La Comisión Europea ha publicado dos propuestas clave que podrían cambiar la forma en que las organizaciones que operan en la UE gestionan la gobernanza de la IA, la protección de datos, la notificación de incidentes de ciberseguridad y el consentimiento de cookies. En su conjunto, esta batería de actualizaciones, es decir, el Reglamento Ómnibus Digital, tienen como objetivo simplificar el reglamento digital de la UE al mismo tiempo que se ajustan las protecciones para los usuarios y se refuerza la confianza en el mercado.
Estas propuestas introducen cambios reales que merece la pena tener en cuenta. A continuación, te mostramos un desglose de lo que ha sucedido, lo que está por venir y lo que significa todo esto para tu negocio y tus clientes.
¿Cuáles son los cambios propuestos en el Reglamento Ómnibus Digital?
La Comisión Europea ha propuesto actualizaciones legislativas de calado en cinco áreas clave:
- Los requisitos de alto riesgo de la Ley de IA
- Los derechos del interesado
- Las evaluaciones de impacto relativas a la protección de datos (EIPD)
- Los informes sobre incidentes cibernéticos
- Las reglas de consentimiento de cookies
Por su parte, la UE propone retrasar la aplicación de los requisitos de IA de alto riesgo de manera oficial, por lo que los plazos principales tendrán lugar ya bien entrado el 2027.
Para obtener un análisis más a fondo del ámbito completo del reglamento ómnibus con respecto a la Ley de IA de la UE, consulta DataGuidance.
Este cambio no tiene la finalidad de debilitar la Ley de IA, sino que la Comisión está reestructurando la implementación para ajustarse al nivel de preparación real del ecosistema que incluye normas, autoridades, orientación y herramientas, para que las organizaciones puedan cumplir con la normativa de manera realista.
¿Por qué propone la UE ampliar el plazo para la Ley de IA?
Cuando se adoptó la Ley de IA, se planificó que sus obligaciones de alto riesgo entraran en vigor el 2 de agosto de 2026 y su aplicación completa tuviera lugar el 2 de agosto de 2027. Pero la infraestructura necesaria para respaldar el cumplimiento normativo aún no estaba lista.
Entre las principales lagunas se contaban:
- Normas técnicas sin armonizar
- Carencia de especificaciones comunes o herramientas de cumplimiento normativo
- Muchos Estados miembros de la UE siguen sin disponer de autoridades de control operativas
- Las empresas informaron de que aún no disponían de mecanismos prácticos para cumplir con las obligaciones de 2026
- Los primeros usuarios del Pacto sobre la IA confirmaron que las directrices y los métodos de evaluación eran insuficientes
El ecosistema de cumplimiento normativo de la IA de la UE no estaba listo, por lo que no era factible implementar los plazos para 2026. El Reglamento Ómnibus Digital propone períodos de transición prolongados y la aplicación condicional según la disponibilidad de estándares y directrices oficiales.
¿El retraso de los plazos debilitará la Ley de IA?
En lugar de extensos aplazamientos, la Comisión está introduciendo extensiones de manera estructurada y bien definida. De manera conjunta, estos mecanismos empujan la aplicación de mayor riesgo a 2027, al mismo tiempo que se mantienen las protecciones básicas de la Ley de IA.
1. Aplicación vinculada a las normas y las directrices
Las obligaciones de alto riesgo no entrarán en vigor hasta que se disponga de las herramientas de cumplimiento normativo esenciales, como normas armonizadas y directrices de la Comisión, lo que evita que las organizaciones tengan que cumplir con la normativa en base a conjeturas.
2. Tiempo adicional para categorías complejas de alto riesgo
Los sistemas de alto riesgo que se definen en el Artículo 6.1 y el Anexo I obtienen un período de transición más largo, lo que reconoce su dependencia con las normas aplazadas.
3. Extensión de seis meses para las marcas de agua en la IA generativa
La detección legible por máquina del contenido generado por IA (artículo 50.2) ahora se aplaza a febrero de 2027 para los sistemas que ya estén en el mercado.
4. Obligaciones simplificadas para las pymes y las pequeñas empresas de mediana capitalización
La documentación, los sistemas de gestión de la calidad, la supervisión posterior a la comercialización y las expectativas de supervisión humana se están escalando de manera adecuada, lo que le ofrece a las empresas más pequeñas más tiempo para poder cumplirlas.
Estas suelen ser las categorías más comunes con respecto a las empresas:
- Pequeñas: menos de 50 empleados y hasta 10 millones de euros
- Medianas: menos de 250 empleados y hasta 50 millones de euros
- Pequeñas empresas de mediana capitalización: menos de 750 empleados y hasta 150 millones de euros
La UE también propone eliminar el requisito de que los proveedores y los responsables del despliegue tengan que garantizar la formación sobre IA de su personal, por lo que dicha responsabilidad recaería sobre la Comisión y los Estados miembros en su lugar. Una nueva enmienda al RGPD permitiría el interés legítimo como base jurídica para entrenar modelos de IA, bajo condiciones concretas. Si se combinan, estas extensiones equivalen a un retraso de facto de un año en la aplicación de los casos de alto riesgo.
