La UE relaja las normas de IA: Digital Omnibus reconfigura la AI Act y el GDPR

La Comisión Europea ha presentado un paquete de cambios denominado Digital Omnibus que reconfigura la forma en que la UE regula la inteligencia artificial, la privacidad y los servicios digitales. Los puntos clave:

  • partes de la AI Act relativas a sistemas de IA de “alto riesgo” se posponen hasta finales de 2027;
  • se flexibilizan algunos artículos del GDPR, especialmente en lo que respecta al uso de datos para entrenar modelos de IA;
  • se simplifican las normas sobre cookies y la notificación de incidentes de ciberseguridad.

Las asociaciones empresariales celebran el paquete como un freno necesario a la sobrerregulación y una oportunidad para que Europa recupere terreno frente a Estados Unidos y China en la carrera de la IA. Los defensores de la privacidad, en cambio, lo describen como un “gran retroceso” que concede ventajas a las grandes tecnológicas.

Edificio de la Comisión Europea con banderas de la UE e iconos digitales que simbolizan la regulación de la IA

¿Qué es Digital Omnibus y qué cambia en la AI Act?

Digital Omnibus intenta racionalizar y “aligerar” un gran bloque de normas digitales ya existentes en la UE. La parte más polémica afecta a la AI Act, la primera gran ley horizontal sobre inteligencia artificial del mundo.

Hasta ahora, el plan era que las normas estrictas para los sistemas de IA de alto riesgo (por ejemplo, reconocimiento facial en espacios públicos, IA médica, scoring crediticio, herramientas de contratación, sistemas policiales) empezaran a aplicarse en 2026. La Comisión propone ahora mover ese plazo a diciembre de 2027.

En la práctica esto significa:

  • más tiempo para que las empresas adapten sus productos de IA (documentación, evaluación de riesgos, pruebas);
  • menos riesgo de sanciones a corto plazo;
  • pero también una ventana más larga en la que las aplicaciones de IA sensibles seguirán operando con normas antiguas o menos precisas.

Para las start-ups europeas de IA y los grandes actores del sector, se trata de un alivio a corto plazo: dos años más con menor presión regulatoria. Para los usuarios y los grupos de derechos digitales, es una señal de que la UE está siendo menos agresiva que antes a la hora de proteger a los ciudadanos frente a sistemas de IA potencialmente dañinos.

Un GDPR más suave: más datos para entrenar, menos ventanas de cookies

El segundo gran bloque del paquete se refiere a la privacidad y los datos:

  • autorización más clara para utilizar datos personales en el entrenamiento de modelos de IA amparándose en el “interés legítimo” de la empresa, sin necesidad de pedir un consentimiento explícito para cada caso concreto;
  • intento de reducir la fatiga de cookies —esas ventanas de consentimiento interminables— agrupando ciertas tecnologías de seguimiento y simplificando los flujos de aceptación;
  • notificación de incidentes de ciberseguridad más centralizada, para que las empresas no tengan que tratar con varias autoridades nacionales a la vez.

La Comisión sostiene que esto no reduce el nivel de protección, sino que “aclara y simplifica” la aplicación de las normas y podría ahorrar miles de millones de euros en costes administrativos en los próximos años.

Los críticos advierten de que:

  • será mucho más fácil utilizar grandes volúmenes de datos de ciudadanos de la UE para entrenar modelos de IA sin que la gente sepa realmente cómo se usan sus datos;
  • la línea entre “tratamiento legítimo” y perfilado de usuarios con fines comerciales o políticos se vuelve borrosa;
  • los usuarios individuales tendrán aún más dificultades para seguir la pista de dónde terminan sus datos y quién los utiliza.

Las empresas aplauden, los activistas hablan de un gran retroceso

Las asociaciones empresariales europeas describen Digital Omnibus como “un paso en la dirección correcta”. Sus argumentos principales:

  • las empresas europeas operan bajo una carga regulatoria más pesada que sus competidores en Estados Unidos y China;
  • la superposición de normas (AI Act, GDPR, Data Act, e-Privacy, NIS2…) ralentiza la innovación y empuja a las start-ups a trasladarse a Londres o Silicon Valley;
  • unas reglas más claras y ligeras deberían facilitar la inversión en centros de datos e infraestructura de IA en Europa.

