El Consejo de la UE mantiene el "statu quo" del GDPR frente al Digital Omnibus

En un movimiento clave para la estabilidad jurídica del sector tecnológico, el Consejo de la Unión Europea ha decidido retirar la propuesta de redefinición de "datos personales" del paquete legislativo Digital Omnibus. Según los borradores de compromiso analizados en las últimas 48 horas (febrero de 2026), los Estados miembros han rechazado el intento de la Comisión Europea de acotar este concepto, lo que garantiza que el Reglamento General de Protección de Datos (GDPR) mantenga su alcance actual sin fisuras.

El rechazo a la "subjetividad" de los datos personales

Lo que ocurre en el centro de esta disputa es la interpretación del Artículo 4(1) del GDPR. La Comisión Europea buscaba codificar una interpretación más laxa: que la información no fuera considerada "personal" para una entidad si esta no tuviera los medios razonables para identificar al individuo, incluso si un tercero sí pudiera hacerlo.

El rechazo del Consejo responde a las advertencias del Comité Europeo de Protección de Datos (EDPB) y el Supervisor Europeo de Protección de Datos (EDPS). Estas autoridades argumentaron que la nueva definición habría:

• Debilitado la protección: Habría permitido que empresas eludieran responsabilidades legales simplemente alegando "incapacidad técnica" para identificar al usuario.

• Contradecido la jurisprudencia: Se alejaba de las sentencias del Tribunal de Justicia de la UE (TJUE), que históricamente ha defendido una visión amplia y protectora de lo que constituye un dato identificable.

Alivio estratégico para el sector "AdTech" y Big Data en España

Por qué ocurre este rechazo tiene una lectura muy positiva para la seguridad jurídica en España. Si la definición se hubiera modificado, las empresas tecnológicas españolas habrían entrado en un periodo de "limbo legal" mientras los tribunales reinterpretaban años de jurisprudencia.

Para las empresas de Publicidad Programática (AdTech) y análisis de datos, el mantenimiento de la definición actual supone un alivio temporal:

1. Continuidad operativa: No es necesario reestructurar los flujos de datos seudonimizados que ya cumplen con el estándar del GDPR.

2. Claridad en las auditorías: Los procesos de cumplimiento ante la AEPD (Agencia Española de Protección de Datos) seguirán basándose en los criterios conocidos, evitando inversiones imprevistas en rediseños de privacidad.

3. Freno a la desregulación: El Consejo ha dejado claro que la "simplificación" administrativa no puede ser un caballo de Troya para reducir los derechos fundamentales de los ciudadanos europeos.

El papel de las nuevas guías del EDPB

Hacia dónde apunta el escenario post-Omnibus es hacia una regulación vía guías técnicas en lugar de reformas legislativas. En lugar de cambiar la ley, el Consejo ha delegado en el EDPB la tarea de actualizar las directrices sobre seudonimización. Esto significa que las reglas sobre cómo "ocultar" identidades de forma segura se volverán más técnicas y precisas, pero siempre bajo el paraguas protector del GDPR original.

Para 2026, el mensaje de Bruselas es nítido: el GDPR es la "norma de oro" y no se toca. Las empresas españolas pueden respirar tranquilas respecto a la definición de su materia prima —los datos—, pero deben permanecer atentas a las nuevas guías técnicas que definirán cómo tratar esa información en procesos de entrenamiento de IA y compartición de datos a terceros.