La Ecuación Digital
Estás leyendo
Digital Omnibus: la UE relaja reglas de IA y datos

SUSCRÍBETE GRATIS A DIGITAL FIRST

Especial Oracle AI World 2025

Todas las Noticias

Contacto

La Ecuación Digital
La Ecuación Digital

Digital Omnibus: la UE relaja reglas de IA y datos

por
19 noviembre 2025
  • La Comisión lanza el Digital Omnibus, la Data Union Strategy y las European Business Wallets para simplificar reglas digitales de la UE, retrasar parte del AI Act y recortar costes.
Europa Digital

Editor en La Ecuación Digital. Analista y divulgador tecnológico con…

La Comisión Europea ha decidido reescribir una parte sustancial del acervo digital de la Unión con un movimiento de amplio alcance: el Digital Omnibus, acompañado de la Data Union Strategy y de las nuevas European Business Wallets. El objetivo declarado es despejar burocracia, reducir solapamientos normativos y dar aire a las empresas europeas para competir en inteligencia artificial y servicios digitales frente a Estados Unidos y Asia.

Según la documentación oficial, el paquete aspira a generar hasta 5.000 millones de euros en ahorros administrativos de aquí a 2029, más otros 150.000 millones de euros al año si las carteras empresariales digitales se adoptan de forma masiva. La Comisión enmarca estas cifras en la hoja de ruta de competitividad inspirada en el informe Draghi, que pidió reducir la carga regulatoria y simplificar el entramado de normas digitales.

El paquete se apoya en tres pilares:

  1. un Digital Omnibus que modifica el AI Act, el GDPR, la ePrivacy, el Data Act y las reglas de ciberseguridad;
  2. una Data Union Strategy orientada a abrir datos de calidad para IA mediante data spaces, data labs y un enfoque más estratégico de los flujos internacionales de datos;
  3. y una propuesta de European Business Wallets que da a cada empresa un identificador digital reutilizable para interactuar con administraciones y otras compañías en los 27 Estados miembros.

La propuesta de Bruselas es clara: menos “ruido” normativo, más espacio para innovar. La pregunta para cualquier directivo tecnológico en España es otra: ¿simplificación real o reconfiguración de equilibrios entre competitividad y derechos fundamentales?

Digital Omnibus sobre IA: más plazo, más flexibilidad y un giro pro-negocio

La pieza más sensible del paquete es la que reabre el AI Act, una ley que apenas lleva un año en vigor. La Comisión propone vincular la entrada en aplicación de las obligaciones de alto riesgo a la disponibilidad de estándares y herramientas de apoyo, con un retraso máximo de hasta 16 meses respecto a los plazos actualmente previstos.

En la práctica, eso significa que ámbitos como empleo, crédito, educación o determinados usos policiales, que debían estar plenamente sujetos a las reglas de alto riesgo en agosto de 2026, podrían pasar a finales de 2027, como apuntan las primeras estimaciones de la prensa especializada.

Además del calendario, el Digital Omnibus sobre IA introduce varios cambios tácticos:

  • Extiende las simplificaciones (documentación técnica aligerada, requisitos más proporcionales) de las pymes a las small mid caps (hasta 749 empleados), lo que, según la Comisión, abarata el cumplimiento para unas 8.250 empresas adicionales y podría ahorrar al menos 225 millones de euros al año.
  • Relaja la carga de registro de sistemas en la base de datos de IA de alto riesgo cuando se usan para tareas auxiliares o procedimentales, no para decisiones sustantivas.
  • Elimina la obligación de un plan de seguimiento poscomercialización armonizado, sustituyéndolo por un enfoque más flexible, siempre que se mantenga la capacidad de monitorizar riesgos.
  • Refuerza la AI Office, que pasa a centralizar la supervisión de sistemas basados en modelos de IA de propósito general y de la IA integrada en grandes plataformas y motores de búsqueda.
  • Amplía los “regulatory sandboxes” y las pruebas en entorno real, incluyendo un sandbox europeo a partir de 2028 para probar soluciones en sectores como automoción o salud.
  • Autoriza el tratamiento de categorías especiales de datos (salud, datos biométricos, etc.) para detectar y corregir sesgos, bajo salvaguardas específicas.

Para una empresa tecnológica española, el mensaje es doble. Por un lado, más tiempo y menos papeleo para adaptar productos de alto riesgo, especialmente si la compañía está en la franja pyme-midcap. Por otro, una señal política inequívoca: la prioridad inmediata se desplaza hacia el crecimiento de la industria de IA, incluso si implica reabrir un pacto regulatorio que se vendió como “histórico”.

