Articles
Noticias del sector
EU Omnibus Digital: Lo que necesitas saber sobre el proyecto de simplificación del RGPD
Noticias del sector
Nuevo

EU Omnibus Digital: Lo que necesitas saber sobre el proyecto de simplificación del RGPD

Publicado  

11/20/2025

por 

Thierry Maout

7
min lectura

Published  

November 20, 2025

by 

Thierry Maout

10 min read
Resumen

La Comisión Europea presentó oficialmente su iniciativa Digital Omnibus el 19 de noviembre de 2025, proponiendo una serie de cambios al marco regulatorio actual en Europa, con el objetivo declarado de simplificar el ecosistema digital, fomentar la innovación entre las empresas europeas y mejorar la experiencia en línea de los consumidores.

En este artículo, analizamos qué nos ha llevado hasta este punto y en qué consiste, hasta ahora, la versión final del Digital Omnibus, centrándonos en nuestro ámbito de especialización, antes de compartir nuestras conclusiones y nuestra visión sobre los próximos pasos.

Conclusión principal: Si bien algunos sitios web pequeños podrían ya no necesitar una CMP para ciertas funciones básicas debido a los cambios propuestos en el Omnibus Digital, la realidad sería la contraria para la mayoría de las organizaciones.

Desde la necesidad de establecer una trazabilidad robusta del consentimiento hasta el papel crucial de la configuración, la clasificación de propósitos y proveedores, y la posible obligación futura de cumplir con una (o más) normas europeas para la notificación automatizada del consentimiento, el nuevo marco propuesto introduce matices adicionales, condiciones, umbrales y exenciones que requerirán una interpretación precisa y un seguimiento continuo.

Por último, es importante tener en cuenta que el Omnibus Digital es una propuesta, no un cambio en los requisitos existentes. Hoy, nada cambia.

Datos importantes sobre el Digital Omnibus de la Comisión Europea: contexto, calendario y objetivos

En los últimos años, desde la entrada en vigor del RGPD, el ecosistema normativo de la Unión Europea (UE) ha crecido significativamente, con numerosas leyes y reglamentos que se han ido acumulando, creando lo que muchas organizaciones perciben como un panorama difícil y, en ocasiones, abrumador.

Al mismo tiempo, los consumidores europeos han estado expuestos constantemente a banners de consentimiento, generando lo que se conoce como fatiga del consentimiento, un fenómeno que devalúa las decisiones de privacidad por la sobreexposición a interfaces de consentimiento.

Ante estas preocupaciones, la Comisión Europea ha priorizado la simplificación regulatoria con el Digital Omnibus, un conjunto de reformas orientadas a reducir la burocracia, costes de cumplimiento, eliminar solapamientos normativos, aportar mayor coherencia entre leyes y facilitar su aplicación.

Digital Omnibus: La programación hasta la fecha

La Comisión Europea lanzó una convocatoria pública de evidencias el 16 de septiembre de 2025 para recopilar opiniones sobre cómo simplificar las distintas regulaciones digitales (a la que respondimos públicamente). La consulta cerró el 14 de octubre de 2025, y un mes después, un borrador interno del texto se filtró en línea, generando numerosas reacciones, incluida la de nuestro Chief Privacy Officer, Thomas Adhumeau.

Esta semana, el 19 de noviembre de 2025, se publicó la versión final del texto.

¿Qué dice la versión final del Digital Omnibus?

El 19 de noviembre de 2025, la Comisión Europea anunció oficialmente su plan de un nuevo paquete digital para simplificar las normas digitales de la UE y fomentar la innovación, centrado en varios puntos clave:

  • Reglas de IA orientadas a la innovación, incluyendo las enmiendas propuestas en el AI Act.
  • Informes de ciberseguridad simplificados, que permiten a las empresas informar incidentes a través de una única plataforma.
  • Modificaciones del RGPD para estimular la innovación y apoyar el cumplimiento normativo de las organizaciones.
  • Mejora del acceso a los datos mediante la consolidación de reglas, exenciones para pymes y apoyo a empresas europeas de IA.
  • Actualización de las normas sobre cookies para mejorar la experiencia del usuario.

Analicemos más detenidamente estos dos últimos puntos, que se enmarcan dentro de nuestro ámbito específico de especialización.

