lunes, 4 de mayo de 2026

Una Década del RGPD

Fuente de la imagen: Cambios en la ley española de protección de datos  (Velasco, 2023)
M. Velasco, 2026. Una Década del RGPD: Hacia una Protección de Datos más Simple, Justa y Eficaz en la Era de la Inteligencia Artificial - A Decade of the GDPR: Towards Simpler, Fairer, and More Effective Data Protection in the Age of Artificial Intelligence

Resumen: Al cumplirse diez años de la publicación del Reglamento General de Protección de Datos (RGPD), la Unión Europea se encuentra en una encrucijada regulatoria definida por la madurez de un modelo que ha inspirado al mundo y, simultáneamente, por la necesidad de adaptarlo a una realidad tecnológica dominada por la Inteligencia Artificial (IA) y el procesamiento de datos no estructurados. Se analiza la evolución del marco normativo desde 2016 hasta 2026, examinando las críticas sobre la carga administrativa impuesta a las pequeñas y medianas empresas (pymes) y la fricción existente entre los principios de minimización y las necesidades de entrenamiento de modelos masivos de lenguaje. A través del estudio de las propuestas del European Law Institute (ELI) y las recientes directrices del Comité Europeo de Protección de Datos (EDPB), se argumenta a favor de una reforma dirigida que transite hacia un enfoque basado en el riesgo de tres niveles, permitiendo un equilibrio entre la innovación tecnológica, la investigación científica y la salvaguarda de los derechos fundamentales. Se incluyen ejemplos prácticos sobre la gestión de consentimientos dinámicos y la problemática de los datos "oscuros" en las organizaciones actuales.

Palabras clave: RGPD, Protección de Datos, Inteligencia Artificial, Pymes, Innovación, Derechos Fundamentales, Digital Omnibus.

Abstract: Ten years after the publication of the General Data Protection Regulation (GDPR), the European Union finds itself at a regulatory crossroads defined by the maturity of a model that has inspired the world and, simultaneously, by the need to adapt it to a technological reality dominated by Artificial Intelligence (AI) and the processing of unstructured data. This article analyzes the evolution of the regulatory framework from 2016 to 2026, examining criticisms of the administrative burden imposed on small and medium-sized enterprises (SMEs) and the friction between the principles of data minimization and the training requirements of massive language models. Through an analysis of proposals from the European Law Institute (ELI) and recent guidelines from the European Data Protection Board (EDPB), this paper argues for a targeted reform that shifts towards a three-tiered, risk-based approach, enabling a balance between technological innovation, scientific research, and the safeguarding of fundamental rights. Practical examples are included regarding the management of dynamic consent and the challenges posed by "dark" data in today's organizations.

Keywords: GDPR, Data Protection, Artificial Intelligence, SMEs, Innovation, Fundamental Rights, Digital Omnibus.

1. Introducción

En mayo de 2016, la Unión Europea publicó el Reglamento (UE) 2016/679, conocido como el Reglamento General de Protección de Datos (RGPD), marcando un hito en la historia del derecho a la privacidad y la autodeterminación informativa (Parlamento Europeo y el Consejo, 2016). Durante esta década, el reglamento ha transformado la cultura operativa de las empresas dentro del mercado interior, proyectando lo que se conoce como el "efecto Bruselas", inspirando leyes de privacidad en jurisdicciones tan diversas como California, Brasil e India (Clifford Chance, 2025). Pero la resiliencia de los patrones regulatorios del RGPD, muchos de los cuales fueron diseñados en las décadas de 1980 y 1990 bajo una lógica de bases de datos estructuradas, se enfrenta hoy a desafíos existenciales ante el despliegue masivo de modelos de inteligencia artificial general (ELI, 2025).

La situación actual revela que, si bien la conciencia ciudadana sobre la importancia de sus datos personales ha alcanzado niveles históricos, la implementación práctica del reglamento ha generado una complejidad que a menudo desborda a los actores más pequeños de la economía (ELI, 2025). El Informe Draghi sobre la competitividad europea ya advertía que una aplicación indiscriminada de las obligaciones del RGPD podría estar frenando la innovación en el continente, especialmente debido a las divergencias en la ejecución por parte de las autoridades nacionales y las inconsistencias con nuevas piezas legislativas como la Ley de IA (ELI, 2025). Por tanto, la discusión actual se centra en su "reinvención" para transitar desde un mero cumplimiento reactivo basado en listas de verificación hacia una gobernanza de datos proactiva y automatizada (Aparavi, 2026).

