El Omnibus Digital: erosionando la protección y los derechos de los trabajadores
El paquete de «simplificación» de la Comisión Europea es, en realidad, una intervención desreguladora que debilita los derechos de los trabajadores en materia de datos.
La Comisión Europea ha presentado sistemáticamente el Paquete Ómnibus Digital como un ejercicio de simplificación técnica. Este argumento es difícil de sostener: en esencia, el Paquete Ómnibus funciona como una intervención desreguladora, que remodela la legislación digital de la UE de manera que debilita las salvaguardias existentes.
Este ha sido el objetivo de la actual Comisión casi desde el primer día, estrechamente relacionado con la competitividad y las estrategias de reducción de costes. En su discurso sobre el estado de la Unión de 2025, la presidenta Von der Leyen reiteró que «tenemos que facilitar los negocios en Europa» y que «los paquetes Omnibus que hemos presentado hasta ahora marcarán una diferencia real. Menos papeleo, menos solapamientos, menos normas complejas».
La intención de este artículo es demostrar que la Omnibus Digital aplica una lógica desreguladora, debilitando la protección no mediante la derogación formal de las normas existentes, sino a través de opciones de diseño normativo que redistribuyen la responsabilidad, la discrecionalidad y la supervisión. El artículo aborda en primer lugar una desventaja estructural para los trabajadores y, a continuación, algunas modificaciones específicas que se derivan directamente de la reasignación de las prioridades políticas, alejándolas de los derechos sociales y laborales o, como argumenta Alemanno, alejándolas de los actores judiciales y legislativos hacia sistemas de cumplimiento administrativos y privados.
Desventajas estructurales para las y los trabajadores y sus representantes
Formalmente hablando, el Omnibus Digital no modifica el acervo laboral de la UE. La protección laboral de la UE está configurada constitucionalmente por la participación y la representación colectivas. Los artículos 152 a 155 del Tratado de Funcionamiento de la Unión Europea reconocen a los interlocutores sociales e institucionalizan el diálogo social, mientras que los artículos 27 y 28 de la Carta de los Derechos Fundamentales protegen la información, la consulta y la negociación colectiva. El artículo 31 de la Carta consagra unas condiciones de trabajo justas y equitativas.
Sin embargo, el Omnibus Digital rediseña la gobernanza digital de la UE y la reorienta alejándola de los procesos colectivos e institucionales, acelerando su individualización. La responsabilidad se traslada a las organizaciones individuales y a la infraestructura en general. Este diseño normativo, que trata el cumplimiento como algo principalmente interno de las organizaciones, no se ajusta a la arquitectura procedimental y colectiva a través de la cual se supone que debe funcionar en la práctica la protección laboral de la UE, especialmente en los lugares de trabajo basados en datos, donde el poder se ejerce a través de sistemas sociotécnicos que los trabajadores y sus representantes no controlan.
Si se aprueba, es probable que el Omnibus debilite la aplicabilidad de los derechos en el contexto laboral. Los trabajadores y sus representantes tendrán menos posibilidades de obtener información suficiente, cuestionar decisiones, obtener justificaciones y recurrir decisiones ante las autoridades o los tribunales, y de hacerlo a tiempo para evitar daños. En el contexto laboral, donde las asimetrías de información son omnipresentes, el debilitamiento de esta infraestructura de aplicabilidad perjudicará de manera desproporcionada a los trabajadores y a los interlocutores sociales.
Modificaciones con las repercusiones más significativas para el trabajo
Estos efectos estructurales se derivan directamente de modificaciones específicas de la Omnibus con consecuencias de gran alcance para la protección de los trabajadores.
La redefinición de los datos personales (artículo 4, apartado 1, considerando 34 del RGPD)
Una de las modificaciones propuestas en la Omnibus introduce un cambio importante en la definición de datos personales. Actualmente, los datos personales se definen como «toda información sobre una persona física identificada o identificable («el interesado»)», mientras que «una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física».
La modificación introduce la siguiente adición: «La información relativa a una persona física no es necesariamente un dato personal para todas las demás personas o entidades, por el mero hecho de que otra entidad pueda identificar a esa persona física. La información no será personal para una entidad determinada cuando dicha entidad no pueda identificar a la persona física a la que se refiere la información, teniendo en cuenta los medios que razonablemente pueda utilizar dicha entidad. Dicha información no se convierte en personal para esa entidad por el mero hecho de que un posible destinatario posterior disponga de medios que razonablemente puedan utilizarse para identificar a la persona física a la que se refiere la información».