Propuesta del Digital Omnibus sobre banners de cookies y recolección del consentimiento

La Comisión Europea propone actualizar el RGPD para simplificar específicamente las reglas sobre cookies, alineado con el objetivo de reducir la fatiga del consentimiento. Los principales cambios son:

  • Migración de reglas al RGPD: la gestión y regulación de cookies pasaría de ePrivacy al RGPD.
  • Límite de consentimiento: una negativa deberá respetarse durante al menos 6 meses, aunque no se detalla un límite similar para consentimientos otorgados.
  • Exención sectorial: medios y grandes editores estarían sujetos a reglas diferentes, reconociendo el papel de la publicidad en la pluralidad mediática.
  • Lista blanca de consentimiento: usos “de bajo riesgo” podrían quedar exentos de solicitar consentimiento.
  • Consentimiento con un solo clic: posibilidad de rechazar solicitudes de forma sencilla e inteligible mediante un botón o método equivalente.
  • Opciones automatizadas y legibles por máquina: implementación de una señal emitida por el navegador o el sistema operativo que permite a los usuarios definir cómo se pueden compartir y procesar sus datos

Michael McGrath, Comisario de la UE para la Democracia, Justicia, Estado de Derecho y Protección del Consumidor, detalló la visión tras estos cambios, que aspiran a generar más de 800 millones de euros en ahorro anual para las empresas:

También estamos introduciendo cambios a las normas actuales sobre banners de cookies para garantizar que los usuarios puedan expresar elecciones reales y mantener sus dispositivos seguros:

- Los usuarios conservarán el control y podrán aceptar o rechazar cookies con un solo clic.
- Las organizaciones deberán respetar esta elección durante 6 meses.
- Proponemos además definir situaciones de bajo riesgo en las que no se requiera consentimiento, como en casos de restauración o mantenimiento de la seguridad de un dispositivo.

- Michael McGrath, El Comisario Europeo de Democracia, Justicia, Estado de Derecho y Protección del Consumidor explicó la visión detrás de estos cambios (destinados a generar más de 800 millones de euros en ahorros anuales para las empresas) en comentarios oficiales que acompañan al anuncio de Digital Omnibus (traducido del inglés por nosotros):

¿Qué implican realmente estos cambios para las empresas europeas?

Tres puntos clave para recordar sobre el Omnibus Digital y su impacto potencial en las CMP

Naturalmente, hemos seguido muy de cerca esta iniciativa y ya hemos compartido nuestra opinión públicamente a través de contenido educativo, artículos de opinión, apariciones en la prensa y nuestra participación en el proceso presentado por la Comisión.

Las opiniones sobre el Ómnibus Digital tienden a estar polarizadas: por un lado, la opinión de que esta iniciativa podría privar a los consumidores europeos de sus derechos y favorecer a las grandes tecnológicas; por otro, una perspectiva optimista de que podría fortalecer la competitividad europea a nivel mundial. Nuestra postura se sitúa en un punto intermedio.

A continuación, destacamos las áreas del proyecto que más importan a los equipos de privacidad, cumplimiento, marketing y producto:

1. La clasificación de proveedores, las exenciones y el aumento de la responsabilidad añadirán más complejidad

Si bien el objetivo declarado del Omnibus Digital es la simplificación, especialmente para sitios web pequeños con un uso limitado de datos, la realidad para la mayoría de las organizaciones presenta más matices.

Al trasladar las reglas sobre cookies al RGPD e introducir nuevas categorías de exenciones, la propuesta refuerza la importancia de una configuración precisa, una gobernanza continua y una trazabilidad del consentimiento basada en evidencias.

Las organizaciones deberán evaluar muchas más condiciones antes de decidir si necesitan consentimiento, si aplica una exención, o si existe otra vía. El papel de una CMP moderna evolucionará naturalmente para ayudar a los equipos a responder preguntas como:

  • ¿Esta actividad específica de procesamiento sigue requiriendo consentimiento o entra dentro de una nueva exención de “bajo riesgo”? ¿Cómo documentamos esta decisión?
  • ¿Cómo clasificamos correctamente cada vendor y finalidad, si las exenciones varían según la finalidad, tecnología o categoría de datos?
  • ¿Qué evidencias necesitamos para demostrar la trazabilidad y responsabilidad del consentimiento ahora que las cookies están sujetas a sanciones tipo RGPD?
  • ¿Cómo gestionamos el límite de seis meses para rechazos en banners, analíticas y recorridos del usuario sin perder insights del negocio?
  • ¿Cómo conciliamos señales de preferencia desde el navegador con las decisiones detalladas por vendor y finalidad que requiere nuestro stack de marketing, analítica y publicidad?

