Digital Omnibus: la “excepción IA” dentro del RGPD

El 19 de noviembre de 2025 la Comisión Europea anunció la propuesta de Digital Omnibus como una parte más de su paquete digital, con el objetivo de simplificar la normativa digital de la UE en materia de datos, ciberseguridad e inteligencia artificial (IA). Todo ello, con la finalidad declarada de reducir los costes empresariales de cumplimiento y mejorar la innovación, preservando los derechos fundamentales de las personas.

La publicación oficial dará inicio al proceso legislativo formal, que se prolongará durante meses e incluirá negociaciones trilaterales entre la Comisión, el Parlamento Europeo y el Consejo de la Unión Europea.

En materia de protección de datos personales, la propuesta aborda, entre otros asuntos, la redefinición del concepto de datos personales a la luz del asunto TJUE C-413/23 P (EDPS v SRB) y la Doctrina Scania, atendiendo a la idea de los “medios razonables para identificar” a una persona física. También contempla la reducción de determinadas obligaciones de transparencia para los responsables del tratamiento (empresas que manejan datos personales), la extensión de la definición de investigación científica a aquella que tenga un interés comercial, una aclaración sobre la toma de decisiones automatizadas (sin intervención humana) basadas en un contrato “entre el interesado y el responsable del tratamiento”, y el establecimiento de un punto único de notificación de incidencias y violaciones de seguridad en virtud del RGPD, la NIS2 o DORA.

Y, para lo que aquí nos ocupa, “positiviza” el recurso al interés legítimo del responsable del tratamiento (sin recurrir al consentimiento) para tratar datos personales con fines de desarrollo -entrenamiento- y funcionamiento de modelos de Inteligencia Artificial (tipo GPT-5).

Pues bien, la propuesta pretende introducir un nuevo artículo en el RGPD, el 88 c), para indicar que el tratamiento de datos personales para el desarrollo y funcionamiento de modelos de IA puede basarse en el interés legítimo del desarrollador (art. 6.1 f) RGPD). Esta propuesta no hace sino recoger lo que ya indicaba el European Data Protection Board en su Opinión sobre el uso de datos personales para el desarrollo y funcionamiento de modelos de IA: si se supera la evaluación del interés legítimo (el conocido como test de las tres fases: interés legítimo real, necesidad del tratamiento y ponderación de los intereses en juego) los desarrolladores pueden confiar en dicha base legal, lo que supondría prescindir del consentimiento de los interesados para autorizar el tratamiento de sus datos personales con dicha finalidad.

Asimismo, y como contrapartida, la propuesta introduce una limitación al recurso al interés legítimo: no podrá recurrirse al mismo cuando exista normativa de la UE o nacional que requiera específicamente el consentimiento del interesado para esa finalidad. Por otro lado, protege los intereses de los menores dando prevalencia a los derechos y libertades de estos sobre el interés legítimo del desarrollador.

A estos efectos, y como excepción al recurso del interés legítimo, habrá que ver si los llamados “gatekeepers”, o guardianes de acceso según el Reglamento de Servicios Digitales (DMA), podrían tener limitado el uso de dicha base legal. Ello, en la medida en que el art. 5.2 c) de la DMA prohíbe, sin consentimiento del interesado, “cruzar” datos procedentes de servicios básicos de plataforma (como, por ejemplo, Facebook) con otros servicios prestados por el guardián de acceso o, en su letra b), “combinar” datos del servicio básico de plataforma con otros servicios del guardián de acceso o de servicios de terceros.

Asimismo, el texto actual de RGPD, en su artículo 9.1, prohíbe -salvo que concurran las excepciones legalmente previstas- el tratamiento de ciertas categorías especiales de datos personales, como los referidos a la salud, opiniones políticas, datos biométricos dirigidos a identificar de manera unívoca, vida u orientación sexual, etc. La propuesta de modificación contenida en el Digital Omnibus prevé una nueva excepción para poder tratar estas categorías de datos personales para el desarrollo y funcionamiento de modelos o sistemas de IA, en aquellos casos en los que el responsable los trate de manera “residual” a pesar de haber aplicado todas las salvaguardas oportunas para que ello no ocurra, y siempre que proceda a su supresión inmediata tras su detección, salvo que ello suponga un “esfuerzo desproporcionado”. En ese caso, el responsable deberá proteger dichos datos para evitar que se utilicen para generar resultados, se divulguen o se pongan a disposición de terceros.

Lo anterior, sin perjuicio de la posibilidad de tratar datos personales por parte de los desarrolladores de sistemas de IA de alto riesgo para detectar y corregir sesgos, de conformidad con lo establecido en el Reglamento de IA, siendo dicha disposición la que permite el tratamiento de datos de categoría especial por razones de un interés público esencial, como excepción prevista en el RGPD.

Durante los trílogos, de bien seguro se introducirán nuevas modificaciones en el texto, pero lo que ya podemos asegurar es que estas medidas -en concreto la positivación del interés legítimo y la posibilidad de tratar, aun residualmente, datos de categoría especial- difícilmente puede presentarse como una reducción de costes de cumplimiento, especialmente para pymes, ni como una vía neutra para preservar los derechos fundamentales.

*Gerard Espuga, abogado y socio de Beta Legal