Alerta: Ómnibus y Paquete digital UE: una mirada (algo más) sosegada

El pasado 19 de noviembre, la Comisión Europea (la Comisión) publicó su propuesta de Paquete digital (el Paquete) diseñado para impulsar la competitividad tecnológica y la innovación digital del tejido empresarial de la Unión Europea (UE), junto con una disminución significativa de los costes de cumplimiento normativo. Como se sabe, esta iniciativa responde con claridad a las sugerencias, manifestadas en los informes Letta, y sobre todo Draghi, emitidos en 2024, y que claramente apuntaban a la necesidad de que la UE acorte distancias respecto de los líderes hegemónicos mundiales en tecnología digital e inteligencia artificial.

El Paquete se basa en tres pilares fundamentales:

1. Un -así llamado- ómnibus digital que simplifica las normas sobre datos, ciberseguridad e inteligencia artificial (IA);
2. El desbloqueo de datos de alta calidad para el entrenamiento de IA, mediante laboratorios de datos y el desarrollo de espacios comunes europeos de datos, la racionalización y clarificación de las normas sobre datos, y el refuerzo de la UE en los flujos internacionales de datos; y
3. La introducción de la denominada cartera (wallet) empresarial, una herramienta digital única -a similitud de la cartera digital ciudadana- que permitirá que las empresas interactúen de forma segura con administraciones y otras empresas en cualquier Estado miembro, utilizando este medio de identificación digital para tramitar documentos con pleno valor jurídico.

Como se ve, estamos una vez más, y también siguiendo la estela especialmente del informe Draghi, ante empeños de fortalecimiento de la innovación, y, quizás, sobre todo en lo que al Ómnibus respecta, de la simplificación de la muy abundante legislación europea en materia digital -según se manifiesta en este mismo informe, compuesta por unas 100 normas.

Nos centraremos a continuación, en las concretas medidas contenidas en el Ómnibus digital:

Simplificación de las normas sobre protección de datos

El Paquete propone la consolidación de las reglas incluidas en las cinco normativas actualmente vigentes, en solo dos: el Reglamento de Datos y el Reglamento General de Protección de Datos (RGPD). Parece que el objetivo es establecer una clara dicotomía entre la regulación fundamentalmente orientada a la libre circulación y utilización de datos; y la de la protección de la privacidad, es decir, la de los datos personales. La primera pasaría, pues, a aglutinar la normativa sobre libre circulación de datos no personales, y la de la utilización de información en manos del sector público, lo haría bajo el paraguas común del Reglamento de datos, aplicable desde septiembre de 2025. La segunda vertiente se encamina a englobar la muy disfuncional disparidad en la regulación de las cookies, que hoy figura en la llamada directiva ePrivacy, dentro del -en este caso, también común paraguas- del RGPD.

Asimismo, el nuevo Reglamento de Datos bajo el Paquete tendría algunas modificaciones importantes para las empresas de la UE. En primer lugar, se recoge una excepción para pymes y empresas medianas (con menos de 749 empleados) en el marco de posibles cambios de proveedor de servicios en la nube, a fin de evitar renegociaciones contractuales de adaptación. Además, se prevé una mejora en la protección de secretos empresariales, y aclaraciones sobre las obligaciones de compartir datos con las autoridades en situaciones de emergencia. En especial, la cuestión de la protección de secretos empresariales constituye una de las fundamentales preocupaciones de las industrias generadoras de datos que, conforme al Reglamento, se deben compartir; asunto, por lo demás, común a los empeños de apertura digital que se han dado tradicionalmente en software y más recientemente, en inteligencia artificial.

