El paquete de simplificación normativa de la regulación digital europea

1.- Introducción

A raíz del informe de Mario Draghi del año pasado, la Comisión Europea está trabajando a toda velocidad para simplificar el panorama normativo de la Unión Europea.

Con ese fin, el pasado 19 de noviembre de 2025 la Comisión ha presentado una serie de paquetes legislativos «ómnibus» destinados a racionalizar las normas y reducir la carga administrativa del sector. En concreto, se trata de dos propuestas de reforma ómnibus: una sobre la simplificación de la regulación digital y otra sobre la simplificación específica de las normas en materia de inteligencia artificial.

A continuación se presenta un resumen de los principales cambios propuestos de la reforma y sus implicaciones prácticas para los actores afectados.

2.- Datos personales

Concepto jurídico de «dato personal»: la propuesta reforma la definición de dato personal para excluir la información que una entidad trata sin medios que le permitan identificar «de forma razonablemente probable» al interesado subyacente. Este cambio se ajusta al enfoque recientemente respaldado por el Tribunal de Justicia de la Unión Europea (TJUE). La reforma propuesta no altera fundamentalmente el ámbito de aplicación del Reglamento General de Protección de Datos (RGPD), pero proporciona una definición más pragmática en consonancia con la jurisprudencia reciente.

Modificación de las normas sobre «categorías especiales de datos»: el primer borrador de la propuesta contenía una disposición que restringía la definición de datos «sensibles» del artículo 9 del RGPD a la información que revelara directamente dichos datos. El texto definitivo abandonó esa modificación e introduce nuevas excepciones a la prohibición de tratar datos «sensibles», permitiéndolo, en particular, para el desarrollo y el funcionamiento de sistemas de inteligencia artificial (IA), siempre que se apliquen garantías estrictas.

«Codificación» de los intereses legítimos como base jurídica para el tratamiento de datos personales por los sistemas de IA: además, la reforma reconoce la posibilidad de basarse en el interés legítimo como base jurídica para su tratamiento de cara a desarrollar y operar modelos y sistemas de IA, en línea con lo previsto por el Comité Europeo de Protección de Datos (CEPD) en su dictamen de diciembre de 2024.

La propuesta también introduce un derecho incondicional a oponerse al uso de los datos personales para dicha formación. Este cambio debería dar lugar a una mayor transparencia y a mecanismos de exclusión voluntaria fáciles de usar, que, sin embargo, pueden ser difíciles de aplicar en la práctica.

Integración de las normas sobre privacidad electrónica en el RGPD de la llamada directiva ePrivacy: la reforma reduce la complejidad creada por la coexistencia de normas que regulan el uso de cookies y tecnologías similares en los equipos terminales de los usuarios. Este doble régimen ha generado incertidumbre jurídica y mayores costes de cumplimiento para los responsables del tratamiento de datos personales obtenidos a través de dichas tecnologías.

La reforma amplía el abanico de situaciones en las que se pueden utilizar cookies y herramientas similares sin consentimiento, incluyendo, por ejemplo, la medición de audiencias, pero solo para uso propio del propietario del sitio web (no para terceros). Para reducir el riesgo de fatiga del consentimiento, la reforma también exige a los responsables del tratamiento que establezcan preferencias de los usuarios automatizadas y legibles por máquina, con el fin de recordar su negativa a dar su consentimiento durante, al menos, seis meses.

Racionalización de las evaluaciones de impacto relativas a la protección de datos (EIPD): La reforma exige la creación de listas únicas a escala de la UE de operaciones de tratamiento que requieren y no requieren una EIPD, en lugar de la situación fragmentada actual por cada Estado miembro. Estas listas deben ser adoptadas por la Comisión. Su elaboración se ha encomendado al Comité Europeo de Protección de Datos (CEPD), que también debe preparar una plantilla y un método comunes para realizar las EIPD en el futuro, que se revisarán cada tres años. Esta armonización es una mejora muy positiva.

3.- Ciberseguridad

Un único punto de entrada para la notificación de incidentes en virtud de múltiples legislaciones: la reforma introduce una plataforma de notificación unificada, que será gestionada por la Agencia de la Unión Europea para la Ciberseguridad (ENISA). Este cambio debería simplificar considerablemente el cumplimiento de las diversas normas en materia de ciberseguridad y notificación de violaciones de la seguridad de datos (incluidos el RGPD, la Directiva NIS2, el Reglamento de resiliencia operativa digital, el Reglamento eIDAS y la Directiva sobre la resiliencia de las entidades críticas). Este modelo de «notificar una vez, compartir muchas veces» está diseñado para reducir la carga administrativa de las partes interesadas y, por lo tanto, reducir los costes y mejorar la coordinación de la respuesta a las incidencias.

4.- Datos no personales

Consolidación regulatoria en el Reglamento de Datos: la reforma consolida la mayor parte de la legislación vigente en materia de datos no personales en el Reglamento de Datos, lo que supone un paso importante hacia la creación de un código normativo exhaustivo de la UE en materia de datos no personales. Esta medida debería garantizar una mayor uniformidad y reducir el riesgo de solapamientos y contradicciones.

