Digital Omnibus: estado de la tramitación y principales ajustes al marco digital europeo

El AI Omnibus introduce varias modificaciones destinadas a facilitar su implementación, especialmente ante las dificultades prácticas detectadas desde su entrada en vigor. Esta propuesta responde a que, aunque el RIA entró en vigor el 1 de agosto de 2024, su aplicación escalonada, que incluye plazos que se extienden hasta agosto de 2027, ha puesto de manifiesto desafíos estructurales antes incluso de que las principales obligaciones sean exigibles. En particular, los retrasos en la elaboración de normas armonizadas, en la designación de autoridades nacionales competentes y de organismos de evaluación de la conformidad, y la falta de orientaciones y herramientas de cumplimiento parecen suponer un problema para empresas y administraciones públicas.

Entre los cambios más relevantes destacan:

• Nuevo calendario para sistemas de alto riesgo: la aplicación de las obligaciones se vincula a la disponibilidad de normas técnicas y orientaciones que faciliten el cumplimiento. No obstante, el retraso no será indefinido, ya que el AI Omnibus introduce fechas límite máximas. En concreto, el 2 de diciembre de 2027 para los sistemas del Anexo III del RIA y el 2 de agosto de 2028 para los sistemas del Anexo I.
• Extensión de medidas de simplificación a empresas de mediana capitalización: algunas facilidades previstas para pymes se amplían a las pequeñas empresas de mediana capitalización. Ello incluye, entre otros, documentación técnica simplificada.
• Modificación de la obligación de alfabetización en IA: la obligación general, impuesta a todos los proveedores y responsables del despliegue, se transforma en una obligación de fomento dirigida a la Comisión y a los Estados miembros, manteniéndose requisitos específicos para los responsables del despliegue de sistemas de alto riesgo.
• Tratamiento de datos sensibles para detectar sesgos: se introduce una base de legitimación que permite utilizar categorías especiales de datos personales para identificar y corregir sesgos en sistemas de IA.
• Refuerzo del papel de la Oficina Europea de IA: la Comisión asume mayores competencias de supervisión sobre determinados sistemas basados en modelos de IA de uso general.
• Simplificación de obligaciones administrativas: se eliminan o flexibilizan ciertos requisitos procedimentales, como la supresión de la obligación de registro en la base de datos de la UE para sistemas que el proveedor considere no clasificados como de alto riesgo o la supresión del plan armonizado de vigilancia poscomercialización.

El 20 de enero de 2026, el Comité Europeo de Protección de Datos (en adelante, “EDPB”) y el Supervisor Europeo de Protección de Datos (en adelante, “SEPD”) publicaron una Opinión conjunta en la que expresaban su apoyo al objetivo general de facilitar la implementación del RIA, aunque advirtieron que la simplificación administrativa no debe traducirse en una reducción del nivel de protección de los derechos fundamentales.

En particular, ambos organismos valoran positivamente el uso de datos sensibles para detectar sesgos en supuestos estrictamente necesarios, el mantenimiento de mecanismos de registro que garanticen la rendición de cuentas de los proveedores, la participación de las autoridades de protección de datos en los sandboxes regulatorios, y la evitación de retrasos excesivos en la aplicación de las normas sobre sistemas de alto riesgo.

El 12 y 13 de marzo de 2026, el Parlamento Europeo y el Consejo de la Unión Europea, respectivamente, fijaron sus posiciones sobre el AI Omnibus, reflejando la prioridad política de esta propuesta. El Parlamento alcanzó un acuerdo político preliminar durante la reunión de ponentes en la sombra, mientras que el Consejo adoptó su mandato de negociación al día siguiente. Aunque ambas posiciones se definieron de forma independiente, coinciden en elementos clave, lo que probablemente facilitará las negociaciones interinstitucionales.