Impacto en otras áreas
Informe de incidentes
En lo que respecta a la notificación de incidentes, las reglas del NIS2, DORA, eIDAS, CRA y RGPD generan complejidad. Por ello, el Reglamento Ómnibus Digital propone una gran simplificación:
- Un único punto de entrada para la notificación de incidentes en las leyes digitales clave
- La notificación de brechas del RGPD solo es necesaria cuando sea probable que haya un riesgo elevado
- La fecha límite para la notificación se ha ampliado de 72 a 96 horas
- Una única plantilla estándar para toda la UE para la notificación de brechas
Las organizaciones también deben utilizar el mismo punto de entrada único para las notificaciones del RGPD.
Reglas de consentimiento de cookies
Para mejorar la experiencia con los avisos de cookies, las reglas para las cookies pasan de la Directiva sobre la privacidad y las comunicaciones electrónicas al RGPD.
Entre las actualizaciones clave se incluyen:
- Una lista blanca de situaciones donde el consentimiento no es necesario
- Una opción de un solo clic para rechazar las cookies
- No se mostrarán solicitudes repetidas de consentimiento durante al menos 6 meses después de la negativa
- Marco para señales de privacidad legibles por máquina a nivel de navegador que los sitios web deben respetar cuando existan estándares
Esto cambiará sustancialmente la forma en que los proveedores recopilan sus análisis, miden la interacción y diseñan la experiencia de usuario del consentimiento.
Derechos del interesado
Los responsables del tratamiento ahora pueden rechazar o cobrar cargos por las solicitudes que:
- Carezcan de fundamento
- Sean excesivas
- Sean repetitivas
- Sean abusivas
- Hagan un uso indebido de propósitos que no tengan que ver con la protección de datos (como solicitudes de acceso excesivas o de represalia)
Esto debería reducir la carga administrativa y el abuso de los derechos de acceso.
Evaluaciones de impacto relativas a la protección de datos (EIPD)
El Reglamento Ómnibus Digital propone sustituir 27 listas nacionales de EIPD diferentes por una única lista para toda la UE. Esto unifica los criterios y reduce la complejidad del cumplimiento normativo transfronterizo.
Cómo llegó la Comisión a esta propuesta
Al aunar todas las preocupaciones, quedaron de manifiesto tres puntos principales:
1. La incertidumbre se convirtió en una barrera de entrada
Sin normas o autoridades nacionales, las organizaciones no podían planificar de manera realista.
2. Las empresas preferían establecer retrasos en lugar de reabrir el debate sobre la ley
Aplicar cambios en la Ley de IA arriesgaría la estabilidad jurídica, por lo que una extensión, por ajustada que sea, es más seguro.
3. La fragmentación se convirtió en una preocupación grave
Los diferentes niveles de preparación entre los Estados miembros de la UE amenazaron con crear una aplicación desigual de la ley, lo que va en contra del objetivo de la Ley de IA para el mercado único.
El camino que tenemos por delante
Las propuestas deben aprobarse por el Consejo, el Parlamento y la Comisión de la UE lo que significa que los cambios finales que se hayan acordado podrían parecer sustancialmente diferentes de lo que se está buscando actualmente. El cambio, en su estado actual, introduce una estrategia de aplicación más flexible:
- La IA de alto riesgo no se aplicará en 2026
- La mayoría de las obligaciones ahora pasan a 2027 y están vinculadas a objetivos de nivel de preparación
- La aplicación puede seguir condiciones como:
- 6 meses después de que se aprueben las normas relevantes del Anexo III
- 12 meses después de que se aprueben las normas del Anexo I
- Si no se alcanzan los objetivos, se aplican plazos fijos:
- 2 de diciembre de 2027 para los sistemas del Anexo III
- 2 de agosto de 2028 para los sistemas del Anexo I
La UE también propone eliminar el requisito de que los proveedores y los responsables del despliegue tengan que garantizar la formación sobre IA de su personal, por lo que dicha responsabilidad recaería sobre la Comisión y los Estados miembros en su lugar.
Una nueva enmienda al RGPD permitiría el interés legítimo como base jurídica para entrenar modelos de IA, bajo condiciones concretas.
Al atender a las peticiones tanto dentro de la UE como fuera de ella, la Comisión reconoce la incertidumbre y la falta de preparación que ha generado la legislación vigente. De hecho, la normativa solo se pueden aplicar cuando el ecosistema pueda apoyar de manera realista el cumplimiento normativo. Por este motivo, la propuesta no supone una rebaja, sino una recalibración estructural.
Inscríbete en este seminario web para saber más sobre el Reglamento Ómnibus Digital y cómo afectará a tu empresa.