La industria digital pide ir más lejos en B2B, datos y cloud

DIGITALEUROPE ve el paquete de simplificación digital como una señal importante de que la UE empieza a traducir el discurso de competitividad en medidas concretas, en un momento en que solo el 8 % de sus empresas miembro es optimista sobre la trayectoria europea y casi la mitad percibe un empeoramiento del entorno de negocio. Con unos costes de cumplimiento que habrían subido un 12 % en un año y más de la mitad de sus socios buscando crecer fuera de Europa, la asociación considera “urgente” acertar con el rediseño del rulebook.

La patronal sostiene que el paquete debe centrarse sobre todo en el ángulo B2B, no tanto en los aspectos de consumo, porque ahí está la ventaja comparativa digital de Europa. Aplaude el retraso del AI Act como “necesario y en el momento adecuado” para terminar los estándares técnicos, pero reclama algo más: mejores mecanismos para hacer convivir el AI Act con marcos sectoriales ya maduros (como dispositivos médicos o maquinaria), identificando solo los verdaderos huecos de riesgo ligados a la IA.

En datos, DIGITALEUROPE pide que el Data Act vaya más lejos en incentivar, no forzar, la compartición de datos industriales, con salvaguardas claras para la propiedad intelectual y la seguridad, y que las reglas de cloud switching respeten contratos heredados y futuros, excluyendo los acuerdos B2B personalizados. Sobre ciberseguridad, valora positivamente la plataforma única de notificación, pero advierte de que la simplificación será incompleta si no se armonizan también el contenido y los plazos de los informes, y si no se ajusta el Cyber Resilience Act para productos de riesgo intrínseco muy bajo. Su mensaje final es que el Omnibus es solo un “primer paso” y que la negociación deberá afinar estos elementos para convertir la ambición regulatoria en verdadera ventaja competitiva.

Las organizaciones de consumidores y activistas de derechos digitales ven ese giro como algo más que un ajuste técnico. Euronews y otros medios señalan que el retraso permitirá que modelos de IA sigan tomando decisiones sobre acceso a servicios financieros esenciales usando datos que estaban más acotados en la versión original del AI Act.

Desde la sociedad civil se habla abiertamente de una estrategia de desregular para acelerar, con el riesgo de que la innovación se financie, en parte, con una mayor exposición de ciudadanos a decisiones automatizadas opacas o discriminatorias.

La Comisión responde que las prohibiciones básicas y el marco de derechos no se tocan y que los ajustes buscan evitar que las obligaciones entren en vigor sin estándares claros sobre cómo cumplirlas.

GDPR y cookies: alivio para el compliance, presión sobre la privacidad

El segundo bloque decisivo del Digital Omnibus revisa el GDPR y la ePrivacy Directive, en particular la forma en que se definen los datos personales y cómo se recaba el consentimiento en la web.

Redefinición de datos personales y entrenamiento de IA

La Comisión propone codificar la jurisprudencia reciente del Tribunal de Justicia sobre pseudonimización: si un tercero recibe un conjunto de datos tratados de forma que “razonablemente” no puede reidentificar a las personas, ese tercero no estaría tratando datos personales, aunque el emisor sí siga sujeto al GDPR.

Al mismo tiempo, se clarifica que las empresas pueden usar datos personales para entrenar modelos de IA basándose en el interés legítimo, siempre que se respeten las salvaguardas del GDPR y se permita al individuo oponerse al tratamiento.

Esta formulación, muy esperada por grandes proveedores de modelos fundacionales, reduce la incertidumbre legal sobre el entrenamiento con datos de usuarios europeos.

  • Desde la óptica empresarial, hay beneficios evidentes:
  • base jurídica algo más estable para entrenar modelos;
  • menor riesgo de enfoques divergentes entre autoridades nacionales;
  • posibilidad de compartir datasets pseudonimizados entre actores sin activar siempre el máximo nivel de obligaciones.

La contrapartida es un aumento significativo del margen de interpretación por parte de las empresas sobre cuándo un dato deja de ser personal y cuándo el “interés legítimo” pesa más que los derechos de los individuos. Reuters refleja cómo grupos de privacidad consideran que esto “vacía” de contenido partes clave del GDPR al permitir a compañías como Google, Meta u OpenAI entrenar modelos con datos europeos sin consentimiento previo.

