O Digital Omnibus: Ocos da Lei por Onde se Seguirá Colando o Rastreo

A proposta de Regulamento Ómnibus Digital, publicada pola Comisión Europea en novembro de 2025, promete ser a gran simplificación do marco de privacidade europeo. O seu obxectivo é nobre: acabar coa “fatiga do consentimento” que sofren millóns de usuarios ante a avalancha de banners de cookies .

Pero entre a letra fina da proposta (153 páxinas) escóndense ocos legais, ambigüidades e excepcións que ameazan con baleirar de contido a reforma . Este artigo analiza os cinco buracos negros por onde o rastreo publicitario seguirá colándose, a pesar da nova lei.

---

1. A Excepción dos Medios: O Agasallo do Lobby

O oco máis flagrante está no artigo 88b(3) da proposta. Mentres que a norma xeral obriga a todos os sitios web a respectar os sinais automáticos de privacidade do navegador (o “non” global do usuario), os “prestadores de servizos de medios” quedan exentos .

O problema: A proposta non define con claridade quen entra nesta categoría nin como se aplica. Iacob Gammeltoft, director de políticas de News Media Europe, advertía:

“Esixiría ás empresas de adtech decidir quen é un prestador de servizos de medios segundo a Lei Europea de Liberdade de Medios… para asegurarse de que non están nunha zona vermella legal” .

Na práctica, os intermediarios tecnolóxicos (redes publicitarias, SSPs, DSPs) enfrontaranse a un dilema: se interpretan a exención de forma ampla e se equivocan, enfróntanse a multas millonarias. A resposta previsible será a aversión ao risco: tratar a todos como suxeitos á norma xeral, baleirando a exención de contido. Ou peor: só as grandes corporacions mediáticas con equipos legais poderán beneficiarse, creando un campo de xogo desigual.

Como sinalaba un experto, “se os medios poden ignorar o sinal, non simplificamos – só escribimos a concesión ao lobby na lei” .

2. O “Si” Imposible: Sinais de Navegador que só Saben Dicir Non

A gran innovación do Ómnibus son os sinais automatizados de preferencia (artigo 88b). O usuario configura a súa elección unha vez no navegador, e todos os sitios deben respectala .

Pero hai un problema técnico-xurídico de fondo: os sinais de navegador son excelentes para dicir “non”, pero incapaces de expresar un “si” legalmente válido baixo o RXPD .

Por que? Porque o consentimento baixo a lei europea debe ser:

• Específico: non pode ser categórico (“acepto márketing”).
• Informado: o usuario debe saber exactamente quen (qué 895 socios) tratarán os seus datos.
• Inequívoco: debe ser un acto afirmativo claro.

Un sinal de navegador que diga “acepto publicidade” non pode, por deseño, coñecer cada script, SDK ou tracker que un sitio web concreto vai cargar nese momento . Como sinala Ronni K. Gothard Christiansen, enxeñeiro de privacidade:

“Os sinais de navegador son un excelente ‘non’ na UE. Non son un ‘si’ legal” .

A consecuencia: Os banners non van desaparecer. Van convivir cos sinais do navegador. O usuario dirá “non” unha vez no navegador, pero cando queira dicir “si” a un sitio concreto (por exemplo, para apoiar un medio), terá que enfrentarse de novo ao banner tradicional con listas interminables de socios. A fatiga do consentimento redúcese, pero non desaparece .

3. Excepcións Vagas: O Cabalo de Troia da “Seguridade” e a “Medición de Audiencia”

O artigo 88a(3) introduce unha lista de excepcións nas que non se require consentimento para acceder ao equipo terminal do usuario . Son:

• Seguridade: manter ou restaurar a seguridade dun servizo.
• Medición de audiencia: crear información agregada sobre o uso dun servizo online, exclusivamente para uso interno do controlador.
• Transmisión da comunicación e prestación de servizos solicitados.

O problema: A definición é tan vaga que se presta a interpretacións maximalistas. Que é “seguridade”? Pode unha empresa rastrexar cada movemento do usuario en nome da “prevención da fraude”? Pode un terceiro provedor de seguridade basearse nesta excepción? Unha análise xurídica sinala que “non está claro como se interpretará esta disposición, especialmente en relación con provedores de seguridade terceiros” .

A excepción de medición de audiencia é especialmente problemática. Permítese sen consentimento sempre que sexa para “uso exclusivo interno”. Pero na práctica, a medición de audiencia está frecuentemente externalizada a terceiros como Google Analytics ou Chartbeat. A proposta non aclara se eses servizos, aínda que sexan para “uso interno”, poden operar sen consentimento cando implican transferencia a terceiros .

O risco é que estas excepcións se convertan no cabalo de Troia por onde entre o rastreo masivo baixo a escusa da “seguridade” ou a “mellora do servizo”.

