Todo lo que aún no te han contado sobre las implicaciones, alcance y naturaleza material sobre la votación de la propuesta Ómnibus Digital del pasado miércoles, 18 de marzo. Esclareciendo lo difuso

Europa vive un momento que, sin exagerar, tiene algo de “momentum Oppenheimer”: la tecnología ya no es solo industria, es estrategia; y la estrategia, a su vez, ha regresado a la ley como un búmeran. En medio de una competición global por la supremacía computacional —chips, datos, modelos y talento—, la Unión Europea ha optado por una vía peculiar: gobernar la innovación sin asfixiarla y competir sin renunciar a sus estándares fundacionales. Esa tensión, siempre difícil y ahora casi volcánica, explica por qué un acto aparentemente técnico —la votación del miércoles 18 de marzo de 2026 en las comisiones IMCO y LIBE del Parlamento Europeo— ha sido capaz de disparar titulares sobre “vía rápida”, “desregulación” o “retroceso masivo”.

La pregunta, sin embargo, debería formularse con bisturí y no con megáfono: ¿realmente cambió “todo” ese día? La respuesta, sostenida por fuentes primarias, es nítida: no. Lo votado no es una derogación del Reglamento (UE) 2024/1689 (AI Act), ni un atajo caótico que lo invalide. Es un mandato de negociación en comisiones, aprobado por 101 votos a favor, 9 en contra y 8 abstenciones, que sirve para abrir —si el Pleno lo confirma— la fase de trílogos con el Consejo. Esa distinción procesal es la frontera entre la crónica seria y el ruido: cuando se confunde un “mandate” con un “applicable law”, se fabrica alarma.

A la vez, y aquí empieza el giro copernicano que muchos no han leído, la votación no solo “pospone”. También aprieta. Introduce una prohibición explícita en el artículo 5 para sistemas que manipulan o generan imágenes o vídeos realistas de contenido sexual o íntimo de una persona identificable sin su consentimiento (el fenómeno comercialmente conocido como “nudification”), con una excepción condicionada a medidas efectivas de seguridad. Y añade un nuevo artículo 4a que permite, con fuertes salvaguardas y bajo el estándar de “estricta necesidad”, procesar categorías especiales de datos personales para detectar y mitigar sesgos en sistemas de alto riesgo. Quien busque en esto una “barra libre” regulatoria está mirando el mapa con el norte invertido.

El verdadero núcleo de la controversia es otro: el “stop-the-clock”. La Comisión propuso vincular la aplicabilidad de obligaciones de alto riesgo a la disponibilidad efectiva de estándares armonizados y herramientas de cumplimiento, precisamente porque el calendario del AI Act descansa sobre un ecosistema técnico-institucional que no siempre llega a tiempo. El Consejo, en su mandato del 13 de marzo, mantuvo la lógica de urgencia y añadió fechas fijas de seguridad. Y el Parlamento, en sus enmiendas de compromiso, ha abrazado la misma tesis: activar con una decisión de la Comisión cuando haya “medidas adecuadas”, pero con un suelo duro de fechas absolutas para evitar una suspensión indefinida.

Por tanto, si hubiera que resumir la naturaleza material de lo votado en una frase, sería esta: no es desregulación; es una cirugía de implementación. Y la cirugía tiene dos objetivos simultáneos: impedir que Europa castigue a sus propios operadores por la ausencia de estándares que Europa misma debe producir, y preservar el núcleo garantista del AI Act (prohibiciones, transparencia y gobernanza) sin caer en el velo fáustico de prometer “cumplimiento” sin herramientas reales.

(Imagen: Pablo Sáez)

Cómo ha sido el proceso real

Para comprender la votación del 18 de marzo, hay que reconstituir el proceso sin atajos. La propuesta nace el 19 de noviembre de 2025, cuando la Comisión publica el paquete de “simplificación digital” y, dentro de él, dos piezas legislativas ómnibus: una para ajustar el marco de datos, ciberseguridad y otros instrumentos; y otra —la que aquí nos ocupa— para “simplificar la implementación de reglas armonizadas de IA”, mediante una modificación del AI Act y del Reglamento (UE) 2018/1139 de aviación civil. Esta arquitectura es importante: explica por qué algunos análisis mezclan materias (RGPD, NIS2, Data Act) en un debate que, en ese día concreto, se centraba formalmente en el expediente 2025/0359 (COD).

