Presentado como una "simplificación", el proyecto Digital Omnibus, de 156 páginas, reescribe los fundamentos del RGPD con implicaciones importantes para la gobernanza de datos y la IA. Su enmienda más determinante afecta al artículo 9 sobre datos sensibles: al restringir la protección a los datos que "revelan directamente" una patología, el texto degrada todos los indicadores indirectos (movilidad, ritmo cardíaco, patrones de sueño, estrés conductual) al régimen general, menos protector.
Esta reclasificación es estratégica porque estas señales débiles alimentan precisamente el perfilado predictivo de salud y el entrenamiento de modelos de IA sin consentimiento. El documento también amplía el interés legítimo (artículo 6) a la optimización, la detección de anomalías y la mejora de modelos de IA, restando centralidad al consentimiento en numerosos usos.
Los derechos fundamentales de las personas (acceso, rectificación, supresión) quedarían restringidos por un criterio de carácter "manifiestamente excesivo" sin definición clara, lo que otorga a las empresas mayor margen para rechazar las solicitudes de los ciudadanos. En materia de gobernanza, ENISA (la agencia de ciberseguridad) heredaría competencias ejercidas hasta ahora por las autoridades nacionales de protección de datos, centralizando la interpretación jurídica en una institución técnica y reduciendo los matices locales.
Este proyecto responde, en su contexto, a las críticas estadounidenses y a la presión de los gigantes tecnológicos. Simboliza un abandono silencioso de la singularidad europea que situaba los derechos fundamentales en el centro de la regulación digital, en favor de un alineamiento competitivo. Los ganadores están claramente identificados: las grandes plataformas tecnológicas, los actores de la IA generativa y los Estados industriales que buscan aligerar las restricciones regulatorias.
Los perdedores son numerosos: los ciudadanos, cuyos derechos se vuelven impugnables, las pymes ante un marco jurídico poco claro, los DPO (delegados de protección de datos) con mandatos debilitados, y las autoridades nacionales despojadas de sus competencias.
Según Max Schrems y otros expertos en protección de datos, esta revisión representa "la muerte por mil cortes": cada enmienda, considerada de forma aislada, parece técnica y menor, pero de manera acumulativa erosionan el espíritu protector del RGPD sin ruido mediático ni debate público.
La cuestión política va más allá del texto en sí: ¿elige Europa mantener su posición como protectora de los derechos digitales fundamentales, o alinearse con el modelo estadounidense de explotación máxima de los datos? Para AI4Data y la gobernanza de la IA, estos cambios son críticos: debilitan el marco europeo que constituía precisamente el elemento diferenciador y la ventaja competitiva basada en la confianza.