Esta mañana el EDPB y el EDPS (Comité y Supervisor Europeo de Protección de Datos) han adoptado y publicado su opinión conjunta sobre el Digital Omnibus. Han pedido al legislador no tocar la definición de datos personales, y no intentar implementar una base legal específica para el desarrollo de la IA. También han pedido más cuidado con la derogación de la prohibición para procesar datos sensibles y dejan claro que no les parece bien que la Comisión Europea se arrogue la potestad de decidir qué datos son o no personales. Dan sin embargo la bienvenida a los cambios que afectan a ePrivacy para acabar con la epidemia de banners de cookies.

Con Itxaso Domínguez de Olazábal habíamos revisado precisamente estos elementos del Digital Omnibus hace unos días. Nuestra invitada ha resultado estar muy alineada con el veredicto del EDPB/EDPS y nos ha ofrecido un análisis de todos ellos.

Itxaso Domínguez de Olazábal es Policy Advisor en la asociación de derechos digitales EDRi (European Digital Rights) con sede en Bruselas. Es doctora en Estudios Árabes e Islámicos por la Universidad Autónoma de Madrid, experta en protección de datos personales y privacidad con un profundo conocimiento del entorno digital y la recolección de datos en el marco de los modelos de negocio que predominan en internet. Su trabajo explora la intersección de la tecnología, el espionaje masivo y el imperativo de proteger a comunidades vulnerables dentro y fuera de la UE.

Itxaso ha trabajado con 7amleh dedicada a defender los derechos digitales del pueblo palestino, como tambi´ne lo ha hecho en el Parlamento Europeo y la delegación de la UE a Egipto. Además de su rol en EDRi, nuestra invitada es profesora de relaciones internacionales y geopolítica, colaborando frecuentemente con instituciones académicas y think tanks.

Referencias:

* Itxaso Domínguez de Olazábal en LinkedIn

* EDRi

* Digital Omnibus (paquete)

* María Luisa González Tapia: la delgada línea azul (Masters of Privacy, especial 28 de enero sobre la definición relativa del dato personal)

* Joaquín Muñoz: la protección de datos ante el aprendizaje federado y la computación cuántica (Masters of Privacy, diciembre de 2022, introduciendo el concepto de PETs o Privacy Enhancing Technologies)

* Opinión conjunta del EDPB y el EDPS sobre el Digital Omnibus (EN, 11 de febrero, 2026)

* Global Privacy Control (GPC).

¿Resistirá la distinción entre responsables y encargados del tratamiento a la evolución y modularización de las relaciones comerciales? ¿Es realmente gestionable la pirámide (o Matrioska) de subencargados?

César Naveira es abogado, Senior Counsel para protección de datos e Inteligencia Artificial en la oficina londinense de Mastercard desde hace cuatro años, habiendo pasado antes cinco años en American Express como director del equipo de protección de datos en EMEA. Antes de esto trabajó en Barclays, incluyendo el rol de DPO de Barclaycard en España y Portugal. César se formó además profesionalmente en la Agencia Española de Protección de Datos, donde pasó casi tres años.

Referencias:

* César Naveira Barrero en LinkedIn

* Elizabeth Renieris: On the illusion of control and the trade-offs of innovation (Masters of Privacy, marzo de 2021)

* Dictamen 22/2024 dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento (octubre de 2024)

* Robert Bateman: the EDPB’s Opinion on auditing subprocessors and the future of Meta’s unskippable ads (Masters of Privacy, noviembre de 2024)

* Javier Sempere: reclamaciones transfronterizas, sanciones por brechas declaradas y multas curiosas (Masters of Privacy, noviembre de 2025)

* Caso por responsabilidad derivada de la falta de control sobre los sub-encargados (incumplimiento del artículo 28 del RGPD) de una empresa de “streaming” (Tribunal Regional de Lübeck) [DE].

Feliz Día Internacional de la Protección de Datos Personales :) Después de mucho marear la perdiz toca aprovechar esta fecha especial a la pregunta más existencial de este gremio: ¿Cuándo debemos aceptar que estamos tratando datos personales? Desde los cuatro elementos de la definición del 4.1 RGPD hasta las sentencias más recientes del TJUE pasando por directrices, polémicas y una propuesta de modificación del Reglamento, hoy descuartizamos el melón con María Luisa González Tapia.

María Luisa es abogada en ejercicio con más de 20 años de experiencia, especializada en Derecho de las Nuevas Tecnologías, y en particular, en Protección de Datos Personales. Actualmente es Counsel del Despacho Ramón y Cajal Abogados, desde donde asesora en materia de protección de datos a entidades privadas de distintos sectores y a Administraciones Públicas. Es DPD certificada según el esquema de la Agencia Española de Protección de Datos, CIPP/E, CIPP/US y Lead Auditor 27001. Desde el año pasado, forma parte de la Junta Directiva de APEP IA.

Referencias:

* María Luisa González Tapia en LinkedIn

* Ramón y Cajal Abogados

* APEP-IA

* Episodio especial 28 enero de 2025 con Borja Adsuara: Protección de datos vs. privacidad e intimidad