Ir al contenido

Consulta pública sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 y las Directivas 2002/58/CE, (UE) 2022/2555 y (UE) 2022/2557 en lo que respecta a la simplificación del marco legislativo digital, y se derogan los Reglamentos (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 y la Directiva (UE) 2019/1024 (Ómnibus Digital)

Fecha de publicación: 13/03/2026

Plazo: 13 de marzo a 29 de marzo de 2026.

 

Contexto

El artículo 133 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en relación con el artículo 26.2 de la Ley 50/1997, de 27 de noviembre, del Gobierno, establece que, con el objetivo de mejorar la participación de los ciudadanos en el procedimiento de elaboración de las normas, debe realizarse una consulta pública a través del portal web de la Administración competente. En ella se recabará la opinión de los sujetos y de las organizaciones más representativas potencialmente afectados por la futura norma acerca de:

a) Los problemas que se pretenden solucionar con la nueva normativa.
b) La necesidad y oportunidad de su aprobación.
c) Los objetivos de la norma.
d) Las posibles soluciones alternativas regulatorias y no regulatorias.

En cumplimiento de lo anterior, y de acuerdo con lo dispuesto en la Orden PRE/1590/2016, de 3 de octubre, por la que se publica el Acuerdo de Consejo de Ministros de 30 de septiembre de 2016, que dicta instrucciones para habilitar la participación pública en el proceso de elaboración normativa a través de los portales web de los departamentos ministeriales, se abre esta consulta pública previa.

Los ciudadanos, organizaciones y asociaciones que así lo deseen, podrán hacer llegar sus comentarios hasta el 29 de marzo de 2026 a través del siguiente formulario:

https://forma.administracionelectronica.gob.es/form/open/corp/1be942e0-53cf-4443-af69-2c7d2f7062ef/MCaM

En los comentarios que se presenten será necesario hacer constar los datos de identificación de la persona física o jurídica (nombre, apellidos, NIF) así como la denominación completa de la organización o asociación participante, en su caso.

A este respecto, cabe señalar que únicamente serán tomadas en consideración las respuestas en las que la persona esté identificada.

Con carácter general, las contribuciones recibidas se considerarán susceptibles de difusión pública. Las personas físicas que no deseen la publicación de su identidad deberán manifestarlo expresamente. Asimismo, las partes de la información remitida que, a juicio de las personas interesadas, deban ser tratadas con carácter confidencial y, en consecuencia, no proceda su libre difusión, deberán ser específicamente señaladas en el propio texto de la contribución.

 

Objetivo de la consulta

Recoger la opinión de la ciudadanía, organizaciones y actores interesados sobre:

  • Problemas que se pretende solucionar.
  • Necesidad y oportunidad de la reforma.
  • Los objetivos que debería perseguir la nueva norma.
  • Las posibles alternativas regulatorias o no regulatorias.

 

Antecedentes y problemas que se pretenden solucionar con la nueva norma.

La propuesta de Reglamento Ómnibus Digital (2025/0360 COD) constituye una iniciativa de la Comisión Europea destinada a simplificar, aclarar y modernizar el marco regulador europeo en materia de datos mediante una reforma integral que consolida y racionaliza la legislación existente. Su objetivo principal es reducir las cargas administrativas para empresas y administraciones públicas, reforzar la seguridad jurídica y promover la competitividad europea, sin comprometer los elevados estándares de protección de los derechos fundamentales, la privacidad y la seguridad de la información.

La propuesta de reglamento aborda la modificación de diversas disposiciones en el ámbito comunitario a fin de integrar en un único marco jurídico armonizado disposiciones actualmente contenidas en el Reglamento (UE) 2022/868 (Reglamento de Gobernanza de Datos), la Directiva (UE) 2019/1024 (Directiva sobre datos abiertos y reutilización de la información del sector público) y el Reglamento (UE) 2018/1807 (libre circulación de datos no personales), que quedarán derogados una vez entre en vigor el nuevo Reglamento. Asimismo, introduce ajustes específicos en el Reglamento (UE) 2023/2854 (Reglamento de Datos) para mejorar su coherencia interna, clarificar conceptos clave y adaptar determinadas obligaciones a la evolución del mercado digital y de las tecnologías emergentes.