2. El Reto de la Inteligencia Artificial y los Datos No Estructurados

Uno de los principales problemas identificados en la presente década es la gestión de lo que se denomina datos no estructurados. Se estima que la gran mayoría de la información que fluye en las empresas modernas —correos electrónicos, documentos PDF, imágenes y grabaciones de voz— no reside en bases de datos tradicionales, lo que dificulta enormemente la visibilidad y el control necesarios para cumplir con derechos básicos como el de acceso o supresión (Aparavi, 2026). En este contexto, surge el concepto de "fuga de datos de nueva generación", donde incluso si los archivos originales están protegidos, las representaciones numéricas o "embeddings" utilizadas para entrenar modelos de IA pueden retener trazas de información personal, permitiendo ataques de inversión que reconstruyen datos sensibles (Aparavi, 2026).

Un ejemplo claro de esta fricción se observa en el ejercicio del derecho al olvido. Bajo el artículo 17 del RGPD original, el interesado tiene derecho a obtener la supresión de sus datos personales sin dilación (Parlamento Europeo y el Consejo, 2016). Pero en la era de los grandes modelos de lenguaje, no existe un botón de "borrado" sencillo para la memoria de una IA una vez que los datos han sido integrados en sus pesos neuronales (Aparavi, 2026). Las últimas propuestas legislativas sugieren que el ejercicio de estos derechos no debe implicar esfuerzos desproporcionados que destruyan la utilidad del modelo, siempre que se apliquen salvaguardas alternativas como el filtrado de salidas dañinas (ELI, 2025). Esta evolución marca un cambio de paradigma: la protección de datos deja de ser una condición estática para convertirse en una capacidad operativa integrada en el ciclo de vida del desarrollo tecnológico (Aparavi, 2026).

3. Hacia un Régimen Basado en el Riesgo de Tres Niveles

Para abordar la crítica sobre la carga excesiva que soportan las pymes, el European Law Institute ha propuesto una revisión del RGPD que introduzca una estructura de tres capas en función de la sofisticación del actor y la peligrosidad de su actividad (ELI, 2025). Este enfoque permitiría un "win-win" donde se reducen las obligaciones administrativas para actividades de mínimo riesgo, mientras se endurecen las salvaguardas frente a los grandes tratantes de datos o "gatekeepers" (ELI, 2025).
  • El Régimen Ligero: Diseñado para pymes, organizaciones sin fines de lucro y personas físicas cuya actividad principal no sea el tratamiento de datos. En este nivel, por ejemplo, el dueño de un pequeño hotel que procesa datos de huéspedes solamente para facturación no tendría que proporcionar avisos de privacidad extensos ni realizar análisis de impacto complejos, limitándose a garantizar la seguridad de la información y la licitud básica del tratamiento (ELI, 2025).
  • El Régimen Regular: Constituye el marco actual del RGPD y se aplicaría por defecto a todos aquellos casos que no encajen en los extremos de la escala de riesgo (ELI, 2025).
  • El Régimen Mejorado: Destinado a empresas de gran escala que procesan datos de cientos de miles de ciudadanos o que utilizan modelos de negocio basados en el perfilado masivo y la venta de bases de datos. Para estos actores, se proponen obligaciones adicionales como auditorías obligatorias anuales e independientes y la cooperación con sistemas automatizados de gestión de consentimiento (ELI, 2025).
Este modelo busca que la protección de datos sea proporcional al daño potencial que una actividad puede causar. Un ejemplo de esta proporcionalidad sería el tratamiento de datos de salud en una investigación universitaria pequeña versus el uso de datos biométricos para vigilancia masiva en espacios públicos; el segundo caso, por su propia naturaleza, requiere un nivel de escrutinio y trazabilidad significativamente superior (ELI, 2025).

4. La Investigación Científica y el Consentimiento Dinámico

El tratamiento de datos con fines científicos ha recibido una atención especial en las directrices publicadas en 2026. El EDPB ha subrayado que la investigación científica es un objetivo de los tratados de la Unión, lo que justifica ciertas flexibilidades en los principios de limitación de la finalidad y plazo de conservación (EDPB, 2026). La década pasada demostró que a menudo no es posible conocer todos los fines de una investigación en el momento de la recogida de los datos, lo que llevaba a una recolección inflada de consentimientos específicos que resultaban inoperantes para futuros descubrimientos (EDPB, 2026).