Organizaciones como noyb y EDRi hablan de “muerte por mil recortes” del GDPR y de una reapertura masiva de las protecciones digitales de la UE, más que de ajustes quirúrgicos.

Para cualquier empresa española que haya invertido en cumplimiento del GDPR, el mensaje es ambivalente: se clarifican zonas grises, pero el coste reputacional de ir al límite de la nueva flexibilidad puede ser alto.

Menos banners, más señal global: la nueva política de cookies

En paralelo, el Digital Omnibus moderniza las reglas de cookies y, de facto, fusiona el núcleo de acceso a los dispositivos (hoy en ePrivacy) dentro del GDPR.

Las principales líneas son:

  • Consentimiento con un solo clic para aceptar o rechazar cookies, con la obligación de respetar la elección durante al menos seis meses.
  • Posibilidad de configurar preferencias de privacidad de forma centralizada (por ejemplo, en el navegador o el sistema operativo) que los sitios deberán respetar.
  • Creación de una “lista blanca” de usos de bajo riesgo (como métricas de audiencia agregadas o funciones estrictamente necesarias) para los que no sea preciso pedir consentimiento cada vez.

Traslado de las sanciones al marco del GDPR, lo que significa posibles multas de hasta el 4 % del volumen de negocio global en caso de acceso no autorizado al dispositivo.

Para los usuarios, la promesa es clara: menos clics absurdos y más control efectivo. Para las empresas digitales, incluidas las españolas, el panorama es más matizado: menos fricción en el front-end, pero un salto de riesgo si se accede al terminal sin respetar las nuevas señales de preferencia.

Los grupos de derechos digitales temen, además, que la combinación de lista blanca, interés legítimo ampliado y una definición de dato personal más estrecha termine normalizando formas de seguimiento que hoy generarían litigios.

Data Act y Data Union Strategy: más datos para IA, más soberanía… y más capas

En el frente de datos, la Comisión mueve dos fichas simultáneas: simplifica y concentra normas existentes y, a la vez, abre nuevas vías para explotar datos industriales y públicos.

Por un lado, el Digital Omnibus condensa el marco de datos no personales en una versión reestructurada del Data Act, que absorbe partes del Data Governance Act, la Open Data Directive y la regulación sobre libre circulación de datos no personales.

Entre las medidas más relevantes:

  • Exenciones específicas a las reglas de cambio de proveedor cloud para pymes, small mid caps y servicios a medida contratados antes de la entrada en vigor del Data Act, con un ahorro estimado de 1.500 millones de euros en renegociación de contratos.
  • Eliminación del registro obligatorio de proveedores de servicios de intermediación de datos, para rebajar barreras de entrada en ese mercado.
  • Simplificación del marco de “data altruism” para facilitar que empresas y ciudadanos cedan datos con fines de interés general.
  • Acotación de las obligaciones de data sharing empresa-administración a situaciones de emergencia clara (grandes inundaciones, pandemias, etc.), lo que debería reducir costes y litigios sobre requerimientos excesivos.

Por otro lado, la Data Union Strategy busca pasar del diseño de reglas a la explotación efectiva de datos para IA. La estrategia se articula en tres ejes:

  1. Escalar el acceso a datos para IA mediante data labs integrados en “AI factories” y una apuesta más fuerte por los Common European Data Spaces (incluyendo defensa) y por datos sintéticos cuando falten datos reales.
  2. Alinear y simplificar reglas de compartición, con más plantillas contractuales y un Data Act Legal Helpdesk que ayude a empresas (sobre todo pymes) a navegar el marco.
  3. Reforzar la soberanía de datos de la UE frente a terceros países, con un “anti-leakage toolbox” para proteger secretos empresariales y datos sensibles no personales, y nuevas directrices para evaluar el trato que reciben los datos europeos en jurisdicciones extranjeras.

Para las empresas tecnológicas en España, esto abre una oportunidad tangible: acceso más sencillo a datasets sectoriales (energía, movilidad, salud, industria) para entrenar modelos locales, sin depender únicamente de datos propios o de plataformas globales. Sin embargo, el énfasis en la “soberanía de datos” puede añadir una capa extra de análisis a cualquier estrategia que dependa de nubes estadounidenses o de procesar datos europeos fuera de la UE.

