La «ley ómnibus» digital y el AI Act: menos revolución de la que parece

En las últimas semanas ha cundido la sensación de que la nueva «ley ómnibus» digital de la Comisión Europea iba a dinamitar el recién estrenado Reglamento de Inteligencia Artificial (Reglamento (UE) 2024/1689, AI Act). Algunos titulares, haciéndose eco de organizaciones como EDRi, hablaban de un «retroceso masivo» en las garantías.

Sin embargo, un análisis detallado de las propuestas oficiales COM(2025) 836 y 837, presentadas el 19 de noviembre, revela un panorama menos apocalíptico. El paquete forma parte de la agenda de «simplificación» de la Comisión, que busca reducir en un 25% la carga administrativa global. No es un nuevo reglamento de IA, sino un texto de coordinación que toca al AI Act, al RGPD, al Data Act, a NIS2 y a ePrivacy.

Para las empresas, la pregunta relevante no es «¿desaparece el AI Act?», sino «¿qué cambia en mi cumplimiento?». La respuesta: habrá ajustes en plazos, reporting y bases jurídicas, pero la obligación de adecuarse permanece intacta.

Qué es exactamente la Digital Omnibus y dónde toca al AI Act

La Digital Omnibus modifica el AI Act, el RGPD, el Data Act, NIS2 y ePrivacy, y consolida normas «satélite» como el Data Governance Act. Su lógica es más de «limpieza de cocina» que de «nuevo menú»: eliminar duplicidades, armonizar definiciones y crear mecanismos únicos de notificación.

En relación con el AI Act, los ejes confirmados son tres. Primero, el ajuste de plazos para sistemas de alto riesgo: un máximo de 16 meses adicionales (no 18 como se filtró), condicionado a que la Comisión confirme la disponibilidad de estándares y herramientas de soporte.

Segundo, la clarificación del encaje entre AI Act y RGPD. El paquete introduce el «interés legítimo» como base jurídica reconocida para el desarrollo y operación de sistemas de IA, siempre que el tratamiento sea necesario y proporcionado. Esto pone fin a un largo debate, aunque estrecha el concepto de «dato sensible» a aquellos que directamente revelan información íntima.

Tercero, la simplificación del régimen de notificación de incidentes, alineándolo con NIS2 y el RGPD mediante un sistema de «report once, share with all» con plataforma única gestionada por ENISA.

Es importante subrayar que hablamos de propuestas: el texto tendrá que negociarse con el Parlamento y el Consejo.

¿Supone esto un «desmontaje» del AI Act?

Desde un plano técnico, no. El AI Act sigue siendo el marco matriz que clasifica los sistemas por riesgo, fija obligaciones de gobernanza, gestión de riesgos y documentación técnica, y prevé sanciones significativas. La Digital Omnibus no elimina estas obligaciones.

Lo que hace es alargar algunos plazos para que proveedores dispongan de más tiempo, y alinear conceptos con el RGPD, el Data Act y NIS2. El AI Act no desaparece ni se «rebaja» estructuralmente, pero se alivia el «choque» inicial de implementación para compañías que ya lidian con múltiples normativas.

El punto más sensible: datos personales para entrenar IA

Uno de los aspectos más polémicos es la posible relajación de garantías en el uso de datos personales para entrenamiento de modelos. Aquí conviene hacer dos precisiones. Primero, no es un «cheque en blanco». Aunque se codifique el «interés legítimo» como base jurídica, seguirían aplicando los principios de minimización, limitación de finalidad y proporcionalidad del RGPD, las restricciones para categorías especiales de datos, y las exigencias de gobernanza del AI Act.

Segundo, para una empresa de mercado medio, el riesgo de cumplimiento no se reduce, se reconfigura. El debate se desplaza de «¿tengo consentimiento?» a «¿puedo justificar un interés legítimo proporcionado?». Esto implica rediseñar las evaluaciones de interés legítimo (LIA) específicas para IA, reforzar la anonimización efectiva, y articular evaluaciones de impacto en derechos fundamentales (FRIAs) y de protección de datos (DPIAs) coherentes.