El artículo 1 constituye el núcleo de esta reforma, ya que reconfigura de manera profunda el régimen europeo en el ámbito de los datos mediante:

  • la integración normativa de los distintos instrumentos jurídicos existentes en un único marco armonizado;
  • la mejora de la regulación sobre servicios de intermediación de datos y organizaciones de altruismo de datos;
  • el establecimiento de reglas más claras y proporcionadas para la puesta a disposición de datos por parte de las empresas a las administraciones públicas en situaciones de emergencia pública;
  • el refuerzo de la protección frente a los riesgos de revelación de secretos comerciales, especialmente cuando intervienen terceros países con niveles de protección jurídica inferiores a los de la Unión;
  • la unificación y actualización del marco para la reutilización de los datos del sector público, la libre circulación de los datos no personales
  • la facilitación de los procesos de cambio de proveedor en servicios de tratamiento de datos, en particular en el ámbito de la computación en la nube.

El artículo 2 introduce en el Reglamento (UE) 2018/174, en el anexo relativo a la «puesta en marcha, gestión y cierre de una empresa», las referencias pertinentes a los servicios de intermediación de datos y a la cesión altruista de datos.

Los artículos 3 y 4 incorporan modificaciones en el Reglamento (UE) 2016/679 (Reglamento general de protección de datos) así como en el Reglamento (UE) 2018/1725, con el fin de adaptar su redacción a las modificaciones introducidas en el artículo 3 a fin de aclarar conceptos en esta materia y reforzar la seguridad jurídica. En relación con esta materia, en el artículo 5 se prevé modificaciones de la Directiva 2002/58/CE («Directiva sobre la privacidad y las comunicaciones electrónicas») a fin de adecuarlo a la nueva regulación, de tal modo que permite trasladar al RGPD las normas sobre el almacenamiento y el acceso a los datos personales del equipo terminal de una persona física.

Por su parte, en los artículos 6, 7, 8 y 9 se regula el punto de entrada único para la notificación de incidentes. La ventanilla única de notificación de incidentes cubiertos por distintos marcos regulatorios (reporting), estará gestionada por ENISA, la agencia europea para la ciberseguridad. Esta reforma pretende que las notificaciones, enviadas por una empresa u organismo, cumplan simultáneamente, mediante un informe único, con las obligaciones derivadas de la normativa NIS2/SRI2, RGPD, DORA, CER y eIDAS.

Por último, el artículo 10 establece disposiciones derogatorias y transitorias. En este artículo, entre otros, se deroga el Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (Reglamento Platform-to-Business) de cara a simplificar la normativa aplicable a plataformas en línea teniendo en cuenta que, desde su aprobación en 2019, se han aprobado otras normas que cubren, en parte, las mismas cuestiones que el Reglamento Platform-to-Business. No obstante, los artículos 4 y 11 del Reglamento, así como diversas disposiciones adicionales vinculadas, se mantienen en vigor hasta el año 2032, debido a que son artículos y disposiciones referenciadas en otras normas, que deberán ser modificadas antes de 2032.

En conjunto, la propuesta supone un punto de inflexión estratégico en la adaptación del marco regulador europeo a un entorno global altamente competitivo, priorizando la agilidad normativa, la innovación y la soberanía tecnológica de la Unión, y asegurando que las normas actúen como motor del crecimiento económico y del mercado único de datos.

 

2.Objetivos de la norma.

Con el fin de dar respuesta a los retos planteados por la economía del dato y avanzar en la reducción de cargas administrativas que impulsen la competitividad, los principales objetivos del Reglamento Ómnibus Digital son:

  • Simplificar y unificar parte del conjunto legislativo en materia de datos, reduciendo de cinco a dos los actos jurídicos principales (el Reglamento General de Protección de Datos y el Reglamento de Datos consolidado) para eliminar solapamiento normativo e incoherencias, y contribuir a una mejora de la seguridad jurídica; así como refundir y/o eliminar reglamentos que han quedado superados por legislaciones más recientes.
  • Fortalecer las garantías de protección de secretos comerciales en los intercambios de datos B2C y B2B, ampliando los supuestos en los que los tenedores pueden denegar el acceso cuando exista riesgo de divulgación, ya sea por entidades de terceros países o por organizaciones establecidas en la UE bajo control extracomunitario.
  • Simplificación del régimen de puesta a disposición del sector público de datos en el supuesto de emergencias públicas, eliminando el supuesto de “necesidades excepcionales”, estableciendo criterios justificativos claros, plazos y requisitos mínimos de las solicitudes, y eximiendo a micro y pequeñas empresas cuando las peticiones estén vinculadas a tareas de mitigación o recuperación.
  • Impulsar un mercado del dato más ágil y competitivo mediante la sustitución del sistema obligatorio de notificación de intermediarios por un registro voluntario, la creación de un marco armonizado para servicios de intermediación y entidades de altruismo de datos con distintivos europeos, el fomento de cesiones altruistas para fines de interés general y la posibilidad de imponer condiciones específicas a grandes plataformas (‘gatekeepers’) en la reutilización de datos públicos.
  • Favorecer la innovación y la interoperabilidad suprimiendo requisitos rígidos aplicables a contratos inteligentes para permitir el desarrollo de tecnologías como blockchain, facilitando la portabilidad y cambio de proveedor en servicios en la nube —especialmente para pymes y soluciones a medida— y eliminando restricciones sobre la localización de datos no personales para asegurar su libre circulación en la UE.
  • Reforzar una gobernanza coordinada del ecosistema de datos, potenciando el Comité Europeo de Innovación en Materia de Datos (CEID), habilitando mecanismos de reclamación ágiles ante autoridades competentes, y estableciendo en cada Estado miembro un punto de acceso único que concentre la información relativa a recursos y servicios de datos.
  • Clarificar y actualizar el marco de protección de datos personales, precisando definiciones esenciales como “datos personales”, facilitando el cumplimiento para pymes y tratamientos de bajo riesgo, delimitando el alcance de la seudonimización, mejorando los requisitos de información y notificación de brechas, y aportando claridad sobre el uso de datos en entrenamiento de sistemas de IA.
  • Se modifica el régimen aplicable al almacenamiento y acceso a datos en equipos terminales, incluidas las cookies. El almacenamiento y acceso a datos personales de equipos terminales de personas físicas pasa a estar regulado en exclusiva por el RGPD, quedando la aplicación del marco de ePrivacy limitada al resto de casos (ej. datos no personales). El nuevo régimen previsto en el RGPD amplía los supuestos en los que no es necesario el consentimiento. Asimismo, exige que el consentimiento pueda ser rechazado en un click, que no se pueda volver a solicitar hasta pasados 6 meses o que pueda expresarse por medios automatizados, por ejemplo, a través del navegador, excepto en el caso de servicios de medios de comunicación.
  • Crear un mecanismo centralizado de notificación de incidentes que unifique obligaciones procedentes de distintos marcos normativos, reduzca cargas administrativas y garantice la adecuada transferencia de información a las autoridades competentes. Las obligaciones de notificación que se crean tienen naturaleza, destinatarios y finalidades distintas. En el caso del RGPD, la notificación de una brecha de datos a la autoridad de protección de datos puede obedecer a causas muy diversas —errores internos, pérdida de dispositivos, accesos no autorizados— y no necesariamente a un incidente de ciberseguridad en sentido estricto. En el caso de NIS2, las notificaciones van dirigidas a los CSIRT nacionales y tienen por objeto activar una respuesta técnica operativa. Ambas obligaciones tienen autoridades receptoras distintas, plazos diferentes y finalidades que no son intercambiables. El SEP operará como canal de transmisión: las entidades enviarán la notificación al SEP, que la redirigirá a cada autoridad competente. La propuesta excluye expresamente que ENISA acceda al contenido de las notificaciones, salvo disposición sectorial en contrario.
  • Se deroga el Reglamento (UE) 2019/1150 (Reglamento Platform-to-business), aunque, de forma transitoria, se mantienen en vigor hasta el año 2032 los artículos 4 y 11 del Reglamento, así como diversas disposiciones vinculadas.
 

Plazo de participación

13 de marzo a 29 de marzo de 2026.

 

Canal de participación

https://forma.administracionelectronica.gob.es/form/open/corp/1be942e0-53cf-4443-af69-2c7d2f7062ef/MCaM

 

Anexos

Texto de la Consulta Pública