4. O Poder Concentrado nos Navegadores (Controlados polos Mesmos de Sempre)

O Ómnibus traslada o poder de decidir sobre a privacidade dos sitios web aos navegadores e sistemas operativos . En teoría, é un avance. En práctica, concentra un poder descomunal en catro empresas: Google (Chrome, 60%+ do mercado), Apple (Safari), Microsoft (Edge) e Mozilla (Firefox) .

O problema é triplo:

1. Incentivos contraditorios: Google vive da publicidade. Apple vende dispositivos premium e usa a privacidade como vantaxe competitiva. Microsoft ten o seu propio negocio publicitario. Cada navegador implementará os sinais de privacidade de forma que beneficie os seus intereses comerciais .
2. Falta de estandarización: A proposta non especifica o formato técnico dos sinais. Deixa que os navegadores o definan. Isto creará un mosaico de implementacións inconsistentes .
3. Poder de veto: Se un navegador decide que a “seguridade” do dispositivo require certos tipos de rastreo, ou que a súa interpretación da excepción de medios é particularmente laxa, a súa decisión imponse a toda a web .

Thomas Lue Lytzen, director de Ekstra Bladet, resumíao así:

“Os requisitos de consentimento formalizados e o consentimento controlado polo navegador só limitan aínda máis as opcións dos editores e entregan poder aos navegadores” .

5. O Consentimento Capeado a Seis Meses (e os Datos Históricos)

A proposta establece que, cando un usuario rexeita, non se lle pode volver pedir consentimento para o mesmo fin durante un período mínimo de seis meses .

Iso significa que o “consentimento dunha vez” non é realmente para sempre. É para seis meses. Pasado ese prazo, o banner volverá aparecer. A fatiga do consentimento non desaparece, espáciase .

Pero hai un problema máis profundo: os datos históricos. Que pasa cos datos que as empresas recopilaron durante anos baixo banners deseñados para enganar, con botóns de rexeitar escondidos? A proposta non o aclara . Probablemente, as empresas poidan manter e usar eses datos históricos. O cambio só afecta ao rastreo futuro.

Isto significa que anos de recollida de datos baixo prácticas cuestionables quedan convalidados de facto. O usuario pode evitar o rastreo futuro, pero o seu perfil xa construído segue en mans das empresas.

6. A Elasticidade do Concepto “Datos Personais”

Un cambio sutil pero profundo introducido no RXPD é a nova definición de datos persoais. A proposta incorpora a doutrina do TJUE que establece que, se a reidentificación non é razoablemente posible para quen trata os datos, estes deixan de considerarse datos persoais .

Isto abre a porta a que moitos datos utilizados para publicidade (hashes de correos, identificadores pseudonimizados, inferencias) sexan considerados “non persoais” e queden fóra do ámbito de protección do RXPD .

Organizacións como Finance Watch alertan de que os “datos inferidos ou derivados” (predicións de estado de saúde, crenzas relixiosas, orientación sexual) poderán tratarse máis amplamente baixo o réxime de interese lexítimo, especialmente para adestrar modelos de IA .

Conclusión: Unha Lei que Move as Cadeas, pero non as Rompe

O Digital Omnibus é necesario. Aborda a fatiga do consentimento e simplifica un marco legal complexo e contraditorio. Os banners serán menos molestos e rexeitar será (teoricamente) máis doado .

Pero os problemas fundamentais permanecen:

• As empresas seguen tendo incentivos económicos masivos para rastrexar. Ningunha lei de consentimento elimina ese feito. Mentres haxa diñeiro no rastreo, atoparanse formas de facelo .
• As excepcións vagas (medios, seguridade, medición) serán interpretadas da forma máis ampla posible, creando anos de litixio e incerteza .
• O poder non desaparece, trasládase: dos sitios web aos navegadores, controlados polas mesmas grandes tecnolóxicas que viven da publicidade .
• A brecha entre grandes e pequenos agrándase. As plataformas con equipos legais e audiencias rexistradas (os “walled gardens”) sortearán a lei con facilidade mentres os editores independentes loitan por sobrevivir .

A proposta non é unha solución a un problema de economía política. É unha solución a un problema de deseño de interfaces. Mentres a arquitectura fundamental de internet permita o rastreo masivo e a publicidade comportamental sexa o modelo de negocio dominante, ningunha directiva, por ben intencionada que sexa, vai resolver o problema de fondo.

O Digital Omnibus é o que podemos facer dentro do sistema actual. Pero non vai resolver a crise de privacidade. Vai simplemente facela máis ordenada, máis visible e, quizais, máis tolerable. Pero os datos seguirán fluíndo. Só cambiarán as tubaxes.