Esta propuesta de enmienda ómnibus debilita fundamentalmente el concepto de datos personales y reduce el alcance material de la protección de datos. Al afirmar que la información no es un dato personal para una entidad cuando esta no puede identificar al individuo, incluso si otra entidad puede hacerlo, la propuesta hace que la aplicabilidad de la ley de protección de datos dependa de la perspectiva del responsable y los encargados del tratamiento.
Esto convierte la definición de datos personales en una evaluación subjetiva y fragmentada. En la práctica, casi cualquier conjunto de datos puede caracterizarse como no personal estructurando el tratamiento entre múltiples encargados del tratamiento, proveedores o sistemas. Para los trabajadores, esto es especialmente perjudicial: los datos de los trabajadores se tratan habitualmente a través de complejas cadenas en las que intervienen empleadores, proveedores de software y otros encargados del tratamiento. Con este enfoque, cada parte implicada puede alegar que no puede identificar a los trabajadores por sí sola, incluso cuando la identificación es posible en el conjunto del sistema. Como resultado, grandes categorías de datos de los trabajadores corren el riesgo de quedar fuera del ámbito de aplicación del Reglamento General de Protección de Datos, lo que socava la protección efectiva de los derechos de los trabajadores en materia de datos.
Este es el elemento más peligroso del Omnibus Digital. Al convertir los datos personales en un concepto relativo, se corre el riesgo de excluir gran parte de los datos de los trabajadores de la protección por diseño. Esta enmienda debe ser rechazada de plano.
La redefinición de la investigación científica (artículo 4, apartado 38, del RGPD)
Otro concepto que la Comisión quiere redefinir es el de «investigación científica». La intención es ampliar la interpretación actual del concepto para abarcar «cualquier investigación que pueda apoyar la innovación, como el desarrollo tecnológico y la demostración». La enmienda añade además que «esto no excluye que la investigación pueda tener también como objetivo promover un interés comercial».
Aunque los considerandos 29 a 32 de la propuesta ómnibus hacen hincapié en que la definición ampliada sigue estando sujeta a los principios y garantías del RGPD, no especifican cómo deben funcionar esas garantías en contextos de asimetría de poder, como el empleo, ni recalibran la interacción con el artículo 88 del RGPD, que permite a los Estados miembros adoptar normas para el tratamiento de datos en el ámbito laboral. Esto, como señala NOYB, crea una importante incertidumbre jurídica. Igualmente importante es que borra la distinción entre la producción de conocimiento (investigación) y el ejercicio del poder (gestión), lo que permite que el tratamiento de datos en el lugar de trabajo se caracterice como investigación y debilita la esencia de la limitación de la finalidad en el lugar de trabajo.
Datos sensibles «residuales»
Los riesgos que plantea la redefinición de «datos personales» e «investigación científica» se ven agravados por otra enmienda del Omnibus, que introduce una nueva base jurídica que permite el tratamiento de categorías especiales de datos personales para el desarrollo y el funcionamiento de los sistemas de IA (considerando 33). En la práctica, la enmienda permite que las categorías especiales de datos personales sigan existiendo de forma residual en el entrenamiento, las pruebas o la validación de conjuntos de datos, o que se conserven en los sistemas o modelos de IA, incluso cuando dichos datos no sean necesarios para la finalidad del tratamiento.
La enmienda también señala que, con el fin de no obstaculizar de manera desproporcionada el desarrollo y el funcionamiento de la IA y teniendo en cuenta la capacidad del responsable del tratamiento para identificar y eliminar categorías especiales de datos personales, se debe permitir la derogación de la prohibición de tratar categorías especiales de datos personales prevista en el artículo 9, apartado 2.
Se trata de un cambio importante con respecto a la lógica actual del RGPD, en la que los datos sensibles están estrictamente protegidos desde el principio. La enmienda permite que los datos sensibles existan dentro de los modelos y sistemas de IA siempre que se describan como «residuales». De facto, esto significa que se puede tratar información muy sensible sin el conocimiento o el control efectivo de los interesados.
Además, las salvaguardias solo se aplican después de que los datos sensibles hayan entrado en el sistema, y los responsables del tratamiento deben eliminarlos una vez identificados. Esto debilita la protección preventiva, una característica esencial del RGPD, y da prioridad a la eficiencia del sistema sobre los derechos de los trabajadores. Por último, se introduce el concepto de «esfuerzo desproporcionado» como motivo para no eliminar los datos. Para los interesados, esto significa que las molestias técnicas prevalecen sobre sus derechos fundamentales. En la práctica, la enmienda normaliza un nivel de protección más bajo y la presencia de datos sensibles de los trabajadores en los sistemas y modelos de IA utilizados para la evaluación, la supervisión y la toma de decisiones.