Entre los principales puntos de consenso destacan: la prohibición específica de deepfakes sexuales, dirigida a sistemas que generen imágenes íntimas no consentidas o material de abuso sexual infantil bajo condiciones determinadas; la continuidad del calendario propuesto por la Comisión para sistemas de alto riesgo, vinculado a la disponibilidad de herramientas de cumplimiento; la recuperación de la obligación de registro en la base de datos de la UE en versión simplificada para sistemas no considerados de alto riesgo; el refuerzo de garantías para el uso de datos sensibles aplicando un estándar de “estricta necesidad” en la detección de sesgos, más exigente que el planteado inicialmente; un enfoque más flexible para la regulación de sistemas integrados en productos sujetos a normativa sectorial; y la definición detallada de las competencias de la Oficina Europea de IA, manteniendo funciones específicas en autoridades nacionales para ciertos sistemas utilizados en ámbitos policial, fronterizo, judicial y financiero.

Esta convergencia en los aspectos esenciales muestra la voluntad de ambos organismos de facilitar una tramitación ágil de las normas.

Tras la adopción del mandato del Consejo el 13 de marzo de 2026 y la votación en comité del Parlamento prevista para el 18 de marzo, se iniciarán de inmediato las negociaciones interinstitucionales (conocidos como “trílogos”).

El Digital Omnibus también introduce modificaciones en diversas normas digitales, si bien las reformas que tendrán un mayor impacto práctico se centran en el RGPD y el régimen de cookies. Entre las medidas principales destacan:

• Clarificación del concepto de dato personal: se propone precisar que la identificabilidad de los datos pseudonimizados debe evaluarse en relación con los medios razonablemente disponibles para cada entidad para reidentificar, en línea con la Doctrina Scania del Tribunal de Justicia de la Unión Europea.
• Definición armonizada de investigación científica: se introduce una definición común y se flexibilizan ciertas obligaciones de información cuando su cumplimiento resulte imposible o desproporcionado.
• Nuevas excepciones para el tratamiento de datos sensibles: se prevén excepciones para la autenticación biométrica. En concreto, una para la autenticación biométrica cuando los medios de verificación estén bajo el control exclusivo del individuo, y otra para el tratamiento incidental y residual de datos sensibles en el contexto del desarrollo y operación de sistemas de inteligencia artificial.
• Ajustes en los derechos de los interesados: se clarifica la noción de abuso de derecho en las solicitudes de acceso, se simplifican las obligaciones de información para relaciones no intensivas en datos, y se reformula el artículo 22 sobre decisiones automatizadas para aclarar cuándo el tratamiento automatizado es «necesario» en el marco de un contrato, sin alterar las garantías existentes como el derecho a obtener intervención humana.
• Cambios en la notificación de brechas de datos: se eleva el umbral de notificación a las autoridades, pasando del actual “riesgo” al “alto riesgo” y se amplía el plazo para comunicar incidentes de 72 a 96 horas.
• Integración de la regulación de cookies en el RGPD: se incorporan al RGPD las reglas actualmente contenidas en la Directiva ePrivacy y se introducen medidas para reducir la fatiga del consentimiento.

El EDPB y el EDPS han valorado positivamente varias de las medidas propuestas. En particular, destacan la introducción de una definición armonizada de investigación científica, la nueva excepción para el uso de datos biométricos con fines de autenticación y las modificaciones relativas a la notificación de brechas de datos, como la elevación del umbral de notificación y la ampliación del plazo. También apoyan la armonización de plantillas para notificaciones de brechas y evaluaciones de impacto, así como las medidas destinadas a reducir la llamada “fatiga del consentimiento” en materia de cookies.

No obstante, ambas autoridades se oponen firmemente a modificar la definición de dato personal, considerando que los cambios propuestos podrían restringir el ámbito de aplicación del RGPD y generar nuevas incertidumbres jurídicas. En la misma línea, cuestionan la posibilidad de que la Comisión determine mediante actos de ejecución cuándo determinados datos seudonimizados dejan de ser considerados datos personales.

Además, han señalado que algunas de las modificaciones propuestas —como las relativas al uso de datos sensibles en sistemas de IA, la limitación del derecho de acceso, o la reformulación del régimen de decisiones automatizadas— requieren mayor precisión y salvaguardias adicionales para garantizar que las garantías previstas en el RGPD no se vean debilitadas.Principio del formulario

A diferencia de las modificaciones relativas al RIA, esta parte del Digital Omnibus se encuentra todavía en una fase temprana del proceso legislativo. El debate en las instituciones europeas será previsiblemente más intenso, ya que algunas de las reformas propuestas afectan a conceptos centrales del derecho de protección de datos.