Como solución, se ha consolidado el uso del "consentimiento amplio" y el "consentimiento dinámico". El primero permite al interesado autorizar el uso de sus datos para áreas de investigación general (por ejemplo, estudios sobre oncología), siempre que se apliquen salvaguardas éticas y de supervisión independientes (EDPB, 2026). El segundo, apoyado en plataformas digitales y paneles de privacidad, permite a los investigadores mantener una comunicación bidireccional con los participantes, solicitando autorizaciones específicas a medida que el proyecto evoluciona (EDPB, 2026). Por ejemplo, un instituto de investigación que analiza el habla de personas con enfermedades neurológicas puede utilizar un sistema dinámico para informar a los participantes sobre el uso de sus grabaciones de voz en nuevos estudios de inteligencia artificial que no estaban previstos inicialmente, dándoles la opción de renovar su participación de forma sencilla (EDPB, 2026).

5. Enforcement y Tendencias Legales en el Horizonte

La ejecución de sanciones bajo el RGPD no ha mostrado signos de desaceleración. Para principios de 2025, el volumen acumulado de multas superaba los cinco mil millones de euros, con sanciones históricas contra gigantes tecnológicos por deficiencias en la seguridad de los datos y transferencias internacionales ilícitas (Aparavi, 2026). Casos como la multa millonaria a Meta por la transferencia de datos de ciudadanos europeos a servidores en Estados Unidos sin las garantías necesarias han forzado una revisión continua de los mecanismos de adecuación internacional (Clifford Chance, 2025).

Un fenómeno emergente en el mercado digital es el modelo de "Aceptar o Pagar" (Consent or Pay). En 2024 y 2025, el debate jurídico se intensificó sobre si el derecho a la protección de datos puede ser transformado en un servicio premium. Mientras que algunos defensores argumentan que esto permite un intercambio transparente de servicios gratuitos por publicidad personalizada, las autoridades de control han mostrado una gran cautela, señalando que en la mayoría de los casos este modelo no satisface los requisitos de un consentimiento verdaderamente libre (Clifford Chance, 2025). La tendencia para los próximos años apunta a la creación de un "Digital Omnibus" que unifique estos criterios, reduciendo la fragmentación que aún persiste entre los estados miembros (ELI, 2025).

6. La Propuesta del "Digital Omnibus" y la Armonización Europea

A pesar de ser un reglamento de aplicación directa, el RGPD ha sufrido una implementación fragmentada debido a los márgenes de maniobra dejados a los Estados miembros en áreas como la edad de consentimiento de los menores o el tratamiento en el contexto laboral (ELI, 2025). Esta divergencia ha sido especialmente perjudicial para la investigación científica transfronteriza, donde los investigadores se ven obligados a navegar por un laberinto de legislaciones nacionales que a menudo entran en conflicto (ELI, 2025).

La iniciativa de simplificación conocida como "Digital Omnibus" busca introducir disposiciones de conflicto de leyes que aseguren que un responsable del tratamiento pueda confiar, por norma general, en la ley del país donde está establecido (ELI, 2025). Además, se propone la creación de una Autoridad Europea de Protección de Datos que centralice la supervisión de los actores más grandes del mercado, eliminando la disparidad de criterios entre las agencias nacionales y acelerando los procedimientos sancionadores (ELI, 2025). Este paso hacia la centralización es visto por muchos académicos como el movimiento natural hacia una verdadera Unión de los Datos, similar al modelo que ya sigue la supervisión bancaria europea.

7. Salvaguardas Éticas y Tecnologías de Mejora de la Privacidad (PETs)

La adopción de salvaguardas es un requisito legal bajo el artículo 89 del RGPD, al tiempo que una necesidad ética para mantener la confianza pública en la tecnología (EDPB, 2026). En 2026, la industria ha comenzado a adoptar de forma masiva las Tecnologías de Mejora de la Privacidad (PETs, por sus siglas en inglés), como el aprendizaje federado, que permite entrenar modelos de IA sin necesidad de consolidar o mover los datos originales de su ubicación segura (Aparavi, 2026).

