El Omnibus Digital de la UE ofrece alivio regulatorio para la IA, pero persisten preguntas
El 19 de noviembre de 2025, la Comisión Europea publicó su «Omnibus Digital», una propuesta de tres partes destinada a enmendar y simplificar las leyes de la UE que rigen los datos, la ciberseguridad, la privacidad y la inteligencia artificial. Esta propuesta responde a un informe de 2024 sobre la competitividad de la UE, que encontró que estos regímenes legales eran demasiado fragmentados, complejos y gravosos para la industria.
Propuestas clave relacionadas con la IA y su potencial impacto
Las enmiendas relacionadas con la IA buscan reducir las cargas de cumplimiento extendiendo los plazos para los requisitos clave, eliminando ciertas obligaciones y simplificando el cumplimiento para las pequeñas empresas. Sin embargo, esta acción trae consigo cierta incertidumbre, ya que el Omnibus es solo una propuesta y los cambios pueden evolucionar durante el proceso legislativo.
Cambios propuestos y sus implicaciones
Las propuestas clave incluyen:
- Plazos para sistemas de IA de alto riesgo (HRAIS): Los plazos de cumplimiento dependerían de una decisión de la Comisión Europea sobre la disponibilidad de herramientas de soporte de cumplimiento. Para los HRAIS en contextos de alto riesgo como infraestructura crítica, educación y aplicación de la ley, las obligaciones se aplicarían seis meses después de la decisión de disponibilidad de estándares.
- Marcado de contenido de IA generativa (GenAI): Se propone un período de transición de seis meses para los proveedores de sistemas GenAI sujetos a requisitos de marcado. Los sistemas en el mercado antes del 2 de agosto de 2026 tendrían seis meses adicionales para implementar soluciones técnicas necesarias.
- Procesamiento de datos personales: Se propone que el procesamiento de datos personales podría realizarse sobre la base de «intereses legítimos» en el contexto del desarrollo y operación de un sistema de IA, a menos que la ley nacional exija consentimiento. Esta propuesta crea una base formal para el procesamiento de datos personales que no estaba codificada anteriormente.
- Definición de «datos personales»: La definición de «datos personales» se enmendaría para codificar un reciente fallo del Tribunal de Justicia de la UE, introduciendo una definición más subjetiva y específica del contexto.
- Procesamiento de datos sensibles: Se permitiría el procesamiento de categorías especiales de datos para el desarrollo o la operación de sistemas de IA, sujeto a ciertas condiciones de minimización y protección de datos.
- Empresas más pequeñas: Se añade una nueva categoría de entidad, «pequeñas y medianas empresas de capital medio» (SMC), junto a «micro, pequeñas y medianas empresas» (PYME) en la Ley de IA de la UE.
- Sandbox regulatorio y pruebas: La propuesta permitiría crear un sandbox regulatorio a nivel de la UE para sistemas de IA, facilitando la cooperación entre los Estados miembros.
- Literacidad en IA: Las obligaciones de literacidad en IA pasarían de ser mandatorias a recomendaciones, lo que podría resultar en una variedad de estándares de literacidad en IA entre los Estados miembros.
Próximos pasos
Las propuestas del Omnibus pueden cambiar en los próximos meses, lo que puede tentar a las organizaciones a retrasar la implementación. Sin embargo, es crucial no pausar el cumplimiento y, en su lugar, construir un marco de gobernanza adaptable que pueda absorber futuros ajustes sin requerir una reestructuración completa.
Se deben fortalecer la documentación y los controles, especialmente para los datos de entrenamiento de IA, y monitorear de cerca los desarrollos regulatorios relacionados con la IA.