Para muchas organizaciones (especialmente aquellas involucradas en publicidad, análisis, personalización, seguimiento entre dominios o IA), las propuestas de  Omnibus Digital hacen que la CMP sea aún más esencial, y las empresas necesitarán socios confiables para implementar estas reglas de manera consistente en todos los mercados y tecnologías.

2. Las arquitecturas de datos que preservan la privacidad y basadas en server-side serán cada vez más importantes

La introducción de exenciones de bajo riesgo, la posibilidad de realizar ciertas operaciones sin depender de datos extraídos del dispositivo del usuario, y la migración de las reglas de cookies al RGPD, señalan un cambio en la forma en que las organizaciones deberán recolectar y procesar los datos.

Tradicionalmente, muchas de estas operaciones dependían de cookies u otras señales client-side. Pero a medida que el Omnibus refuerza la responsabilidad e introduce nuevas categorías de exención basadas en la naturaleza y sensibilidad del dato, las empresas necesitarán arquitecturas técnicas que promuevan la minimización, agregación y flujos de datos seguros desde el diseño.

Vemos una gran oportunidad para las tecnologías que preservan la privacidad (Privacy-Enhancing Technologies – PETs), especialmente el server-side tagging, para ayudar a:

  • Limitar la exposición a datos sin procesar a nivel dispositivo
  • Reducir la dependencia del seguimiento client-side
  • Diseñar flujos de datos compatibles con tratamientos “de bajo riesgo”
  • Mantener insights críticos del negocio respetando las nuevas expectativas regulatorias

Esto no elimina la necesidad de gestionar el consentimiento. Más bien, crea nuevos puntos de decisión: cuándo se requiere consentimiento, cuándo se puede aplicar una exención, cuándo es adecuado un enfoque privacy-first y cómo documentar esas decisiones.

Aunque el Omnibus no impone estas tecnologías, sí impulsa a las organizaciones hacia estrategias de datos server-side, centradas en la privacidad y la minimización. Nuestro papel será ayudar a las empresas a navegar estas decisiones y ejecutarlas de forma responsable.

3. Las decisiones automatizadas y legibles por máquina son imposibles sin la estandarización.

Desde una perspectiva técnica, nuestro Director de Privacidad ha enfatizado durante mucho tiempo las limitaciones de diversos enfoques "para simplificar" el consentimiento, que a menudo descuidan su viabilidad práctica para las organizaciones. Puedes encontrar comentarios detallados en esta misma entrada de blog de 2023:

En teoría, la idea es excelente: el usuario define sus preferencias de recopilación de datos una vez en su navegador, y la tecnología se encarga del resto, transmitiendo automáticamente estas opciones a cada sitio web que visita. Todo sucede en segundo plano, los banners de consentimiento son menos visibles y se supone que se respetan las preferencias del usuario.

Pero en la práctica, las cosas dista mucho de ser sencillas.

Entonces, ¿cómo puede la tecnología aplicar estas preferencias de forma fiable y precisa? Y, sobre todo, ¿sigue siendo válido este consentimiento? Tomemos el ejemplo de los datos personales utilizados para análisis: un sitio web podría llamarlo "rendimiento del sitio", otro "medición del comportamiento del usuario" y un tercero "información sobre los visitantes".

Esta disparidad terminológica hace prácticamente imposible transmitir de forma consistente y precisa las preferencias de un usuario de un sitio web o aplicación a otro, lo que supone un verdadero problema para la validez del consentimiento.

Thomas Adhumeau, Chief Privacy Officer en Didomi (fuente: Cookies, consent fatigue, and privacy standards: What's next for the AdTech industry?, blog Didomi)

Los inconvenientes de esta última propuesta de la Comisión Europea siguen siendo los mismos, al igual que en muchos intentos anteriores de resolver el mismo problema.

La idea de "parámetros automatizados, legibles por máquina y centralizados" es excelente. Sin embargo, aún no ofrece una vía clara para convertirse en realidad sin un estándar establecido.

Reflexiones clave de nuestro CEO, Romain Gauthier

El texto confirma, sobre todo, nuestra convicción de que las partes interesadas en el consentimiento y los proveedores de soluciones tecnológicas de privacidad como Didomi están llamados a desempeñar un papel clave en el futuro de la protección de datos en la Unión Europea.