La toma de decisiones automatizada como necesidad contractual (artículo 22, apartados 1 y 2, del RGPD)
Según la interpretación anterior del artículo 22, la toma de decisiones automatizada solo se permitía cuando era necesaria para ejecutar un contrato y no existía ninguna alternativa no automatizada. Una enmienda ómnibus propone modificar esta lógica y permitir la toma de decisiones automatizada incluso cuando la decisión pueda tomarse sin medios automatizados.
Esto rompe el vínculo entre la automatización y la necesidad y permite a los responsables del tratamiento utilizar la toma de decisiones automatizada como una cuestión de elección operativa y no como una medida indispensable. La enmienda elimina el requisito de evaluar si existen alternativas menos intrusivas. Esto crea un incentivo para ampliar la automatización, especialmente en contextos como la contratación, la evaluación del rendimiento y la rescisión de contratos. Para los trabajadores, esto puede suponer una exposición más frecuente a decisiones automatizadas con una participación humana significativa limitada y menos oportunidades de impugnar los resultados. Desde el punto de vista de la protección de los trabajadores, la enmienda al artículo 22 no debería seguir adelante en su forma actual.
El derecho de acceso (artículo 15 del RGPD)
Las enmiendas ómnibus también introducen limitaciones al derecho de acceso, permitiendo a los responsables del tratamiento restringir o denegar las solicitudes de acceso por motivos tales como el esfuerzo desproporcionado o la repetitividad. Aunque se presentan como excepcionales, estas limitaciones están formuladas de manera amplia y corren el riesgo de convertirse en algo habitual en entornos complejos de tratamiento de datos.
El derecho de acceso funciona como un derecho de acceso, que permite a las personas comprender y cuestionar el tratamiento de datos, incluyendo la elaboración de perfiles y la toma de decisiones automatizada.
Es una condición previa para el ejercicio efectivo de otros derechos de protección de datos, tal y como confirman la jurisprudencia del Tribunal de Justicia de la Unión Europea y las directrices del Comité Europeo de Protección de Datos. En el contexto laboral, donde las asimetrías de información son estructurales, las solicitudes de acceso son a menudo el único medio para que los trabajadores y sus representantes descubran las prácticas basadas en datos. Es la condición previa funcional para casi toda protección significativa contra la gestión basada en datos.
El diseño normativo como motor del debilitamiento de la aplicación
El Digital Omnibus se presenta como una simplificación técnica, pero sustituye los umbrales legales claros por evaluaciones dependientes del contexto. Como señala NOYB, esto traslada la carga de la interpretación a las autoridades de control, que deben evaluar las solicitudes de anonimización, las pruebas de proporcionalidad, la calidad de la investigación científica y las salvaguardias específicas de la IA sin recursos adicionales. La cuestión no es la capacidad institucional para realizar evaluaciones complejas, sino el efecto acumulativo de un diseño normativo que multiplica dichas evaluaciones y reduce al mismo tiempo la influencia procesal de las personas afectadas.
En el contexto laboral, donde las asimetrías de poder ya limitan las denuncias individuales, el retraso o el debilitamiento de la aplicación de la ley socava la eficacia práctica de los derechos. La misma dinámica afecta a la interacción con la Ley de IA, ya que la legislación en materia de protección de datos sigue siendo una capa clave de aplicación de la ley para la IA en el lugar de trabajo en virtud de la Ley de IA, lo que significa que los derechos formales pueden persistir, pero su aplicabilidad se vuelve más incierta y fragmentada.
Conclusión
La Ley Ómnibus Digital aplica una lógica desreguladora, debilitando la protección no mediante la derogación formal de las normas existentes, sino a través de opciones de diseño normativo que redistribuyen la responsabilidad, la discrecionalidad y la supervisión. Al reducir el alcance de los datos personales, ampliar el concepto de investigación científica y permitir el tratamiento residual de datos sensibles en los sistemas de IA, erosiona la aplicabilidad y la influencia procesal. En combinación con evaluaciones dependientes del contexto que aumentan la carga interpretativa para las autoridades, estos cambios perjudican de manera desproporcionada a los trabajadores, especialmente en lugares de trabajo con asimetrías de poder y basados en datos. De este modo, la Ley Ómnibus ejemplifica la desregulación a través del diseño: los derechos permanecen sobre el papel, pero su aplicabilidad se vuelve más limitada, fragmentada e incierta.
Fuente: https://www.socialeurope.eu/the-digital-omnibus-eroding-worker-protection-and-rights
