La filtración del denominado “compromise proposal” del Consejo en el marco del Digital Omnibus europeo, que elimina finalmente la propuesta de revisión de la definición de dato personal en el RGPD, constituye un episodio particularmente revelador de la tensión estructural que atraviesa actualmente el Derecho europeo de protección de datos. Más allá de su dimensión coyuntural, lo verdaderamente relevante es que este movimiento legislativo —o, más propiamente, su retirada— pone de manifiesto hasta qué punto la definición de “dato personal” sigue siendo el núcleo dogmático irreductible del sistema.
La propuesta inicial de la Comisión pretendía introducir una precisión de notable calado: excluir del concepto de dato personal aquella información respecto de la cual el sujeto que la posee no dispone de “medios razonablemente probables” para identificar al interesado. En términos funcionales, se trataba de trasladar al texto normativo una lectura contextual de la identificabilidad, inspirada en la jurisprudencia del TJUE, en particular en asuntos como SRB v EDPS. Esta reformulación suponía, en la práctica, una relativización del concepto de dato personal, dependiente de la posición concreta del sujeto que trata la información.
Sin embargo, la reacción institucional ha sido contundente. Autoridades de protección de datos, incluido el EDPB y el EDPS, han rechazado frontalmente la propuesta por considerar que excede una mera clarificación técnica y conduce a una restricción sustancial del ámbito de aplicación del RGPD. En esta misma línea, diversos análisis han advertido que la redefinición podría “estrechar significativamente” el concepto de dato personal y, con ello, debilitar el nivel de protección garantizado por el ordenamiento europeo.
La consecuencia de esta presión regulatoria y doctrinal ha sido la supresión íntegra de la reforma en el texto de compromiso. Los Estados miembros han optado por mantener la definición vigente, evitando reabrir un debate que afecta directamente al alcance material del derecho fundamental a la protección de datos. Este desenlace no debe interpretarse como una mera decisión política coyuntural, sino como la reafirmación de un principio estructural: la amplitud del concepto de dato personal constituye una garantía esencial del sistema europeo.
Desde una perspectiva dogmática, la cuestión de fondo es bien conocida. El RGPD define el dato personal en términos amplios, vinculándolo a la posibilidad de identificar directa o indirectamente a una persona física. Esta amplitud ha permitido al TJUE desarrollar una interpretación expansiva basada en la identificabilidad potencial, atendiendo a los medios razonablemente utilizables y no únicamente a la identificación efectiva. La propuesta de reforma pretendía introducir un elemento de relativización subjetiva —dependiente del conocimiento o capacidad del sujeto concreto— que, en última instancia, podía fragmentar la aplicación del RGPD en función de cada operador.
Este riesgo de fragmentación es, precisamente, uno de los elementos más problemáticos desde la perspectiva del Derecho internacional privado. Si la calificación de un dato como “personal” depende de la posición concreta de cada entidad, se debilita la uniformidad del sistema y se introduce un grado de incertidumbre incompatible con la lógica de armonización plena que inspira el RGPD. La eliminación de la reforma preserva, en este sentido, la coherencia estructural del modelo europeo y evita una posible erosión de su dimensión transfronteriza.
No obstante, la retirada de la propuesta no implica que el problema subyacente haya desaparecido. Antes al contrario, pone de relieve una tensión no resuelta entre dos modelos conceptuales. Por un lado, un modelo objetivo, en el que el dato personal se define de forma amplia y abstracta, garantizando un elevado nivel de protección. Por otro, un modelo funcional, que pretende adaptar la calificación jurídica a las circunstancias concretas del tratamiento, introduciendo criterios de proporcionalidad y razonabilidad vinculados a la identificabilidad efectiva.
En este contexto, resulta particularmente significativo que la solución adoptada por el Consejo no haya sido la reforma legislativa, sino el desplazamiento hacia instrumentos de soft law, en particular orientaciones del EDPB sobre pseudonimización y técnicas de anonimización. Este movimiento sugiere una estrategia regulatoria distinta: preservar la integridad del concepto jurídico de dato personal, pero modular su aplicación práctica mediante criterios interpretativos más flexibles.
Desde una perspectiva más amplia, el episodio del Digital Omnibus refleja una cuestión de fondo que trasciende la técnica jurídica: la tensión entre competitividad económica e intensidad de la protección de derechos fundamentales en el entorno digital. Las propuestas de “simplificación” del RGPD se han presentado como instrumentos para reducir cargas administrativas y favorecer la innovación, pero han sido percibidas, al mismo tiempo, como potenciales vectores de debilitamiento del sistema de garantías. Este equilibrio, lejos de estar resuelto, seguirá siendo uno de los ejes centrales del desarrollo del Derecho digital europeo.
En definitiva, la eliminación de la redefinición del concepto de dato personal confirma que el RGPD continúa anclado en una concepción amplia y estructural de la protección de datos, donde la noción de identificabilidad opera como un criterio expansivo y no restrictivo. Lejos de cerrarse, el debate se desplaza ahora hacia el terreno interpretativo, donde la jurisprudencia y las autoridades de control seguirán desempeñando un papel decisivo en la delimitación práctica del concepto.
La lección que puede extraerse es clara: en el Derecho europeo de protección de datos, las categorías fundamentales —y en particular la de dato personal— no son meros elementos técnicos susceptibles de ajuste coyuntural, sino piezas estructurales del sistema, cuya modificación implica necesariamente una reconsideración profunda del equilibrio entre innovación, mercado y derechos fundamentales.