Las organizaciones necesitan socios de confianza capaces de ofrecer claridad, transparencia, soluciones y experiencia para adaptarse a la constante evolución de las regulaciones, manteniendo al mismo tiempo su rendimiento empresarial y respetando los derechos de los consumidores.

Para que la simplificación se haga realidad, deben surgir estándares globales, en colaboración con todas las partes interesadas, como enfatiza nuestro CEO y cofundador, Romain Gauthier:

En su estado actual, el Omnibus Digital probablemente aumentará la complejidad de las operaciones digitales incluso para las empresas europeas más avanzadas. Los principios que sustentan la iniciativa son sólidos, pero los detalles que vemos en esta versión necesitan ser perfeccionados. Parece que la esencia ya está ahí, pero la letra aún no está del todo clara.

En Didomi, estamos evaluando la mejor manera de apoyar a nuestros clientes con estos ajustes. También creemos que la solución a la fatiga del consentimiento reside en un estándar global legible por máquina, en el que trabajamos activamente con otras partes interesadas en los sectores de la privacidad, la tecnología, el comercio y las políticas públicas. Vemos un potencial real para que se convierta en un estándar global si se implementa rigurosamente.

También vemos una oportunidad para que las organizaciones aprovechen las tecnologías de mejora de datos, incluido el server-side tagging, para adaptarse a algunas de las nuevas exenciones.


Seguiremos participando en las conversaciones con todas las partes interesadas para lograr un objetivo común: apoyar a las empresas europeas manteniendo los más altos estándares de protección de datos.

- Romain Gauthier, CEO y cofundador de Didomi 

Sin estándares globales completos, las ambiciones de la Unión Europea se verán limitadas por la falta de recursos y marcos que permitan a las organizaciones operar mientras respetan los estándares de privacidad que esperan los europeos.

¿Cuáles son los próximos pasos para el Omnibus Digital?

Ahora que se ha presentado el texto final, el proceso legislativo está en marcha. Es difícil establecer un cronograma preciso para los próximos pasos (especialmente para un texto tan controvertido). Sin embargo, el proceso regulatorio habitual es el siguiente:

  1. Propuesta de la Comisión Europea: el texto final se presenta al Parlamento y al Consejo.
  2. Revisión por el Parlamento y el Consejo: cada uno establece su posición, modifica el texto y define un mandato de negociación.
  3. Diálogos tripartitos: las tres instituciones negocian y acuerdan una versión final común.
  4. Aprobación y entrada en vigor: el Parlamento y el Consejo aprueban el texto. La ley se publica y entra en vigor, generalmente 20 días después.

La duración de todo el proceso dependerá de muchos factores. Las iniciativas Omnibus siguen el mismo procedimiento, pero su adopción suele ser más rápida porque no constituyen nueva legislación, sino un conjunto de modificaciones específicas. No obstante, no se esperan los primeros efectos concretos antes de finales de 2026 o 2027.

Síguenos en LinkedIn y mantente al tanto mientras compartimos nuevos desarrollos y nuestro análisis continuo.

El autor
Los autores
Thierry Maout
Lead content manager at Didomi.
Managing content at Didomi. I love reading, writing, and learning about data privacy, technology, culture, and education.
Acceder al perfil del autor
Thierry Maout
Lead content manager at Didomi.
Managing content at Didomi. I love reading, writing, and learning about data privacy, technology, culture, and education.
Access author profile
Access author profile

Artículos relacionados

Noticias del sector
¿Google Tag Manager (GTM) requiere el consentimiento del usuario? Desglosando la decisión de Alemania de 2025
November 3, 2025
Leer el artículo
Noticias del sector
Combinando privacidad y rendimiento en un mundo centrado en el usuario (evento)
October 21, 2024
Leer el artículo
Noticias del sector
Actualización sobre Google's Privacy Sandbox: Navegando el nuevo paradigma de las third-party cookies
July 29, 2024
Leer el artículo
Noticias del sector
Las nuevas regulaciones para CTV de Google para la recolección del consentimiento
July 11, 2024
Leer el artículo
Noticias del sector
El final de las third-party cookies en Chrome: la guía definitiva
May 29, 2024
Leer el artículo
Noticias del sector
Las cookies analíticas, ¿necesitan consentimiento en España? Actualización de la AEPD
January 26, 2024
Leer el artículo