Bruselas entra en fase decisiva para redefinir el marco regulatorio digital europeo
La UE continúa avanzando en su estrategia de simplificación normativa del ecosistema digital mediante los denominados Digital Omnibus Packages, dos propuestas legislativas de enorme impacto práctico para empresas tecnológicas, responsables de tratamiento, desarrolladores de IA, operadores digitales y autoridades de supervisión.
A fecha 8 de mayo de 2026, el panorama regulatorio presenta dos velocidades claramente diferenciadas:
- el Ómnibus sobre Inteligencia Artificial se encuentra ya en fase de acuerdo político provisional entre Parlamento y Consejo;
- mientras que el Ómnibus Digital General, que modifica normas estructurales como el RGPD, NIS2, ePrivacy o el Data Governance Act, continúa todavía en primera lectura parlamentaria.
La trascendencia jurídica y operativa de ambas iniciativas es difícil de exagerar: no se trata únicamente de ajustes técnicos, sino de una potencial reconfiguración del equilibrio europeo entre innovación, protección de derechos fundamentales y reducción de cargas regulatorias.
1. El Reglamento Ómnibus sobre IA: acuerdo político provisional alcanzado
El pasado 7 de mayo de 2026, el Consejo de la Unión Europea y el Parlamento Europeo anunciaron un acuerdo provisional en trílogo sobre la propuesta [COM (2025) 836 final – Procedimiento 2025/0359(COD)]
La iniciativa modifica principalmente el Reglamento (UE) 2024/1689 (AI Act) y el Reglamento (UE) 2018/1139 relativo a la seguridad aérea.
Aunque el texto aún debe ser formalmente aprobado por ambas instituciones conforme al procedimiento legislativo ordinario, el acuerdo político permite anticipar con bastante precisión el contenido final de la reforma.
Principales novedades jurídicas:
a) Retraso de obligaciones para sistemas de IA de alto riesgo
El acuerdo introduce un aplazamiento relevante de determinadas obligaciones regulatorias:
- 2 de diciembre de 2027: sistemas autónomos de IA de alto riesgo.
- 2 de agosto de 2028: sistemas integrados en productos regulados.
La medida responde a las fuertes presiones industriales y a las dificultades prácticas detectadas durante la preparación del despliegue del AI Act.
Otro factor relevante para comprender el alcance del AI Omnibus es el retraso de la normalización europea del AI Act y la compleja situación del proceso de normalización técnica europea asociado al Reglamento de IA.
Debe recordarse que el AI Act sigue el modelo clásico del denominado Nuevo Marco Legislativo (New Legislative Framework), donde el Reglamento establece obligaciones jurídicas generales, mientras que gran parte de su implementación práctica depende de futuras normas armonizadas europeas que permitan acreditar la conformidad técnica de los sistemas de IA.
En 2023, la Comisión Europea encargó formalmente al CEN y al CENELEC el desarrollo de estándares armonizados vinculados al AI Act, incluyendo materias especialmente complejas como:
- gestión de riesgos;
- gobernanza de datos;
- robustez y ciberseguridad;
- supervisión humana;
- documentación técnica;
- evaluación de conformidad;
- o sistemas GPAI y modelos fundacionales.
Sin embargo, el proceso de normalización ha resultado particularmente exigente desde el punto de vista técnico y regulatorio, debido tanto a la novedad tecnológica de muchos sistemas de IA como a la ausencia de consensos internacionales plenamente consolidados.
Esta circunstancia ha generado una situación especialmente delicada para operadores, fabricantes, auditores y organismos de evaluación de conformidad, ya que la ausencia de estándares armonizados plenamente operativos dificulta disponer de una verdadera presunción de conformidad bajo el AI Act.
En este contexto, el aplazamiento parcial de determinadas obligaciones introducido por el AI Omnibus también puede interpretarse como una medida destinada a acompasar los tiempos regulatorios con la madurez real del ecosistema técnico europeo de normalización.
b) Nuevas prohibiciones específicas
Se incorporan prohibiciones expresas relacionadas con:
- generación de contenido íntimo o sexual no consentido;
- determinadas formas de manipulación sintética mediante IA generativa.