El paquete no surge en el vacío. Responde a una agenda política explícita de reducción de cargas administrativas: la Comisión declara como objetivo recortar la carga para empresas un 25% y para pymes un 35% al final del mandato, asociando el objetivo del 25% a un volumen de ahorro estimado de 37,5 mil millones de euros. En paralelo, la propia Comisión, en su propuesta de AI Omnibus, cuantifica ahorros potenciales de aproximadamente 297,2 a 433,2 millones de euros por la reducción de cargas, y justifica la intervención como técnica y proporcional, sin rebajar el nivel de protección de salud, seguridad y derechos fundamentales.

La propia Eurocámara, en un briefing del think tank, describió el paquete como una respuesta a retrasos en la designación de autoridades y en la publicación de estándares y herramientas de cumplimiento para requisitos de alto riesgo, y recordó que el “Digital Omnibus on AI” es solo una de las dos propuestas ómnibus del paquete digital de 19 de noviembre de 2025, junto con otra centrada en datos y ciberseguridad, más la estrategia de unión de datos y las “European business wallets”. Ese encuadre es esencial: si se analiza el expediente 2025/0359(COD) como si fuera una “reforma total” del marco digital, el diagnóstico sale torcido. En cambio, si se entiende como una operación de ajuste dentro de una agenda de simplificación, el debate cambia de eje: el problema ya no es si Europa regula, sino si regula con herramientas que permitan cumplir sin improvisación.

Con esa base, el Consejo acelera. El 13 de marzo de 2026, adopta su posición (mandato de negociación) y subraya que el expediente forma parte del “Omnibus VII” en la agenda de simplificación. En ese mismo movimiento, el Consejo incorpora una prohibición sobre generación de contenido sexual e íntimo no consentido o material de abuso sexual infantil, y fija las fechas 2 de diciembre de 2027 y 2 de agosto de 2028 como límites para la aplicación diferida de obligaciones de alto riesgo. El documento técnico ST-7322-2026-INIT, además, enmarca esa intervención como respuesta a retrasos en estándares y en la construcción de gobernanza y evaluación de conformidad a nivel nacional.

Cuando llega el turno del Parlamento, la tramitación se articula en comisiones competentes: IMCO (Mercado Interior) y LIBE (Libertades Civiles). El 18 de marzo de 2026, ambas comisiones adoptan una posición conjunta (“joint position”) por 101-9-8. Esta votación no es un final, pero sí un hito de enorme peso político: fija el “mandato” de la Eurocámara para negociar. El propio comunicado oficial describe el contexto con precisión: se apoya el aplazamiento de ciertas reglas de alto riesgo porque “key standards may not be finalised” antes del 2 de agosto de 2026, fecha de aplicabilidad general del AI Act.

Aquí conviene detenerse en un punto técnico que derriba buena parte del alarmismo. El AI Act vigente ya tiene calendario en marcha. Su artículo 113 establece que el Reglamento es aplicable desde el 2 de agosto de 2026, pero adelanta los capítulos I y II (disposiciones generales y prácticas prohibidas) al 2 de febrero de 2025, y activa desde el 2 de agosto de 2025 capítulos clave como el de modelos de IA de uso general y el de gobernanza, además del régimen sancionador, con la excepción del artículo 101. Por tanto, la narrativa de “pausa general” es jurídicamente falsa: la norma ha comenzado a desplegarse.

¿Qué queda por delante? Dos escollos principales. Primero, el mandato debe ser aprobado en Pleno (el propio Parlamento anunció expectativa de votación el 26 de marzo). Segundo, incluso con mandato, la ley no nace: se negocia. Trílogos con Consejo y Comisión.

(Imagen: Pablo Sáez)

Los puntos más conflictivos y los acuerdos menos debatidos

El debate público ha convertido el Ómnibus en un espejo deformante: se agranda una pieza y se invisibilizan otras. Para ordenar, conviene distinguir entre lo conflictivo (donde había choque real de intereses) y lo menos debatido (donde, paradójicamente, se fijaron cambios con efectos muy concretos).

