El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, en vigor desde 2018, se enfrenta a un proceso de revisión que podría desembocar en una reforma de calado a partir de 2026.
Bruselas considera que, tras casi una década de aplicación, el marco actual necesita adaptarse al nuevo contexto digital marcado por la inteligencia artificial, la economía de los datos y la competencia global con Estados Unidos y China.
“La Unión Europea se ha dado cuenta de que necesita un RGPD más ágil y coherente con las nuevas normativas digitales”, explican desde Atico34 . “El reto es lograrlo sin poner en riesgo los derechos fundamentales que constituyen la base del sistema europeo de protección de datos”.
Una reforma con raíces económicas y tecnológicas
El debate actual sobre el RGPD no surge del vacío. La Comisión Europea ha encargado al ex primer ministro italiano Mario Draghi un informe sobre competitividad que subraya la necesidad de simplificar la regulación para impulsar la innovación. Su diagnóstico es claro: Europa corre el riesgo de quedar rezagada si no reduce la carga burocrática que soportan las empresas tecnológicas y los proyectos basados en inteligencia artificial.
El llamado “Paquete de Simplificación Omnibus IV”, actualmente en discusión, abre la puerta a ajustes técnicos y jurídicos. Entre ellos, una posible reducción de obligaciones administrativas para pequeñas y medianas empresas, exenciones en el registro de actividades de tratamiento y la armonización de evaluaciones de impacto entre el RGPD, la Ley de Inteligencia Artificial (AI Act) y la NIS2 de ciberseguridad.
Sin embargo, no todos los expertos coinciden en el enfoque. “No se trata de reducir obligaciones solo por tamaño de empresa”, advierte Atico34. “Lo importante es medir el riesgo real que implica cada tratamiento de datos, no el volumen de negocio del responsable”.
De la proporcionalidad a la coherencia regulatoria
El principio de proporcionalidad, recogido en el propio RGPD, será uno de los ejes del debate. Bruselas busca reforzarlo para que las obligaciones se ajusten al nivel de riesgo y no generen cargas innecesarias en sectores de bajo impacto. Esto resulta especialmente relevante en un momento en que las empresas deben cumplir simultáneamente con múltiples normativas digitales que se solapan, desde el AI Act hasta la Digital Services Act (DSA) o el Data Governance Act.
Un estudio del European Data Protection Board (EDPB) estima que la duplicidad de obligaciones puede elevar en más de un 25% los costes de cumplimiento para empresas con operaciones en varios Estados miembros. En el caso de España, el Informe de Cumplimiento de Atico34 2024 calcula que el 63% de las pymes considera el RGPD “excesivamente complejo o poco adaptado” a su realidad operativa.
España ante el nuevo escenario
La Agencia Española de Protección de Datos (AEPD) sigue muy de cerca la evolución de los debates en Bruselas, consciente de que una eventual reforma exigirá adaptar la Ley Orgánica 3/2018 (LOPDGDD). Los cambios podrían repercutir, por ejemplo, en los procedimientos de notificación de brechas de seguridad, la gestión de evaluaciones de impacto y las relaciones entre responsables y encargados del tratamiento.
En el ámbito empresarial, sectores como el sanitario, financiero y de recursos humanos podrían ser los más afectados por una revisión de los criterios de “riesgo alto” en el tratamiento de datos sensibles. “Una posible armonización de las evaluaciones de impacto y la introducción de plantillas comunes sería una gran ayuda para empresas que hoy deben repetir procesos similares bajo diferentes marcos normativos”, apuntan desde Atico34.
Inspiraciones internacionales y riesgos de fragmentación
El Reino Unido, tras el Brexit, ha aprobado su propio Data (Use and Access) Act, que introduce flexibilidad en la reutilización de datos para investigación e innovación, manteniendo la protección de derechos. Otros países, como Canadá o Australia, también están revisando sus leyes de privacidad para adaptarlas a entornos de inteligencia artificial. Europa no quiere quedarse atrás.
Sin embargo, los juristas advierten de los riesgos de “abrir la caja de Pandora”. Una reforma excesiva podría generar inseguridad jurídica y debilitar la confianza en el sistema.
“Cualquier cambio debe ser selectivo y medido. Si se reabre el RGPD por completo, podríamos enfrentarnos a años de incertidumbre regulatoria”, remarcan desde Atico34, destacando la necesidad de ajustes “técnicos y coordinados, no ideológicos”.
Perspectivas hacia 2026
Los trabajos preparatorios del Comité de Evaluación de la Comisión Europea apuntan a que el paquete de propuestas concretas podría presentarse a lo largo de 2025, con vistas a su aprobación en 2026. Si prospera, se trataría de la primera gran actualización del RGPD desde su entrada en vigor.
Entre las medidas más probables se encuentran la creación de una plataforma única de notificación de incidentes, el refuerzo de la cooperación entre autoridades nacionales y la institucionalización de “sandbox” regulatorios que permitan a las empresas experimentar con nuevos modelos de tratamiento de datos bajo supervisión.
Para España, donde el tejido empresarial está dominado por pymes, la clave será encontrar el equilibrio entre simplificación y garantía.
