Después de muchos años de negociaciones entre los Estados miembros de la Unión Europea, el Parlamento Europeo aprobó el Reglamento General de Protección de Datos (“RGPD”) el 14 de abril de 2016, derogando la normativa entonces vigente que databa de 1995 y que no estaba preparada para hacer frente a los desafíos que planteaba la era digital. EL RGPD, que supuso un hito en la privacidad europea, entró en vigor el 24 de mayo de 2016, a los 20 días de su publicación en el Diario Oficial de la Unión Europea, aunque su aplicación obligatoria no comenzó hasta el 25 de mayo de 2018.
A diferencia de su predecesora, la Directiva 95/46/CE, la entonces nueva normativa europea adoptó la forma de Reglamento por lo que desde el 25 de mayo de 2018 fue de aplicación directa en los Estados miembros de la UE sin necesidad de trasposición mediante ley nacional. El RGPD buscaba fundamentalmente armonizar las distintas leyes de los Estados miembros en un momento de creciente desarrollo tecnológico e implementar un estándar común en la UE aunque con los años hemos podido comprobar que las distintas agencias de supervisión nacionales no siempre han interpretado de la misma forma las disposiciones del RGPD ni aplicado el mismo criterio. Sin embargo y a pesar de alguna que otra imperfección en su interpretación y aplicación, el paso del tiempo ha confirmado que el RGPD ha mejorado con éxito durante estos años la transparencia y la seguridad de los datos personales y ha otorgado un mayor control a los ciudadanos sobre sus propios datos.
Alguno de los cambios más relevantes que introdujo el RGPD fueron el consentimiento reforzado prohibiendo las famosas “casillas pre marcadas” que solían ser muy habituales por aquel entonces, la ampliación del ámbito territorial, la regulación de la obligación de comunicar brechas de seguridad en 72 horas, el endurecimiento del régimen sancionador elevando el importe económico de las multas en caso de incumplimiento o el reconocimiento de nuevos derechos como el derecho al olvido, la portabilidad o el derecho a no ser objeto de decisiones automatizadas (perfilado), entre otras modificaciones. Desde la perspectiva de la empresa, el RGPD también introdujo nuevas obligaciones como la de contar con un registro interno de las actividades de tratamiento, la de realizar evaluaciones de impacto en los casos en los que un tratamiento pudiera conllevar un alto riesgo para los derechos y las libertades de las personas físicas o la regulación de la figura del Delegado de Protección de Datos. En definitiva, el RGPD trajo muchos cambios y muchos retos tanto para las empresas, como para las Administraciones Públicas y los legisladores nacionales de los Estados miembros. Se pasó de un modelo más bien reactivo a un modelo más preventivo y proactivo basado en principios como el de accountability (responsabilidad proactiva) o el de privacy by disign y by default (privacidad por diseño y por defecto).
A lo largo de estos diez años de vigencia, el RGPD ha operado como un marco de referencia internacional. El denominado «efecto Bruselas» ha inspirado la normativa de diversas jurisdicciones de los Estados Unidos (entre otras, California, Virginia o Colorado) y de América Latina (Brasil, Chile, Perú). Asimismo, su influencia es también visible en Asia, concretamente en la Ley de Protección de Información Personal de China de 2021.
Ahora bien, no todo han sido luces para el RGPD sino que también ha pasado por sus momentos de sombra. Cuestiones como las transferencias internacionales, la debilidad de los sistemas transfronterizos de cooperación, los sistemas de identificación biométrica, la falta de coordinación entre las agencias nacionales, la gestión de los entornos cloud, el creciente uso de la IA y los riesgos asociados en materia de privacidad o el uso masivo de datos para el entrenamiento de sistemas de IA, han puesto en jaque al RGPD en más de una ocasión.
Si hacemos un balance de lo que ha supuesto el RGPD en el décimo aniversario de su entrada en vigor, el resultado es claramente positivo. No obstante, debido a la rápida evolución tecnológica que ha derivado en un considerable aumento de la presión regulatoria en la UE, cada vez son más los que consideran urgente una revisión y simplificación normativa, lo que incluye al RGPD. El aumento excesivo, y rápido en muchos casos, de la regulación digital lleva aparejado una serie de riesgos no solo para las entidades sino para los titulares de los datos. El Reglamento de Resiliencia Operativa Digital (DORA), la Directiva sobre Ciberseguridad (NIS 2), la Ley de Servicios Digitales (DSA), el Reglamento de IA (RIA), la Ley de Mercados Digitales (DMA), el Reglamento sobre Identidad Digital (Eidas2 ), el Data Act y un largo etcétera buscan, en cierta medida, proteger la integridad y seguridad de los datos pero no siempre sus criterios están alineados ni son homogéneos entre sí lo que provoca el efecto contrario, más riesgos de incumplimiento, más fricción y más inseguridad jurídica. En este contexto de hiper regulación en materia digital y fuerte desarrollo tecnológico, la propuesta del Reglamento “Ómnibus Digital”, una de las reformas más ambiciosas de los últimos tiempos, se presenta como una oportunidad de simplificación aunque también encontramos sus detractores, entre los que se encuentran el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos quienes, aun considerando esencial una simplificación normativa para reducir la burocracia y reforzar la competitividad, en el mes de febrero adoptaron un dictamen conjunto (2/2026) instando a la Comisión Europea a no adoptar determinados cambios propuestos en este Reglamento (fundamentalmente aquellos relativos a la definición de “datos personales”).
En resumen, si bien es cierto que el balance de estos 10 años es positivo y nadie cuestiona el importante papel desempeñado por el RGPD para proteger la seguridad de los datos, el RGPD celebra su décimo aniversario estando en el punto de mira o, si se prefiere, en el medio de la controversia ya que alguna de las modificaciones planteadas por el Ómnibus Digital como la posible redefinición de dato personal junto con la ampliación y modificación de las bases jurídicas para el desarrollo de actividades de IA podrían, en opinión de muchos expertos, debilitar la protección de datos en Europa.
En un contexto tan digitalizado como el actual, la protección de datos personales es uno de los pilares fundamentales para la salvaguarda de los derechos y libertades fundamentales por lo que la UE no puede arriesgarse a que una simplificación normativa, aunque muy necesaria, pueda comprometer el marco legal de las garantías que constituyen la base del modelo europeo de protección de datos personales.
Cualquier modificación normativa dirigida a simplificar y reducir la carga regulatoria será bien acogida pero debe ir acompañada de un adecuado equilibrio con los derechos y libertades fundamentales de los ciudadanos. Después de la aprobación del Parlamento Europeo, veremos cómo acaban las negociaciones del Ómnibus Digital. Sea como fuere, una cosa esta clara: la continua modificación y aprobación de nuevas regulaciones en el ámbito digital, supone un reto para los sistemas internos de cumplimiento y gestión de riesgos de las entidades. La avalancha regulatoria en el ámbito digital de los últimos tiempos, lejos de reforzar el sistema genera, en muchos casos, confusión con el incremento riesgo de incumplimiento. El futuro de la innovación europea y el éxito tecnológico de Europa pasa inevitablemente por una coherencia de sus leyes digitales que permita hablar verdaderamente de un mercado digital unificado.
