El ‘Digital Omnibus’ de la UE alivia la presión regulatoria en el sector AdTech pero refuerza a las Big Tech

La Comisión Europea ha presentado su propuesta Digital Omnibus, un paquete de 153 páginas que reordena y ajusta buena parte del entramado normativo que se ha construido en torno a la economía digital desde la entrada en vigor del RGPD. El objetivo oficial es claro: reducir al menos un 25% las cargas administrativas (y un 35% en el caso de las pymes), eliminar solapamientos entre normas y hacer más atractivo el entorno europeo para el desarrollo de productos basados en datos e inteligencia artificial.

En la práctica, el Omnibus pretende ser un gran “recalibrado” del sistema. No deroga el RGPD ni las leyes ya aprobadas (DSA, DMA, AI Act, Data Act, ePrivacy, NIS2, etc.), pero sí retoca definiciones, homogeneiza obligaciones y da más margen para ciertos tratamientos de datos, especialmente cuando estos son pseudonimizados o se usan para entrenar modelos de IA. El resultado inmediato para el ecosistema publicitario y de marketing es una ligera sensación de alivio regulatorio, combinada con la constatación de que los grandes beneficiados vuelven a ser las plataformas con más escala de datos y capacidad de cumplimiento.

Uno de los cambios más relevantes llega con la definición de “personal data”. Hasta ahora, la interpretación expansiva del RGPD llevaba a tratar casi cualquier identificador como dato personal pleno, incluso cuando no existía un vínculo razonable con una persona identificable. El Omnibus escribe en la ley la doctrina del Tribunal de Justicia de la UE y matiza cuándo los identificadores pseudonimizados deben considerarse datos personales y bajo qué condiciones. Señales que no pueden vincularse a un individuo sin información adicional, como ciertos IDs hasheados o variables derivadas de modelos estadísticos, podrían quedar sometidas a obligaciones menos estrictas en algunos contextos. Para anunciantes, agencias, DSP, SSP, DMP o CDP, esto abre la puerta a recuperar técnicas de modelado y segmentación que se habían vuelto casi impracticables por el riesgo legal.

El segundo gran bloque afecta al entrenamiento de sistemas de inteligencia artificial. El Omnibus introduce una base jurídica específica que permite entrenar modelos con datos personales o pseudonimizados siempre que se apliquen salvaguardas adecuadas y se documente la mitigación de riesgos. Este movimiento legitima la recopilación y uso a gran escala de datasets para IA generativa y otros modelos avanzados, un terreno donde hasta ahora reinaba la incertidumbre. En la práctica, los grandes desarrolladores de IA (Google, Meta, Microsoft, Amazon, OpenAI y otros) son quienes mejor posicionados están para aprovechar esta ventana, por volumen de datos, potencia computacional y músculo jurídico. Algunos proveedores de AdTech podrán reforzar sus modelos de optimización y medición, pero la distancia competitiva con las big tech se hace aún más evidente.

Según Digiday, el paquete también intenta resolver uno de los problemas más comentados por la industria: la superposición de normas y la fragmentación de obligaciones. El Digital Omnibus alinea mejor el RGPD con la ePrivacy, diferenciando con más precisión qué tipos de acceso al dispositivo del usuario exigen consentimiento expreso y cuáles pueden ampararse en otras bases legales. Operaciones ligadas a seguridad, mediciones básicas o determinadas funciones técnicas ganan claridad, lo que puede reducir parte del “ruido” asociado a los banners de consentimiento y estabilizar la medición en campañas digitales. Para empresas de analítica, verificación o atribución, esto supone un entorno menos gris y más previsible.

En paralelo, la propuesta consolida el Data Act a modo de paraguas para cuestiones de compartición de datos, portabilidad entre proveedores en Cloud, interoperabilidad y acceso a conjuntos de datos del sector público. Varios marcos previos se integran o se armonizan bajo esta ley, con la intención de simplificar obligaciones y evitar contradicciones. Para proveedores de servicios de datos y plataformas de intercambio, el cambio implicará ajustar contratos y procesos, pero, a cambio, operarán bajo un marco más coherente que el mosaico actual.

La simplificación también alcanza a la ciberseguridad. En lugar de notificar incidentes a múltiples autoridades bajo marcos distintos, las empresas dispondrán de un sistema de reporte unificado. Este paso es especialmente relevante para grandes plataformas, operadores de servicios esenciales y grandes intermediarios tecnológicos, que verán reducido el coste de coordinación sin que se rebajen sus obligaciones materiales de seguridad y transparencia.