Think tanks como Bruegel han advertido que, si el equilibrio no se calibra bien, la ampliación de acceso a datos puede venir acompañada de un incremento de riesgos en privacidad y seguridad, especialmente si se relajan obligaciones de IA al mismo tiempo.

Ciberseguridad: una ventanilla única para incidentes, sin rebajar el listón

En materia de ciberseguridad, la reforma es menos polémica y más operativa. Hoy, un incidente grave puede implicar reportes separados bajo NIS2, GDPR, DORA, la Directiva de Resiliencia de Entidades Críticas y el reglamento de identidad digital, entre otros.

El Digital Omnibus propone crear un “single entry point” gestionado por ENISA: una interfaz única donde la entidad envía un informe y, a partir de ahí, el sistema lo enruta automáticamente a las autoridades competentes bajo cada norma aplicable. La Comisión sostiene que, para la mayoría de organizaciones, esto puede reducir el esfuerzo de reporte aproximadamente a la mitad y, de paso, mejorar la calidad de la información recibida por los reguladores.

Te puede interesar
X
Bruselas multa a X con 120 millones por infringir la Digital Services Act

Importante para cualquier CISO:

  • no se eliminan obligaciones de notificación ni se amplían plazos;
  • los contenidos mínimos de cada reporte siguen anclados en sus leyes origen;
  • la UE y ENISA insisten en que no tendrán acceso pleno a los datos de incidentes salvo que la legislación de base lo permita.

En la práctica, la simplificación dependerá de cómo se integre esta ventanilla única con los CSIRT nacionales y con supervisores sectoriales (por ejemplo, Banco de España o CNMV en el caso financiero). En los primeros años, cabe esperar cierta doble carga mientras se sincronizan formatos y procesos.

European Business Wallet: un DNI digital para empresas en toda la UE

La tercera pieza del paquete, menos ideológica y muy concreta para operaciones, es la creación de las European Business Wallets. Se trata de credenciales digitales que permitirán a las empresas:

  • identificarse y autenticarse frente a cualquier administración de los 27;
  • firmar, fechar y sellar documentos con pleno valor jurídico;
  • almacenar y compartir licencias, certificados y otros documentos verificados;
  • establecer un canal seguro de comunicación con administraciones y, potencialmente, con otras empresas.

La propuesta fija un plazo de dos años para que todas las administraciones públicas, incluidas las instituciones de la UE, estén en condiciones de aceptar el uso de estas carteras, aprovechando en lo posible sistemas ya existentes a nivel nacional y apoyándose en el marco de identidad digital europea (eIDAS) y pilotos como el consorcio WeBuild.

Las empresas no estarán obligadas a usar las wallets, pero la Comisión confía en que la reducción de trámites y costes actúe como incentivo suficiente. Sus propios cálculos hablan de hasta 150.000 millones de euros de ahorro anual en procesos administrativos si la adopción es amplia.

Para una pyme o scaleup española con ambición europea, el impacto potencial es claro: menos fricción para abrir sucursales en otros países, participar en licitaciones públicas transfronterizas o gestionar obligaciones fiscales en distintos Estados miembros. La clave estará en tres elementos que todavía no se conocen en detalle:

  1. Modelo técnico y de gobernanza: quién opera las wallets, qué proveedores intervienen, cómo se evitan dependencias de un único fabricante o proveedor cloud.
  2. Seguridad y recuperación: qué ocurre si se compromete una cartera, cómo se revoca y se reasignan credenciales sin paralizar la actividad.
  3. Interoperabilidad real: hasta qué punto los Estados miembros aceptan de forma homogénea los mismos atributos y certificados.

La experiencia con la identidad electrónica para ciudadanos muestra que el diseño puede ser sólido y, aun así, la adopción lenta y desigual entre países.

Ganadores y perdedores: empresas, Big Tech y ciudadanía

Desde la perspectiva de Bruselas, el Digital Omnibus es una pieza más en una agenda de simplificación que busca reducir en un 25 % los costes administrativos para todas las empresas y en un 35 % para las pymes hasta final de mandato.

Las intervenciones de Dombrovskis y Virkkunen subrayan que, sin aliviar la carga regulatoria, la UE seguirá perdiendo terreno frente a otros polos de innovación en IA.

Los grandes actores tecnológicos reciben el paquete con alivio cauteloso. El retraso en las obligaciones de alto riesgo, la ampliación de bases jurídicas para entrenar modelos y la clarificación de qué datos están realmente bajo el paraguas del GDPR reducen riesgo regulatorio y costes de cumplimiento. No es casual que asociaciones como CCIA Europe hayan calificado las medidas de paso en la buena dirección, aunque piden ir más lejos.

