subjectes i de les organitzacions més representatives potencialment afectats per la futura norma sobre:

a) Los problemes que es pretenen solucionar amb la nova normativa.
b) La necessitat i oportunitat de la seva aprovació.
c) Los objectius de la norma.
d) Las possibles solucions alternatives reguladores i no reguladores.

En compliment de l'anterior, i d'acord amb el que es disposa en l'Ordre PRE/1590/2016, de 3 d'octubre, per la qual es publica l'Acord de Consell de Ministres de 30 de setembre de 2016, que dicta instruccions per a habilitar la participació pública en el procés d'elaboració normativa a través dels portals web dels departaments ministerials, s'obre aquesta consulta pública prèvia.

Los ciutadans, organitzacions i associacions que així el desitgin, podran fer arribar els seus comentaris fins al 29 de març de 2026 a través del següent formulari:

https://forma.administracionelectronica.gob.es/form/open/corp/1be942e0-53cf-4443-af69-2c7d2f7062ef/mcam

En els comentaris que es presentin serà necessari fer constar les dades d'identificació de la persona física o jurídica (nom, cognoms, NIF) així com la denominació completa de l'organització o associació participant, en el seu cas.

Referent a això, cal assenyalar que únicament seran preses en consideració les respostes en les quals la persona estigui identificada.

Con caràcter general, les contribucions rebudes es consideraran susceptibles de difusió pública. Las persones físiques que no desitgin la publicació de la seva identitat hauran de manifestar-ho expressament. Així mateix, les parts de la informació remesa que, segons el parer de les persones interessades, hagin de ser tractades amb caràcter confidencial i, en conseqüència, no procedeixi la seva lliure difusió, hauran de ser específicament assenyalades en el propi text de la contribució.

Objectiu de la consulta

Recoger l'opinió de la ciutadania, organitzacions i actors interessats sobre:

  • Problemas que es pretén solucionar.
  • Necesidad i oportunitat de la reforma.
  • Los objectius que hauria de perseguir la nova norma.
  • Les possibles alternatives reguladores o no reguladores.

Antecedentes i problemes que es pretenen solucionar amb la nova norma.

La proposta de Reglament Òmnibus Digital (2025/0360 COD) constitueix una iniciativa de la Comissió Europea destinada a simplificar, aclarir i modernitzar el marc regulador europeu en matèria de dades mitjançant una reforma integral que consolida i racionalitza la legislació existent. El seu objectiu principal és reduir les càrregues administratives per a empreses i administracions públiques, reforçar la seguretat jurídica i promoure la competitivitat europea, sense comprometre els elevats estàndards de protecció dels drets fonamentals, la privacitat i la seguretat de la informació.

La proposta de reglament aborda la modificació de diverses disposicions en l'àmbit comunitari a fi d'integrar en un únic marc jurídic harmonitzat disposicions actualment contingudes en el Reglament (UE) 2022/868 (Reglament de Governança de Dades), la Directiva (UE) 2019/1024 (Directiva sobre dades obertes i reutilització de la informació del sector públic) i el Reglament (UE) 2018/1807 (lliure circulació de dades no personals), que quedaran derogats una vegada entri en vigor el nou Reglament. Així mateix, introdueix ajustos específics en el Reglament (UE) 2023/2854 (Reglament de Dades) per a millorar la seva coherència interna, aclarir conceptes clau i adaptar determinades obligacions a l'evolució del mercat digital i de les tecnologies emergents.

El article 1 constitueix el nucli d'aquesta reforma, ja que reconfigura de manera profunda el règim europeu en l'àmbit de les dades mitjançant:

  • la integració normativa dels diferents instruments jurídics existents en un únic marc harmonitzat;
  • la millora de la regulació sobre serveis d'intermediació de dades i organitzacions d'altruisme de dades;
  • l'establiment de regles més clares i proporcionades per a la posada a la disposició de dades per part de les empreses a les administracions públiques en situacions d'emergència pública;
  • el reforç de la protecció enfront dels riscos de revelació de secrets comercials, especialment quan intervenen tercers països amb nivells de protecció jurídica inferiors als de la Unió;
  • la unificació i actualització del marc per a la reutilització de les dades del sector públic, la lliure circulació de les dades no personals
  • la facilitació dels processos de canvi de proveïdor en serveis de tractament de dades, en particular en l'àmbit de la computació en el núvol.

