La Unión Europea se encuentra inmersa en un proceso de reordenación de su marco normativo digital. A través del denominado Digital Omnibus, la Comisión Europea persigue introducir ajustes puntuales en normas ya consolidadas, como el Reglamento General de Protección de Datos (RGPD), con el objetivo de asegurar su coherencia práctica con el conjunto del nuevo paquete regulatorio digital y reducir la carga regulatoria que soportan las empresas.
Es en este contexto donde el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) han emitido su Opinión conjunta 2/2026, en la que analizan, entre otros aspectos, el alcance del interés legítimo como posible base jurídica para el tratamiento de datos personales en el desarrollo e implementación de modelos o sistemas de inteligencia artificial; así como la propuesta de una nueva excepción para el tratamiento de datos biométricos.
En este análisis, las autoridades reconocen que, conforme a la propuesta de la Comisión, el interés legítimo podría resultar aplicable en determinados supuestos. No obstante, advierten de que la redacción actual del precepto propuesto se limita a una habilitación genérica, carente de criterios interpretativos adicionales, lo que genera una notable inseguridad jurídica.
Por ello, si la redacción propuesta se mantiene en el texto definitivo del RGPD, las autoridades de protección de datos consideran necesario introducir algunas aclaraciones. En particular, recuerdan que los responsables del tratamiento que quieran basarse en el interés legítimo deberán realizar, en todo caso, un análisis documentado sobre si el interés es legítimo, necesario y proporcional para comprobar si esta base jurídica es adecuada. Asimismo, valoran positivamente la referencia al “derecho incondicional de oposición”, aunque recomiendan precisar que este derecho debe comunicarse a los interesados antes de iniciar el tratamiento en sistemas de IA, para que pueda ejercerse desde el primer momento, teniendo en cuenta que la eliminación posterior de los datos puede resultar técnicamente compleja.
Finalmente, ambas autoridades valoran positivamente la propuesta de introducir una nueva excepción, de alcance general, a la prohibición del tratamiento de categorías especiales de datos prevista en el artículo 9 del RGPD, referida exclusivamente al uso de datos biométricos con fines de autenticación, es decir, de verificación de identidad.
Dicha excepción se circunscribe a los supuestos en los que el tratamiento resulte estrictamente necesario para confirmar la identidad declarada del interesado, mediante una verificación basada en una comparación uno a uno, y no mediante mecanismos de identificación uno a varios.
Las autoridades consideran admisible esta excepción en la medida en que los datos biométricos o los medios técnicos necesarios para la verificación permanezcan bajo el control exclusivo del propio interesado, y siempre que el tratamiento respete de forma estricta los principios de necesidad y proporcionalidad. En todo caso, deberá priorizarse el uso de métodos alternativos menos intrusivos siempre que permitan alcanzar razonablemente la misma finalidad sin generar un impacto desproporcionado sobre los derechos y libertades fundamentales de los interesados.