Entre la simplificación y el riesgo

Cada vez es más habitual referirse a las normas recientemente aprobadas o en tramitación como una lasaña legislativa. Más allá del recurso culinario, hay tres reflexiones que se repiten ante esta proliferación normativa: la primera, que los tiempos de implementación importan, y no podemos permitirnos aprobar normas que no pueden aplicarse en los plazos previstos (piénsese en el Reglamento de productos sanitarios); la segunda, que toda reforma debería incorporar mecanismos claros para medir sus efectos, y, la tercera, que en un ecosistema normativo cada vez más denso, modificar una pieza sin analizar su encaje con las demás puede generar más incertidumbre que soluciones.

Desde esta última reflexión cobra especial interés la Opinión Conjunta 2/2026 del Comité Europeo de Protección de Datos (EDPB) y del Supervisor Europeo de Protección de Datos (EDPS), adoptada el 10 de febrero, sobre la propuesta de Reglamento conocida como Digital Omnibus, publicada por la Comisión en noviembre de 2025. Su objetivo declarado es simplificar el marco legislativo digital, reducir cargas administrativas y reforzar la competitividad.

Sin embargo, el informe advierte de que algunos cambios podrían afectar negativamente al nivel de protección de las personas y desdibujar la seguridad jurídica. En primer lugar, muestra preocupación ante la modificación de la definición de “dato personal”. Según el EDPB y el EDPS, el nuevo enfoque podría estrechar el concepto y, con ello, reducir el ámbito de aplicación del Reglamento general de protección de datos (RGPD) y el nivel de protección de los individuos, sin que pueda considerarse una mera codificación de la jurisprudencia del Tribunal de Justicia de la Unión Europea. A su juicio, la reforma iría más allá de un ajuste técnico y podría incentivar a determinados responsables del tratamiento a intentar buscar lagunas para evitar la aplicación de la normativa de protección de datos.

En segundo lugar, el informe aborda la investigación científica con un tono más constructivo. Se valora positivamente la introducción de una definición armonizada de “investigación científica” y la clarificación de que el tratamiento ulterior con fines de investigación debe considerarse compatible con el propósito inicial, sin necesidad de aplicar las condiciones del artículo 6.4 del RGPD. Esta precisión puede aportar mayor claridad a hospitales, universidades y centros de investigación, especialmente en el ámbito de las ciencias de la salud, donde la reutilización de datos resulta esencial.

El texto también examina la introducción de una derogación parcial a la prohibición de tratar categorías especiales de datos, limitada a los supuestos en que el tratamiento de datos biométricos sea necesario para confirmar la identidad del interesado. No obstante, recuerda que incluso en estos casos deben respetarse estrictamente los principios de necesidad y proporcionalidad.

En definitiva, la Opinión Conjunta no cuestiona la conveniencia de simplificar, pero advierte de que simplificar no puede equivaler a desdibujar conceptos nucleares ni a debilitar derechos fundamentales. Resulta fundamental, pues, encontrar el debido equilibrio entre la necesidad de simplificar y el deber de no sobrepasar determinados umbrales de riesgo.