La UE continúa así consolidando una aproximación basada en riesgos y protección de derechos fundamentales.
c) Simplificación para pymes y small mid-caps
El texto mantiene mecanismos de simplificación administrativa y reducción de cargas de cumplimiento para:
- PYMES;
- empresas de mediana capitalización;
- desarrolladores de IA con menor capacidad operativa.
El objetivo político declarado es evitar que el AI Act se convierta en una barrera de entrada tecnológica frente a actores estadounidenses o chinos.
2. El Reglamento Ómnibus Digital General: RGPD, ePrivacy, NIS2 y Data Act en revisión
Más compleja y potencialmente más disruptiva es la segunda propuesta [COM (2025) 837 final – Procedimiento 2025/0360(COD)]-
Actualmente el expediente se encuentra todavía en fase de primera lectura parlamentaria (“Awaiting committee decision”), sin acuerdo institucional ni posición definitiva del Parlamento Europeo.
Normativa afectada. La propuesta modifica o integra un número extraordinariamente amplio de instrumentos normativos europeos, entre ellos:
- Reglamento General de Protección de Datos (RGPD / Reglamento (UE) 2016/679);
- Reglamento (UE) 2018/1725;
- Directiva ePrivacy 2002/58/CE;
- Directiva NIS2;
- Directiva CER;
- Data Act;
- Reglamento de libre circulación de datos no personales;
- Data Governance Act;
- Reglamento P2B;
- Open Data Directive.
Nos encontramos probablemente ante la mayor operación de consolidación normativa digital desde la aprobación del RGPD en 2016.
3. Los puntos jurídicos más sensibles de la reforma
a) Reconfiguración del concepto de seudonimización
Uno de los aspectos más controvertidos es la posible redefinición funcional de:
- “dato personal”;
- “seudonimización”;
- “anonimización efectiva”.
La reforma pretende facilitar reutilización de datos para IA y analítica avanzada, especialmente en contextos industriales y sanitarios.
Ello podría generar tensiones interpretativas con:
- la jurisprudencia del TJUE;
- el criterio del EDPB;
- y el propio artículo 4 del RGPD.
b) Interés legítimo para IA
La propuesta amplía el uso del:
interés legítimo como base jurídica para determinados tratamientos vinculados al desarrollo y operación de sistemas de IA.
Este punto probablemente será uno de los focos principales de conflicto político y doctrinal.
c) Reforma de cookies y ePrivacy
La Comisión intenta simplificar el fragmentado ecosistema normativo de privacidad electrónica trasladando determinadas obligaciones de cookies y tecnologías de seguimiento directamente al RGPD.
La medida podría suponer:
- simplificación formal;
- pero también inseguridad jurídica transitoria durante la adaptación interpretativa.
d) Brechas de seguridad: ampliación de plazos
Se plantea extender el plazo de notificación de brechas de datos personales desde las actuales 72 horas hasta 96 horas en determinados supuestos complejos.
La modificación busca coordinar mejor RGPD, NIS2 y normativa sectorial de ciberseguridad.
4. Impacto práctico para empresas y compliance
Las empresas europeas deberán prepararse para:
- nuevos ajustes de gobernanza de IA;
- revisión de bases legitimadoras de tratamiento;
- actualización de EIPD/DPIA;
- rediseño contractual con encargados;
- adaptación de políticas de gobernanza de datos;
- y armonización entre compliance de privacidad, IA y ciberseguridad.
Especialmente afectadas resultarán:
- plataformas digitales;
- desarrolladores de IA generativa;
- sector salud;
- fintech;
- administraciones públicas;
- y operadores críticos.
5. Conclusión
La UE parece estar entrando en una segunda fase regulatoria digital: ya no centrada exclusivamente en crear nuevas obligaciones, sino en simplificar, consolidar y hacer operativa la enorme arquitectura normativa construida entre 2016 y 2025.
Sin embargo, la simplificación normativa no necesariamente implica menor complejidad jurídica. En muchos casos, estas reformas trasladarán el debate hacia cuestiones interpretativas aún más sofisticadas:
- delimitación del concepto de dato personal;
- uso legítimo de datos para IA;
- interacción entre AI Act y RGPD;
- y equilibrio entre innovación tecnológica y derechos fundamentales.
El resultado final de estos Reglamentos Ómnibus marcará previsiblemente la evolución del Derecho Digital europeo durante la próxima década.