Otro ejemplo relevante es la privacidad diferencial, donde se añade ruido estadístico a los conjuntos de datos para que sea imposible rastrear a un individuo específico, permitiendo a la vez extraer patrones de conocimiento útiles para la sociedad (Aparavi, 2026). Estas medidas, junto con la seudonimización robusta —entendida como el reemplazo de nombres en el marco de un proceso dinámico de gestión de claves y barreras organizativas—, son las que permiten que la protección de datos sea un catalizador para la innovación responsable (EDPB, 2026). El ELI incluso propone prohibir taxativamente ciertas prácticas dañinas, como el uso de técnicas subliminales o "patrones oscuros" para inducir al usuario a revelar datos, estableciendo una lista negra de actividades que no podrían justificarse ni con el consentimiento del interesado (ELI, 2025).

8. Simplicidad, Justicia y Eficacia: Hacia una protección de datos que equilibre el riesgo y el desarrollo tecnológico

Una década después de su publicación, el RGPD se percibe simultáneamente como un cimiento de la identidad digital europea y como una estructura que comienza a mostrar signos de rigidez frente a la aceleración tecnológica (ELI, 2025). A continuación, se presenta una crítica sobre su implementación y su capacidad de respuesta ante los desafíos de 2026.

8.1. La falacia de la aplicación indiscriminada: El lastre para las Pymes

Uno de los puntos más críticos tras estos diez años es el enfoque de "talla única" (catch-all) que ha predominado en el RGPD. Mientras que las grandes corporaciones han integrado el cumplimiento como un coste operativo más, las pequeñas y medianas empresas se enfrentan a cargas administrativas desproporcionadas para actividades de riesgo mínimo (ELI, 2025). El Informe Draghi de 2024 ya advertía que esta aplicación indiscriminada está sofocando la competitividad europea (ELI, 2025).

Resulta irracional que un pequeño comercio local deba navegar por la misma complejidad burocrática que una plataforma multinacional. La propuesta de un régimen de tres niveles (ligero, regular y mejorado) parece una respuesta tardía pero necesaria para devolver la proporcionalidad al sistema, permitiendo que las autoridades de control centren sus escasos recursos en los casos de alto riesgo real (ELI, 2025).

8.2. El desafío de los datos no estructurados y la "oscuridad" informativa

El RGPD fue diseñado bajo una lógica de bases de datos estructuradas, pero en 2026 la realidad es que el 80% de la información empresarial es no estructurada (correos, imágenes, grabaciones) y crece a un ritmo del 60% anual (Aparavi, 2026). Las organizaciones actuales sufren de una alarmante falta de visibilidad: el 66% de los empleados admite no conocer el valor de los datos que maneja, lo que genera silos informativos "oscuros" (Aparavi, 2026).

Esta opacidad convierte el ejercicio de derechos, como el de acceso (Art. 15) o supresión (Art. 17), en un proceso manual, costoso y propenso al error (Aparavi, 2026). El modelo actual de cumplimiento reactivo —basado en reaccionar cuando llega una solicitud— resulta insostenible; la crítica aquí es que el RGPD ha fomentado una cultura de "lista de verificación" en lugar de una verdadera gobernanza proactiva integrada en la arquitectura técnica de las empresas (Aparavi, 2026).

8.3. La Inteligencia Artificial: ¿Protección o parálisis?

La fricción entre el RGPD y la Ley de IA es evidente. Los principios de minimización de datos y limitación de la finalidad chocan frontalmente con las necesidades de entrenamiento de los modelos masivos de lenguaje (ELI, 2025). Existe un riesgo real de que los innovadores europeos queden excluidos de los avances en IA debido a la incertidumbre regulatoria y a las divergencias en la aplicación del reglamento entre los Estados miembros (ELI, 2025).

Además, han surgido riesgos que el legislador de 2016 no pudo prever totalmente, como la fuga de datos a través de vectores de embedding (Aparavi, 2026). Incluso si los documentos originales están borrados, las representaciones numéricas en un modelo de IA pueden retener trazas de información personal recuperables mediante ataques de inversión (Aparavi, 2026). El RGPD necesita evolucionar hacia derechos más específicos, como el "derecho a no ser clonado" o el "derecho contra la mención dañina", que aborden el comportamiento de la IA generativa (ELI, 2025).