El article 2 introdueix en el Reglament (UE) 2018/174, en l'annex relatiu a la «posada en marxa, gestió i tancament d'una empresa», les referències pertinents als serveis d'intermediació de dades i a la cessió altruista de dades.

Los articles 3 i 4 incorporen modificacions en el Reglament (UE) 2016/679 (Reglament general de protecció de dades) així com en el Reglament (UE) 2018/1725, amb la finalitat d'adaptar la seva redacció a les modificacions introduïdes en l'article 3 a fi d'aclarir conceptes en aquesta matèria i reforçar la seguretat jurídica. En relació amb aquesta matèria, en l'article 5 es preveu modificacions de la Directiva 2002/58/CE («Directiva sobre la privacitat i les comunicacions electròniques») a fi d'adequar-ho a la nova regulació, de tal manera que permet traslladar al RGPD les normes sobre l'emmagatzematge i l'accés a les dades personals de l'equip terminal d'una persona física.

Per part seva, en els articles 6, 7, 8 i 9 es regula el punt d'entrada únic per a la notificació d'incidents. La finestreta única de notificació d'incidents coberts per diferents marcs reguladors (reporting), serà gestionada per ENISA, l'agència europea per a la ciberseguretat. Aquesta reforma pretén que les notificacions, enviades per una empresa o organisme, compleixin simultàniament, mitjançant un informe únic, amb les obligacions derivades de la normativa NIS2/SRI2, RGPD, DAURA, CER i eIDAS.

Finalment, l'article 10 estableix disposicions derogatòries i transitòries. En aquest article, entre altres, es deroga el Reglament (UE) 2019/1150 del Parlament Europeu i del Consell, de 20 de juny de 2019, sobre el foment de l'equitat i la transparència per als usuaris professionals de serveis d'intermediació en línia (Reglament Platform-to-Business) de cara a simplificar la normativa aplicable a plataformes en línia tenint en compte que, des de la seva aprovació en 2019, s'han aprovat altres normes que cobreixen, en part, les mateixes qüestions que el Reglament Platform-to-Business. No obstant això, els articles 4 i 11 del Reglament, així com diverses disposicions addicionals vinculades, es mantenen en vigor fins a l'any 2032, pel fet que són articles i disposicions referenciades en altres normes, que hauran de ser modificades abans de 2032.

En conjunt, la proposta suposa un punt d'inflexió estratègic en l'adaptació del marc regulador europeu a un entorn global altament competitiu, prioritzant l'agilitat normativa, la innovació i la sobirania tecnològica de la Unió, i assegurant que les normes actuïn com a motor del creixement econòmic i del mercat únic de dades.

2.Objectius de la norma.

Con la fi de donar resposta als reptes plantejats per l'economia de la dada i avançar en la reducció de càrregues administratives que impulsin la competitivitat, els principals objectius del Reglament Òmnibus Digital són:

  • Simplificar i unificar part del conjunt legislatiu en matèria de dades, reduint de cinc a dues els actes jurídics principals (el Reglament General de Protecció de Dades i el Reglament de Dades consolidat) per a eliminar solapament normatiu i incoherències, i contribuir a una millora de la seguretat jurídica; així com refondre i/o eliminar reglaments que han quedat superats per legislacions més recents.
  • Fortalecer les garanties de protecció de secrets comercials en els intercanvis de dades B2C i B2B, ampliant els supòsits en els quals les forquilles poden denegar l'accés quan existeixi risc de divulgació, ja sigui per entitats de tercers països o per organitzacions establertes a la UE sota control extracomunitari.
  • Simplificació del règim de posada a la disposició del sector públic de dades en el supòsit d'emergències públiques, eliminant el supòsit de “necessitats excepcionals”, establint criteris justificatius clars, terminis i requisits mínims de les sol·licituds, i eximint a micro i petites empreses quan les peticions estiguin vinculades a tasques de mitigació o recuperació.
  • Impulsar un mercat de la dada més àgil i competitiu mitjançant la substitució del sistema obligatori de notificació d'intermediaris per un registre voluntari, la creació d'un marc harmonitzat per a serveis d'intermediació i entitats d'altruisme de dades amb distintius europeus, el foment de cessions altruistes per a finalitats d'interès general i la possibilitat d'imposar condicions específiques a grans plataformes (‘gatekeepers’) en la reutilització de dades públiques.
  • Favorecer la innovació i la interoperabilitat suprimint requisits rígids aplicables a contractes intel·ligents per a permetre el desenvolupament de tecnologies com blockchain, facilitant la portabilitat i canvi de proveïdor en serveis en el núvol —especialment per a pimes i solucions a mesura— i eliminant restriccions sobre la localització de dades no personals per a assegurar la seva lliure circulació a la UE.
  • Reforzar una governança coordinada de l'ecosistema de dades, potenciant el Comitè Europeu d'Innovació en Matèria de Dades (CID ELECTRÒNIQUES), habilitant mecanismes de reclamació àgils davant autoritats competents, i establint en cada Estat membre un punt d'accés únic que concentri la informació relativa a recursos i serveis de dades.
  • Clarificar i actualitzar el marc de protecció de dades personals, requerint definicions essencials com a “dades personals”, facilitant el compliment per a pimes i tractaments de baix risc, delimitant l'abast de la seudonimización, millorant els requisits d'informació i notificació de bretxes, i aportant claredat sobre l'ús de dades en entrenament de sistemes de IA.
  • Se modifica el règim aplicable a l'emmagatzematge i accés a dades en equips terminals, incloses les cookies. L'emmagatzematge i accés a dades personals d'equips terminals de persones físiques passa a estar regulat en exclusiva pel RGPD, quedant l'aplicació del marc d'ePrivacy limitada a la resta de casos (ex. dades no personals). El nou règim previst en el RGPD amplia els supòsits en els quals no és necessari el consentiment. Així mateix, exigeix que el consentiment pugui ser rebutjat en un clic, que no es pugui tornar a sol·licitar fins a passats 6 mesos o que pugui expressar-se per mitjans automatitzats, per exemple, a través del navegador, excepte en el cas de serveis de mitjans de comunicació.
  • Crear un mecanisme centralitzat de notificació d'incidents que unifiqui obligacions procedents de diferents marcs normatius, redueixi càrregues administratives i garanteixi l'adequada transferència d'informació a les autoritats competents. Les obligacions de notificació que es creen tenen naturalesa, destinataris i finalitats diferents. En el cas del RGPD, la notificació d'una bretxa de dades a l'autoritat de protecció de dades pot obeir a causes molt diverses —errors interns, pèrdua de dispositius, accessos no autoritzats— i no necessàriament a un incident de ciberseguretat en sentit estricte. En el cas de NIS2, les notificacions van dirigides als CSIRT nacionals i tenen per objecte activar una resposta tècnica operativa. Totes dues obligacions tenen autoritats receptores diferents, terminis diferents i finalitats que no són intercanviables. El SEP operarà com a canal de transmissió: les entitats enviaran la notificació al SEP, que la redirigirà a cada autoritat competent. La proposta exclou expressament que ENISA accedeixi al contingut de les notificacions, excepte disposició sectorial en contra.
  • Se deroga el Reglament (UE) 2019/1150 (Reglament Platform-to-business), encara que, de manera transitòria, es mantenen en vigor fins a l'any 2032 els articles 4 i 11 del Reglament, així com diverses disposicions vinculades.

Plazo de participació

13 de març a 29 de març de 2026.

Canal de participació

https://forma.administracionelectronica.gob.es/form/open/corp/1be942e0-53cf-4443-af69-2c7d2f7062ef/mcam

Anexos

Text de la Consulta Pública