Aclaración del Reglamento de Datos: uno de los principales cambios del Reglamento de Datos es la ampliación de la defensa del secreto comercial para denegar el intercambio de datos cuando exista un alto riesgo de que estos sean accesibles en un país extranjero que ofrezca una protección del secreto comercial más débil en comparación con las normas de la UE, o que carezca de una protección adecuada.

5.- Inteligencia artificial

Aunque el Reglamento europeo de IA (el RIA) se encuentra todavía en su fase inicial de aplicación, la Comisión ya está proponiendo modificaciones específicas para abordar los obstáculos previstos en su aplicación, reducir las cargas administrativas y garantizar una implantación más fluida y favorable a la innovación. Entre los principales cambios propuestos figuran los siguientes.

Plazos flexibles y medidas transitorias: en un cambio muy importante, la aplicación de las reglas para los sistemas de IA de alto riesgo ya no está vinculada a una fecha fija. En su lugar, está condicionada a la disponibilidad de normas armonizadas y otras herramientas de cumplimiento, que la Comisión confirmará mediante una decisión formal. Las obligaciones de los sistemas de IA de alto riesgo se aplicarán tras un período transitorio, es decir, seis meses para los sistemas del anexo III (que abarca los casos de sistemas autónomos de alto riesgo, como los sistemas biométricos o de recursos humanos) y doce meses para los sistemas del anexo I (que comprende los componentes de seguridad de productos regulados, como la maquinaria o los productos sanitarios), con una fecha límite definitiva el 2 de diciembre de 2027 y el 2 de agosto de 2028, respectivamente. Además, se introduce un período de gracia de seis meses para las obligaciones de transparencia de la IA generativa. Los proveedores de sistemas comercializados antes del 2 de agosto de 2026 tendrán hasta el 2 de febrero de 2027 para cumplir los requisitos de «marcado».

Centralizar y reforzar la supervisión: según la propuesta, la supervisión se centralizará en la Oficina Europea de IA, que supervisará los sistemas de IA de las plataformas en línea de gran tamaño (VLOP) y los motores de búsqueda en línea de gran tamaño (VLOSE), tal y como se definen en el Reglamento de Servicios Digitales (DSA), así como los basados en un modelo de IA de uso general en el que el proveedor desarrolla tanto el modelo como el sistema.

Reducción de la carga normativa: las principales ventajas normativas que benefician a las pequeñas y medianas empresas (PYME) se amplían a las pequeñas empresas de mediana capitalización (SMC), incluyendo la simplificación de la documentación técnica, la racionalización de los sistemas de gestión de la calidad y la reducción de los límites máximos de las multas. La propuesta también elimina la obligación de los proveedores de registrar los sistemas de IA con un uso potencialmente de alto riesgo cuando se benefician de las excepciones del artículo 6.3 del RIA. Por último, suaviza la obligación de «alfabetización» del artículo 4 del RIA, trasladándola de los proveedores y los responsables del despliegue a la Comisión y los Estados miembros.

Racionalización de la evaluación de la conformidad: para evitar cuellos de botella en la certificación de los sistemas, la propuesta simplifica el proceso de designación de los organismos de evaluación de la conformidad. Los que ya están designados en virtud de otras normas de seguridad de productos de la UE (por ejemplo, los productos sanitarios) pueden someterse a un único procedimiento de evaluación para cubrir los requisitos de IA, lo que acelera su disponibilidad.

Enfoque pragmático para la detección de sesgos: la propuesta permite el tratamiento de categorías especiales de datos personales (en el sentido del art. 9 RGPD), cuando sea estrictamente necesario para la detección y corrección de sesgos, con sujeción a garantías estrictas.

Ampliación y estructuración de los mecanismos de innovación: la propuesta amplía el uso de espacios controlados de pruebas (sandboxes) y pruebas en condiciones reales. Esto debería beneficiar a las industrias básicas europeas y, en particular, al sector del automóvil.

6.- Conclusión

El Digital Omnibus acaba de proponerse y queda un largo camino para su aprobación. Una vez concluidas las negociaciones entre el Parlamento y el Consejo, los llamados trílogos, el texto definitivo probablemente diferirá en bastantes puntos de la versión inicial. Dada la amplitud de las enmiendas presentadas, los debates pueden resultar largos. Incluso, algunos de los plazos de gracia propuestos podrían expirar antes de su adopción.

En definitiva, la cuestión fundamental es si las iniciativas de la Comisión que hemos examinado para racionalizar el marco regulador digital de la UE reforzarán en última instancia la competitividad, tal y como se pretende. Sin duda, este es un resultado que esperamos de todo corazón, pero que no debe conseguirse anulando las salvaguardias que ha introducido el RIA para que la IA sea justa, segura y confiable, y con garantías de progreso para todos y no únicamente unos pocos.