8.4. Fragmentación y el modelo "Aceptar o Pagar"

A pesar de ser un Reglamento, la protección de datos en la Unión sigue estando fragmentada. Las diferencias nacionales en temas como la edad de consentimiento para menores o el tratamiento de datos en el contexto laboral crean un laberinto para las empresas transfronterizas (ELI, 2025; Clifford Chance, 2025).

Un síntoma de la tensión del modelo es la controversia sobre los sistemas de "Consentimiento o Pago" (Clifford Chance, 2025). El debate sobre si la privacidad puede convertirse en un servicio premium ha dividido a los reguladores. Mientras que algunos lo ven como un intercambio transparente por servicios gratuitos, otros critican que crea una "brecha de privacidad" basada en el nivel económico del usuario (Clifford Chance, 2025). Esta falta de criterio unificado tras una década demuestra que los mecanismos de coherencia actuales son lentos frente a la dinámica del mercado digital (ELI, 2025).

9. El "Digital Omnibus" para una Protección de Datos de Nueva Generación

Esta propuesta se articula en cuatro contrafuertes diseñados para armonizar la privacidad con la innovación y reducir la asimetría regulatoria:

9.1. Implementación de un Régimen de Cumplimiento Basado en Riesgo de Tres Niveles

La crítica principal al RGPD actual es su aplicación "indiscriminada", que impone las mismas cargas a pequeñas empresas que a gigantes tecnológicos. Se propone una estructura modular:
  • Régimen Ligero (Small-scale controllers): Exención de la mayoría de las obligaciones administrativas para pymes y organizaciones sin fines de lucro cuya actividad principal no sea el tratamiento de datos y realicen actividades de bajo riesgo. Solamente mantendrían las obligaciones de seguridad y licitud básica.
  • Régimen Regular: El marco actual del RGPD aplicable por defecto.
  • Régimen Mejorado (Large-scale controllers): Aplicable a "guardianes de acceso" (gatekeepers) o entidades que procesen datos de más de 100,000 personas al año. Incluiría auditorías independientes obligatorias (Art. 39b) y la gestión automatizada del consentimiento.
9.2. Transición de la Cumplimiento Reactivo a la Gobernanza Proactiva de Datos

Dado que el 80% de la información empresarial actual es no estructurada (emails, imágenes, PDFs) y crece a un ritmo anual del 60%, el modelo de "reaccionar tras una solicitud" es ineficiente y costoso.
  • Gobernanza Automatizada: Se propone obligar a las grandes organizaciones a implementar herramientas de descubrimiento de datos impulsadas por IA que clasifiquen y mapeen la información en tiempo real.
  • Gestión de Datos "Oscuros": Establecer protocolos estrictos para la eliminación de datos redundantes, obsoletos o triviales (ROT), reduciendo así la superficie de exposición ante posibles fugas de seguridad.
9,3. Adaptación Normativa para la IA y la Investigación Científica

La fricción entre el RGPD y la Ley de IA crea incertidumbre jurídica que frena la competitividad europea.
  • Clarificación de la Base Legal para el Entrenamiento de IA: Introducir explícitamente el entrenamiento, validación y prueba de modelos de IA como un "interés legítimo", siempre que se apliquen salvaguardas técnicas como la privacidad diferencial o el aprendizaje federado.
  • Consentimiento Broad y Dinámico: Formalizar el uso de consentimiento amplio para áreas de investigación científica donde los fines no pueden definirse totalmente al inicio, y el consentimiento dinámico para permitir una comunicación bidireccional continua con el interesado a través de paneles de privacidad.
  • Nuevos Derechos contra Riesgos de IA: Crear el "derecho contra la mención dañina" (cuando una IA genera datos falsos o difamatorios) y el "derecho a no ser clonado" (imitación de voz o rasgos personales sin consentimiento explícito).
9.4. Centralización de la Supervisión y Armonización Transfronteriza

La fragmentación en la interpretación nacional del RGPD (como las diferencias en la edad de consentimiento o las reglas laborales) debilita el mercado único.
  • Autoridad Europea de Protección de Datos (EU DPA): Crear un organismo centralizado con poderes de supervisión directa sobre las corporaciones multinacionales y los casos que afecten a más de dos Estados miembros.
  • Regla del "País de Establecimiento": Establecer una disposición de conflicto de leyes clara que permita a los responsables de tratamiento confiar primordialmente en la ley del Estado miembro donde tienen su residencia habitual o establecimiento principal.
9.5. win-win