Las organizaciones de la sociedad civil y los grupos de derechos digitales discrepan frontalmente. Para ellos, el paquete parece:

  • un retroceso significativo en materia de derechos digitales,
  • una concesión a las grandes tecnológicas estadounidenses que han hecho lobby durante meses contra una aplicación estricta de la AI Act,
  • un precedente que podría animar a diluir aún más las leyes digitales cada vez que la industria presione lo suficiente.

En el plano político, la propuesta probablemente desencadenará un intenso debate en el Parlamento Europeo y entre los Estados miembros, ya que Digital Omnibus aún debe pasar por todo el proceso legislativo.

¿Qué significa esto para las start-ups de IA y los usuarios en Estados Unidos?

Aunque la UE esté haciendo sus normas más flexibles, sigue muy por delante de Estados Unidos en cuanto a legislación integral sobre IA. El contraste es importante tanto para las empresas estadounidenses como para los usuarios.

Para las start-ups y empresas tecnológicas en EE. UU.:

  • la UE sigue siendo el único gran mercado con una ley horizontal de IA detallada. Cualquiera que quiera vender sistemas de IA de alto riesgo en Europa tendrá que cumplir la AI Act, incluso si la aplicación estricta se retrasa hasta 2027;
  • muchas compañías estadounidenses ya tratan a la UE como la “referencia más estricta” y reutilizan esos mismos estándares a nivel global. Si Digital Omnibus suaviza algunas obligaciones, puede que reduzca ligeramente los costes de cumplimiento, pero la dirección general —transparencia, evaluación de riesgos, documentación— se mantiene;
  • en comparación con la UE, EE. UU. sigue basándose sobre todo en un mosaico de:
    • normas sectoriales (sanidad, finanzas, empleo),
    • leyes de privacidad estatales (CCPA/CPRA en California, Colorado, Connecticut, Virginia…),
    • y la orden ejecutiva sobre IA de 2023, que marca directrices federales pero no es una ley de IA completa.

Para los usuarios estadounidenses:

  • en la práctica, pueden ver protecciones más estrictas cuando usan servicios orientados a la UE (por ejemplo, cuando un producto ofrece configuraciones o avisos diferentes para usuarios europeos) y menos estrictas en casa, donde todavía no existe una ley federal integral de IA;
  • al mismo tiempo, la competencia entre modelos regulatorios se intensifica:
    • la UE promueve un enfoque basado en derechos fundamentales,
    • EE. UU. se centra en la innovación, los compromisos voluntarios y la actuación selectiva de agencias como la FTC,
    • China está construyendo su propio marco normativo centrado en el Estado.

Para las plataformas globales de IA, la ruta más segura suele ser diseñar productos que cumplan las exigencias más duras de las tres regiones. Eso significa que, aunque vivas en EE. UU. y nunca pongas un pie en Europa, las normas de la UE seguirán influyendo en lo que tus aplicaciones de IA pueden y no pueden hacer.

Conclusión

Digital Omnibus muestra hasta qué punto la posición de la UE es incómoda: quiere seguir siendo líder global en privacidad y derechos digitales, pero no quiere quedarse fuera de la ola económica de la inteligencia artificial.

Para la industria de la IA, esto es en gran medida una buena noticia a corto plazo: más tiempo, menos presión, más datos. Para los activistas y los usuarios preocupados por su privacidad, es una señal de alarma de que incluso las regulaciones más estrictas pueden relajarse cuando las apuestas económicas y políticas son lo bastante altas.

Para los lectores estadounidenses, la conclusión principal es que la carrera regulatoria acaba de empezar. EE. UU. sigue sin una ley global de IA, pero las decisiones de la UE moldearán el comportamiento de las grandes plataformas que usas cada día. Entender cómo Bruselas reescribe las normas de IA ya no es solo un asunto europeo: forma parte de tu vida digital cotidiana.

Disclaimer: Este texto tiene carácter informativo y no constituye asesoramiento legal. Para casos concretos relacionados con sistemas de IA y tratamiento de datos, es imprescindible consultar a un abogado o especialista en cumplimiento normativo.