(Imagen: E&J)

La unificación de reportings

Donde sí cabe hablar de impacto práctico inmediato es en la notificación de incidentes. Hoy, un incidente de ciberseguridad que afecte a sistemas críticos, integridad de IA de alto riesgo y confidencialidad de datos puede activar obligaciones bajo NIS2, RGPD, AI Act y DORA, cada una con plazos, formularios y autoridades distintos.

La Digital Omnibus propone un portal único con formulario estándar. Para una empresa con recursos limitados, esto supone menos duplicidad de esfuerzo, menor riesgo de incoherencias y capacidad realista de cumplir plazos.

Cómo aterriza todo esto en el día a día de una empresa middle market

Pongamos dos ejemplos. Primero, una scale-up que desarrolla IA generativa para un sector de alto riesgo. Esta empresa ya debería estar mapeando sistemas, diseñando gestión de riesgos, preparando documentación técnica y alineando su gobernanza de datos. Con la Digital Omnibus, dispondrá de hasta 16 meses adicionales para completar la adecuación. Tendrá un solo canal de notificación. Pero seguirá necesitando un expediente de conformidad robusto, evaluaciones de impacto (FRIAs), contratos adaptados y un modelo sólido de AI governance. Gana tiempo y coherencia procedimental, pero no se libra del fondo.

Segundo, una empresa de middle market que usa IA de apoyo (riesgo limitado). Las obligaciones más pesadas del AI Act no aplican, pero sí las reglas horizontales (transparencia, logging, supervisión humana). El paquete puede aclarar que determinados entrenamientos se apoyen en interés legítimo, siempre que se documenten salvaguardas. La prioridad seguirá siendo exigir cumplimiento a proveedores e integrar AI Act en su sistema.

Estrategia racional para el mercado general: no frenar la adecuación

La tentación natural ante un «aplazamiento» es retrasar proyectos de cumplimiento. Desde la perspectiva de riesgo jurídico y estratégico, sería un error por tres razones de peso.

Primero, el AI Act ya está en vigor y la dirección de viaje es clara. La discusión actual es de ritmo y coordinación, no de marcha atrás. Incluso las voces críticas dan por descontado que el AI Act seguirá siendo la piedra angular del régimen europeo de IA.

Segundo, gran parte del trabajo de adecuación es «agnóstico» a la Omnibus. Inventario de sistemas, gobierno de datos, políticas internas, formación, contratos con proveedores o integración con el RGPD son inversiones que seguirán siendo válidas.

Tercero, las empresas que lleguen tarde perderán la «ventaja de cumplimiento». En un mercado donde clientes, socios financieros y supervisores empiezan a exigir pruebas de conformidad, retrasar la adecuación es ceder ventaja competitiva.

Conclusión: simplificación sí, desregulación no

La Digital Omnibus es un ejercicio de cirugía normativa sobre un entramado regulatorio denso. Su impacto sobre el AI Act puede resumirse así: menos fricción procedimental mediante unificación de reportings y mayor coherencia entre RGPD, AI Act, Data Act y NIS2; más claridad en el uso de datos para entrenar modelos; y cierto oxígeno en plazos para sistemas de alto riesgo, pero sin eliminación de obligaciones de fondo.

Desde el punto de vista del cumplimiento, el mensaje es claro: la Omnibus no es una invitación a bajar la guardia, sino una oportunidad para organizar mejor la casa. Las empresas que ya están trabajando en su adecuación al AI Act no han perdido el tiempo; están en mejor posición para aprovechar una normativa más clara. La verdadera ventaja competitiva no será haber esperado al último minuto, sino poder demostrar, con documentación en la mano, que la inteligencia artificial de la casa es jurídicamente defendible, técnica y éticamente robusta y comercialmente sostenible.