Esta reforma busca crear una situación de "beneficio mutuo" (win-win). Para las empresas, reduce el lastre burocrático y los costes administrativos (un DSAR manual cuesta en promedio 1,524 USD, mientras que uno automatizado se reduce a 305 USD). Para los ciudadanos, refuerza la protección en los escenarios de alto riesgo real mediante auditorías obligatorias a las grandes plataformas y la definición de "líneas rojas" o actividades prohibidas que no pueden justificarse ni siquiera con el consentimiento (como el uso de dark patterns o tácticas subliminales).

En definitiva, esta propuesta transfiere la carga del cumplimiento de quienes no tienen los recursos hacia aquellos que poseen el mayor poder sobre los datos, garantizando que el derecho a la privacidad sea su catalizador ético.

10. Conclusiones

Diez años después, el balance del RGPD es predominantemente positivo, habiendo logrado situar la protección de la persona física en el centro del debate tecnológico global. Pero la complacencia regulatoria podría ser fatal en un entorno de competencia global agresiva y avances exponenciales en IA. La revisión hacia un modelo más segmentado y flexible es imperativa. Las pymes necesitan respirar fuera de la burocracia de los avisos interminables, mientras que la sociedad necesita herramientas más potentes para controlar a los grandes motores de datos.

La clave del éxito para la próxima década residirá en la integración técnica: la privacidad por diseño debe dejar de ser una recomendación teórica para convertirse en código ejecutable en las arquitecturas de inteligencia artificial (Aparavi, 2026). Solamente a través de una normativa clara, armonizada y consciente del riesgo real de las actividades, la Unión Europea podrá consolidar su posición como el referente mundial en una transformación digital que sea, ante todo, humana. Como indica el EDPB (2026), el objetivo es proteger los datos y a las personas en un mundo donde sus datos son su identidad digital.

Finalmente, no se está sugiriendo que el RGPD haya fracasado —su éxito en elevar la conciencia global sobre la privacidad es innegable (Clifford Chance, 2025)—  se insinúa que su forma de ejecución se ha vuelto anacrónica. El futuro de la protección de datos debe depender de Tecnologías de Mejora de la Privacidad (PETs) como la privacidad diferencial o el aprendizaje federado (EDPB, 2026; Aparavi, 2026).

Para que la Unión Europea sea competitiva, el RGPD debe transitar de ser un obstáculo burocrático a ser una capacidad operativa automatizada (Aparavi, 2026). La simplificación para las Pymes, la centralización de la supervisión de los grandes actores y una mayor claridad en el uso de datos para la investigación científica son pasos imperativos para los próximos diez años (ELI, 2025; EDPB, 2026).

11. Recursos Generativos utilizados en la redacción de este artículo

Teniendo en cuenta que se ha seguido la estructura de un artículo científico, formato conocido por la IAG, para la elaboración de este contenido se ha utilizado IAG en la fase de búsqueda de información, así como en la mejora de la redacción y adaptación de esta redacción a un lenguaje coloquial. Asimismo, antes de editarlo se ha pasado el filtro de plagio (8% de coincidencias) y de lenguaje IAG (14% de coincidencias), considerando ambos ratios razonables y asumibles.
_________
Bibliografía
Aparavi. (2026). Reinventing Data Protection for the AI Era: From GDPR Compliance to Proactive Governance (Whitepaper). Aparavi Corporation.
Clifford Chance. (2025). Data Privacy Legal Trends 2025: Thought Leadership. Clifford Chance LLP.
Comité Europeo de Protección de Datos [EDPB]. (2026). Guidelines 1/2026 on processing of personal data for scientific research purposes. European Data Protection Board.
European Law Institute [ELI]. (2025). Simpler, Fairer, More Effective – Towards a Targeted Revision of EU Data Protection Law: Response of the European Law Institute. ELI Council.
Parlamento Europeo y el Consejo. (2016). Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos). Diario Oficial de la Unión Europea.
Wendehorst, C., Balboni, P., Mäkinen, J., Heras Ballell, T., Szeliga, A., & Wazir, R. (2025). ELI Feedback on the Digital Package – Digital Omnibus. European Law Institute.