Por otra parte, se prevén tres fundamentales modificaciones del RGPD. En primer lugar, se aclararía la definición de datos personales, excluyendo de estos, los conjuntos de datos seudonimizados  cuando el responsable o encargado en cuestión no tenga las capacidades para reidentificar al sujeto, codificando así la jurisprudencia reciente del Tribunal de Justicia (Asunto C-413/23) y que ya examinamos  en nuestro Digital update de septiembre. Esta modificación es especialmente interesante por cuanto, como es sabido, la sentencia equipara en esas condiciones, la seudonimización con la anonimizacion de datos personales, lo que lleva a la directa exclusión de aplicabilidad del RGPD. En segundo lugar, se engloba, como decíamos, la regulación de las cookies  en el RGPD, previendo, asimismo, la simplificación de los mecanismos para prestar consentimiento y el mantenimiento de una lista blanca para finalidades menos potencialmente dañinas, como las estadísticas. El objetivo claro es aliviar la denominada “fatiga del consentimiento”, que viene aquejando la funcionalidad de los sitios web afectados por la normativa europea. En tercer lugar, se aclararía la posibilidad de tratar datos personales por los desarrolladores u operadores de sistemas de IA utilizando la base legal de interés legítimo, salvo cuando se infrinja la normativa europea o nacional, o cuando dichas normativas expresamente requieran el consentimiento del sujeto. Importa destacar la relevancia de esta modificación a los fundamentales fines de entrenamiento de algoritmos. No menos importante es la posibilidad que se abriría a los responsables para tratar datos personales sensibles en el entrenamiento y salidas de los modelos de IA, siempre y cuando hubieran hecho lo posible por evitarlo inicialmente, o cuando la eliminación de tales datos resultara desproporcionada para garantizar que no puedan utilizarse para inferir resultados ni ser divulgados.

Simplificación en la notificación de ciberincidentes

El Paquete también propone el establecimiento y mantenimiento de una plataforma centralizada para efectuar las notificaciones de incidentes o brechas requeridas por las múltiples normativas separadas que sean de aplicación, y que van desde la propia legislación de datos, hasta las de seguridad de sistemas y redes, o la reglamentación específicamente aplicable a las entidades financieras (DORA). Esto garantizaría que una única notificación permita simultáneamente el cumplimiento de las diversas obligaciones a este efecto existentes, evitando multiplicidades y el riesgo de sanciones administrativas significativas. Si bien la Comisión barajaba inicialmente la homologación del contenido de las propias notificaciones, la simplificación parece que quedará de momento limitada al aspecto procedimental de ese punto único de entrada, sobre el que trabajará la Agencia europea de seguridad de redes y sistemas de información (ENISA).

Las modificaciones propuestas a la Ley de IA

En materia de IA, la Comisión propone una serie de ajustes puntuales al Reglamento (UE) 2024/1689 (Ley de IA) para garantizar una aplicación "clara, sencilla y favorable a la innovación". La Ley de IA entró en vigor el 1 de agosto de 2024, las prohibiciones y obligaciones de alfabetización en IA se aplican desde el 2 de febrero de 2025, y las reglas de gobernanza y obligaciones para modelos de IA de uso general, desde el 2 de agosto de 2025. De acuerdo con el calendario original, las obligaciones para sistemas de IA de alto riesgo del anexo III (p.ej., empleo o aplicación de la ley) debían aplicarse desde el 2 de agosto de 2026, y las relativas a sistemas de alto riesgo integrados en productos regulados del anexo I (como productos sanitarios), desde el 2 de agosto de 2027. 

El Paquete vincula, ahora, la aplicabilidad de estas obligaciones de alto riesgo a la disponibilidad efectiva de normas técnicas y demás herramientas de apoyo: las obligaciones solo serán exigibles una vez que la Comisión adopte una decisión confirmando esa disponibilidad, abriéndose entonces, un periodo transitorio de 6 o 12 meses según el tipo de sistema. En todo caso, se fijan fechas "tope": si dicha decisión no se hubiera tomado a tiempo, las obligaciones para sistemas de alto riesgo del anexo III pasarán a ser exigibles, como máximo, el 2 de diciembre de 2027, y las del anexo I, el 2 de agosto de 2028. 

Parada, pues, del reloj en relación con lo que, sin duda alguna, constituye la médula de la Ley de IA, es decir, la regulación de los sistemas de alto riesgo. La inquietud entre las empresas, tanto desarrolladoras como responsables del despliegue de este tipo de sistemas, era general; de ahí que deba saludarse como acierto, el realismo de la Comisión al proponer este retraso.