El reparto de ganadores y perdedores deja un patrón claro. Las grandes plataformas y compañías de IA aparecen como las principales vencedoras. Son las que disponen de los mayores repositorios de first-party data, las capacidades técnicas para entrenar modelos complejos y los equipos de cumplimiento necesarios para aprovechar las nuevas flexibilidades desde el primer día. Los anunciantes recuperan herramientas de segmentación y medición que habían quedado muy limitadas por el rigor interpretativo del RGPD, lo que facilitará operaciones programáticas más consistentes en todos los mercados de la UE.

Las agencias, por su parte, se benefician de un escenario algo menos fragmentado: menos incertidumbre en torno al consentimiento para ciertos tratamientos, menos disparidad de criterios entre países y más estabilidad para planificar y reportar campañas multinacionales. Para los intermediarios AdTech (DSP, SSP, CDP, DCR, plataformas de medición) el balance es ambivalente. Ganarán en seguridad jurídica y en capacidad de trabajar con señales pseudonimizadas a escala, pero seguirán compitiendo en un entorno donde la identidad, el control de los dispositivos, el contexto de uso y las capacidades de IA están cada vez más concentradas en manos de unos pocos players integrados verticalmente.

En el caso de los publishers, el impacto también es mixto. Una reducción de la fricción asociada a los banners de consentimiento podría traducirse en ligeras mejoras de tráfico, tiempos de permanencia y experiencia de usuario. Pero si los mecanismos de control de privacidad se desplazan de facto al navegador, al sistema operativo o al propio dispositivo (algo que el Omnibus facilita al dar más margen a estos intermediarios técnicos), los medios pueden perder capacidad de negociación directa sobre datos, segmentación y relación con el usuario final. Se corre el riesgo de reeditar dinámicas observadas con ATT de Apple o con los planes de Google para Chrome, donde fueron los grandes intermediarios tecnológicos quienes terminaron dictando las reglas efectivas del juego.

La propuesta ha reavivado el debate entre defensores de la privacidad y representantes de la industria. Organizaciones de derechos civiles alertan de que la Digital Omnibus supone, en la práctica, una erosión del RGPD: al estrechar la definición de dato personal y legitimar más tratamientos sin consentimiento, sostienen que se desplaza el centro de gravedad normativo desde el control individual hacia los intereses de los procesadores de datos y los desarrolladores de IA. Por el contrario, muchos responsables de privacidad en empresas y despachos especializados interpretan el paquete como una actualización necesaria que corrige excesos, elimina contradicciones y hace el sistema más aplicable sin tocar los principios fundacionales de protección de datos.

La Comisión se sitúa en este último punto: insiste en que no se trata de un retroceso, sino de un ajuste para preservar “los más altos estándares de derechos fundamentales” a la vez que se dota a las empresas de un marco más claro y eficiente. La realidad probablemente se sitúe en un punto intermedio. La Omnibus no deroga el RGPD ni lo vacía de contenido, pero sí supone un aflojamiento de la cultura de cumplimiento maximalista que se había instalado desde 2018, especialmente en lo relativo al uso de datos pseudonimizados y al entrenamiento de modelos de IA.

En cuanto a plazos, el calendario vuelve a ser una de las áreas más confusas. Como ocurrió con el propio RGPD, el Digital Omnibus se convertirá en ley poco después de su publicación, pero su impacto real se desplegará de forma desigual y dilatada. Distintas partes de la propuesta modifican leyes diferentes, con tiempos de aplicación específicos. Los reguladores deberán actualizar guías e interpretar las nuevas reglas, las autoridades de protección de datos tendrán que armonizar criterios, los organismos de estandarización revisarán especificaciones técnicas, y las empresas necesitarán tiempo para adaptar sistemas internos, contratos, políticas de privacidad y procesos de reporting. Diversas fuentes sitúan el impacto práctico en una horquilla de entre 12 y 36 meses.

Para la industria publicitaria y de medios, el mensaje de fondo es doble. Por un lado, se abre una ventana para volver a trabajar con más tipos de señales, reforzar la medición y estabilizar campañas en el entorno europeo. Por otro, esa misma ventana consolida el liderazgo de las grandes plataformas en identidad, IA y experiencia de usuario. El Digital Omnibus promete menos fricción regulatoria, pero también dibuja un escenario en el que la batalla competitiva dependerá cada vez más del acceso a datos propios, de la capacidad de entrenar modelos avanzados y de la posición en la cadena de valor digital.