La Asociación Española de la Economía Digital (Adigital) ha trazado el mapa normativo que marcará el desarrollo del ecosistema digital en 2026, tanto en el plano estatal como en el comunitario. El documento, elaborado a partir de una consulta entre sus empresas asociadas, señala una agenda densa y fragmentada, con implicaciones directas para la gobernanza de la inteligencia artificial, la ciberseguridad, la protección de menores y la operativa transfronteriza de empresas tecnológicas.
Entre los expedientes más relevantes figura el Anteproyecto de Ley de Gobernanza de la Inteligencia Artificial, aún pendiente de aprobación en España. Este texto incorpora elementos más restrictivos que el Reglamento europeo de IA (AI Act), especialmente en lo relativo a transparencia algorítmica y supervisión de sistemas de alto riesgo. Su tramitación avanza en paralelo a la implementación del AI Act en la UE, cuya efectividad dependerá en gran medida del desarrollo del código de buenas prácticas y de las medidas de simplificación que se articulen a través del Ómnibus Digital.
Este último, concebido como un paquete legislativo para reducir cargas administrativas y reforzar la seguridad jurídica, se estructura en torno a dos ejes: facilitar la aplicación del AI Act y actualizar la normativa sobre datos, privacidad y ciberseguridad. Aunque su objetivo declarado es aligerar el cumplimiento normativo para pymes y scaleups, su alcance real dependerá de cómo se resuelvan las tensiones entre simplificación y garantías regulatorias.
En materia de ciberseguridad, la transposición de la Directiva NIS2 representa un cambio estructural. A diferencia de su predecesora, amplía su ámbito a nuevos sectores, incluidos los proveedores de servicios digitales, e impone obligaciones reforzadas en gestión de riesgos y notificación de incidentes. También introduce un marco más armonizado entre Estados miembros, con mecanismos de cooperación que buscan mejorar la respuesta ante amenazas comunes. Su aplicación efectiva, sin embargo, requerirá ajustes operativos significativos por parte de las empresas afectadas.
Otro de los hitos normativos del año será la entrada en vigor del eIDAS 2, que obliga a los Estados miembros a habilitar antes de diciembre la European Digital Identity Wallet. Esta cartera digital permitirá a ciudadanos y empresas identificarse electrónicamente en cualquier país de la UE con un nivel de seguridad reconocido, lo que podría facilitar la prestación de servicios transfronterizos. No obstante, su despliegue técnico y la interoperabilidad entre sistemas nacionales siguen siendo puntos críticos.
En el ámbito de los servicios digitales, el foco está puesto en la adaptación española del Reglamento de Servicios Digitales (DSA) y del Reglamento de Libertad de Medios de Comunicación (EMFA), ambos integrados en el Proyecto de Ley de Gobernanza Democrática en Servicios Digitales y Medios de Comunicación. La habilitación de la CNMC como autoridad supervisora aún está pendiente, lo que añade incertidumbre sobre la coordinación entre niveles institucionales y la posible fragmentación del mercado único.
La protección de los consumidores digitales también entra en una nueva fase con la propuesta de Equidad Digital (DFA), prevista para el último trimestre del año. Esta iniciativa busca cerrar vacíos regulatorios detectados en 2024 por la Comisión Europea, abordando prácticas como el diseño adictivo, los patrones oscuros o el marketing de influencers. Aunque todavía en fase preliminar, el texto apunta a una ampliación del perímetro regulatorio que podría afectar a modelos de negocio basados en la personalización intensiva.
En paralelo, la protección de menores en entornos digitales se consolida como prioridad legislativa. A nivel nacional, el Proyecto de Ley Orgánica en tramitación introduce nuevas obligaciones para plataformas y fabricantes, incluyendo sistemas de verificación de edad y sanciones más severas frente a contenidos nocivos. En el plano europeo, se estudia la creación de un panel de expertos para evaluar la conveniencia de establecer una mayoría de edad digital, así como el desarrollo de herramientas de control parental interoperables.
Por último, el Régimen 28, cuya propuesta se espera para marzo, plantea un marco legal armonizado y voluntario para empresas que operan en varios países de la UE. La iniciativa, que incluye reglas simplificadas en derecho societario, gobernanza e insolvencia, está especialmente alineada con los intereses de plataformas como EsTech, que agrupa a empresas tecnológicas de alto crecimiento. La insistencia de estas en que adopte la forma de reglamento, y no de directiva, refleja la preocupación por evitar interpretaciones divergentes que socaven su objetivo de facilitar la escalabilidad transfronteriza.
Aunque el volumen y complejidad de los expedientes en curso puede resultar abrumador, también refleja una fase de maduración del marco digital europeo. La cuestión, como señalan desde Adigital, no es solo qué normas se aprueban, sino cómo se implementan y con qué grado de coherencia entre niveles institucionales. La ventana de oportunidad para consolidar un entorno competitivo y seguro está abierta, pero su aprovechamiento dependerá de la capacidad de coordinación entre reguladores, empresas y sociedad civil.