La propuesta amplía, además, las modalidades simplificadas de cumplimiento inicialmente previstas para pymes a las pequeñas empresas de mediana capitalización (mid-caps), incluyendo documentación técnica simplificada. Se refuerzan, asimismo, las funciones de la Oficina de IA, gracias a la centralización de la supervisión de los sistemas basados en modelos de uso general y de la IA integrada en grandes plataformas y motores de búsqueda (a los efectos del Reglamento de servicios digitales). Se prevé, también, un periodo transitorio específico de seis meses para que los proveedores incorporen retroactivamente soluciones técnicas que permitan la detectabilidad del contenido sintético generado por sistemas de IA generativa, de forma que los sistemas introducidos en el mercado antes del 2 de agosto de 2026 deberán cumplir esta obligación, como tarde, el 2 de febrero de 2027. Muchos agradecerán esta última ampliación de plazo, teniendo en cuenta la dificultad de implementar la obligación de establecer mecanismos de detectabilidad, una vez han surgido ya en el mercado herramientas fácilmente accesibles que sencillamente permiten eliminarlos.

Los próximos pasos

Las distintas propuestas legislativas del Paquete se remiten ahora al Parlamento Europeo y al Consejo para su examen y eventual aprobación, en el marco del procedimiento legislativo ordinario. 

En paralelo, la Comisión ha lanzado un "control de adecuación digital" (Digital Fitness), mediante una consulta pública abierta hasta el 11 de marzo de 2026, a fin de evaluar la actual situación del acervo digital de la UE, con vistas a posibles medidas ulteriores en esta misma línea de simplificación y racionalización.

En este contexto, y a la vista de la perentoriedad del calendario de la Ley de IA, cabe esperar que los componentes del Ómnibus relativos a la IA se sitúen entre los primeros en ser objeto de negociación y eventual aprobación.

Valoraciones finales

Viene señalándose desde la publicación de este Paquete digital, que obedece a las presiones del actual gobierno estadounidense y de las grandes empresas tecnológicas, en aras a una aplicación más liviana del acervo digital europeo.

No puede ocultarse que el gobierno norteamericano viene ejerciendo manifiestas presiones ante las autoridades europeas con ese fin, incluso el de derogación completa de algunas de las normas claves de dicho acervo, como son el Reglamento de servicios digitales, el Reglamento de mercados digitales, o la propia Ley de IA. También es bien claro que las grandes tecnológicas operarían con mayor comodidad ante normas menos exigentes que las propias de la UE.

No obstante, es igualmente claro que el Paquete digital sigue la senda de simplificación en aras de la competitividad digital europea fundamentalmente propuesta por el informe Draghi. En este informe se señala, también, que es principalmente el desfase digital, el que explica que la renta disponible por habitante haya aumentado en los Estados Unidos el doble que en la UE en los últimos 25 años.

Por otra parte, las medidas de simplificación que aquí se buscan no beneficiarán única y exclusivamente a las grandes tecnológicas, en especial las procedentes de los Estados Unidos o de China, sino que lo harán igualmente respecto de las empresas europeas. Algunas de ellas son altamente competitivas, como puede ser el caso en inteligencia artificial de la francesa Mistral. Debiendo también señalarse cómo recientemente una empresa española, Multiverse Computing, ha sido capaz de mejorar la eficiencia del modelo DeepSeek chino mediante interesantes técnicas de racionalización algorítmica. Será, pues, el entono digital europeo en su conjunto, tanto el generado a través de hiperescalares mundiales, como a través de empresas propias, el que se termine beneficiando de estos ajustes. Los mejores estudios económicos demuestran además que, aun cuando lo ideal resultaría que la tecnología que se despliegue sea propia, es más relevante aún que esta se emplee al mayor ritmo y con la mayor intensidad posibles.

La Comisión Europea es bien consciente de todo ello. De ahí que quepa esperar mayores reformas en esta senda de simplificación y, por tanto, de aumento de la competitividad de la UE, en los próximos meses, si no años.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.