En el otro extremo, organizaciones de consumidores y derechos digitales describen el paquete como una “gran marcha atrás” en la protección digital europea, e incluso como la mayor erosión de derechos en la historia digital de la UE.

Aducen tres riesgos:

  1. que la combinación de interés legítimo ampliado y redefinición de dato personal facilite entrenar IA con datos íntimos sin garantías suficientemente robustas;
  2. que el retraso de las reglas de alto riesgo deje a consumidores expuestos a decisiones automatizadas en crédito, seguros, empleo o servicios esenciales con menos obligaciones de transparencia;
  3. que la realineación de ePrivacy y GDPR debilite protecciones duramente negociadas durante la última década.

La Comisión insiste en que el núcleo del GDPR y del AI Act permanece intacto y que los cambios son “targeted amendments”, pero el tono del debate sugiere que Parlamento y Consejo no validarán el paquete sin modificaciones.

Para el tejido empresarial europeo, la situación es paradójica: el paquete promete simplificación, pero abre un nuevo ciclo de negociación legislativa y, con ello, una fase de incertidumbre sobre el texto final.

Qué deberían vigilar las empresas tecnológicas en España

Para directivos y responsables de cumplimiento en España, el Digital Omnibus y la Data Union Strategy no son solo titulares de Bruselas. Marcan la agenda regulatoria de los próximos dos o tres años:

  1. AI Act: no bajar la guardia
    Aunque las obligaciones de alto riesgo se retrasen, las decisiones de inversión en IA (por ejemplo, scoring crediticio, selección de personal, sistemas sanitarios) deben seguir basadas en la versión actual del AI Act, asumiendo que las protecciones de derechos no desaparecerán. El retraso da margen para prepararse mejor, no para ignorar el marco.
  2. Datos y entrenamiento de modelos
    La ampliación del interés legítimo y la pseudonimización “forte” abren opciones, pero el escrutinio público será intenso. Para empresas españolas, mantener estrategias conservadoras (datos minimizados, consentimiento robusto cuando sea viable, registros claros de cómo se entrena cada modelo) seguirá siendo una ventaja competitiva frente a posibles litigios.
  3. Arquitectura de datos y soberanía
    La Data Union Strategy y el anti-leakage toolbox apuntan a un entorno donde el origen y la ubicación de los datos importan todavía más. Conviene revisar dependencias de proveedores extracomunitarios, cláusulas contractuales sobre acceso a datos y planes de contingencia si ciertos flujos se restringen.
  4. Ciberseguridad: aprovechar la ventanilla única
    La simplificación del reporte de incidentes puede ser una buena ocasión para unificar procesos internos dispersos entre ciber, legal y privacidad. Diseñar plantillas y flujos pensando ya en el “single entry point” ahorrará trabajo cuando el sistema entre en funcionamiento.
  5. Prepararse para el European Business Wallet
    Las empresas con actividad transfronteriza deberían seguir de cerca los pilotos y estándares de las wallets. Integrar estos mecanismos en procesos de onboarding, facturación y licitaciones puede reducir significativamente tiempos y costes, sobre todo para scaleups que salen al mercado europeo.
  6. Participar en el Digital Fitness Check
    La consulta abierta hasta el 11 de marzo de 2026 ofrece a empresas, asociaciones y hubs de innovación españoles un canal formal para influir en cómo se reconfigura el rulebook digital. Silencio hoy puede traducirse en reglas menos adaptadas mañana.

La UE aspira a demostrar que puede ser al mismo tiempo continente de la IA y garante de derechos digitales. El Digital Omnibus, la Data Union Strategy y las Business Wallets son el primer gran test de esa promesa en un contexto de fuerte presión geopolítica y competencia tecnológica.

Etiquetas

Editor en La Ecuación Digital. Analista y divulgador tecnológico con más de 30 años de experiencia en el estudio del impacto de la tecnología en la empresa y la economía.

La Ecuación Digital

© 2023 Curado y Editado por Hernán Rodríguez.
All Rights Reserved.

Utilizamos cookies para facilitar la relación de los visitantes con nuestro contenido y para permitir elaborar estadísticas sobre las visitantes que recibimos. No se utilizan cookies con fines publicitarios ni se almacena información de tipo personal. Puede gestionar las cookies desde aquí.   
Privacidad