El primer conflicto es el “stop-the-clock”. La Comisión lo plantea de forma explícita: vincular la cronología de obligaciones de alto riesgo a la disponibilidad de estándares u otras herramientas de apoyo. Esa propuesta nace de un hecho material: sin estándares armonizados, el cumplimiento de requisitos como gobernanza de datos, documentación técnica, supervisión humana o robustez se convierte en un ejercicio de compliance a ciegas. El Consejo, consciente del riesgo reputacional y jurídico de un calendario flotante, introduce una doble capa: la decisión de la Comisión como gatillo, pero con fechas máximas para que el “reloj” no se detenga indefinidamente. El Parlamento replica esa arquitectura: en la modificación del artículo 113, mantiene el mecanismo de decisión y periodo de 6/12 meses (Anexo III / Anexo I), pero añade los topes: 2 de diciembre de 2027 y 2 de agosto de 2028.

La palabra “desregulación” suele colarse aquí por una razón psicológica: la gente confunde “más tarde” con “menos”. Pero el propio texto de compromiso deja claro que el retraso no es una renuncia, sino una adaptación a la infraestructura de cumplimiento. Y, además, el Parlamento añade un considerando que insiste en el fin de la flexibilidad: “To ensure legal certainty and to avoid further application delays”. Ese es el matiz que cambia el sentido: el stop-the-clock, en su versión votada, no se concibe como un túnel, sino como un puente con pilastras.

El segundo conflicto, menos “sexy” para los titulares pero más decisivo para el tejido industrial, es la fricción entre el AI Act y la legislación sectorial de seguridad de productos. Aquí la pregunta no es filosófica; es de certificación y salida al mercado. El comunicado oficial del Parlamento lo formula sin ambigüedades: para evitar solapamientos entre las reglas sectoriales y el AI Act, las obligaciones de este pueden ser menos estrictas cuando el producto ya está regulado por normas sectoriales (por ejemplo, dispositivos médicos, equipos de radio, seguridad de juguetes), y la Comisión debería cerrar posibles brechas actualizando esas reglas sectoriales cuando sea necesario.

Este acuerdo tiene una lectura estratégica: el legislador está intentando que el “doble cumplimiento” (producto + IA) no se convierta en triple burocracia, con duplicación de documentación, evaluaciones de conformidad y expedientes técnicos. Y resulta revelador que una cobertura crítica lo describa como uno de los pactos más difíciles: reconoce que, en caso de solapamiento, prevalecerían las leyes sectoriales, aunque con el riesgo de vacíos que la Comisión tendría que corregir.

(Imagen: Pablo Sáez)

El tercer conflicto —y el más simbólico— es la prohibición de los “nudifiers”. En prensa se ha presentado como “prohibición de deepfakes sexuales”, y en esencia lo es: el compromiso añade un nuevo punto (ha) al artículo 5.1, prohibiendo comercializar, poner en servicio o usar un sistema que altere, manipule o genere imágenes o vídeos realistas para representar actividades sexualmente explícitas o partes íntimas de una persona identificable sin consentimiento. Lejos de ser una “rebaja”, esto amplía el perímetro de lo inaceptable. Pero el debate aquí fue jurídico: encaje en AI Act frente a solapamientos con otras normas digitales y con derecho penal nacional, y diseño de la excepción. El texto finalmente incluye una cláusula de “safety measures”: no aplica la prohibición a proveedores o deployers que implementen medidas efectivas para impedir la generación y evitar el uso indebido de forma continuada. Hay un mensaje doble: tolerancia cero con el daño, y realismo técnico para evitar que la prohibición se convierta en un incentivo perverso contra herramientas legítimas de edición.

El cuarto conflicto es la transparencia de origen en contenido sintético, el artículo 50(2). En términos prácticos, es la frontera entre trazabilidad y opacidad. Lo material aquí es que el Parlamento acepta dar más tiempo para cumplir, pero menos del que proponía la Comisión: fija el 2 de noviembre de 2026 para sistemas ya puestos en el mercado antes del 2 de agosto de 2026. El cálculo es simple y conviene decirlo: si el AI Act es aplicable en general desde el 2 de agosto de 2026, el Parlamento concede 3 meses adicionales hasta el 2 de noviembre de 2026 para esa obligación concreta, mientras que la propuesta de extender hasta febrero de 2027 habría supuesto más de seis meses. No es un apagón: es una microprórroga calibrada.

Ahora, los acuerdos menos debatidos —y más importantes para compliance— son otros dos.

Primero, la alfabetización en IA (artículo 4). Algunas lecturas simplificadas lo redujeron a “se elimina la obligación”. El texto de compromiso demuestra lo contrario: mantiene una obligación para proveedores y deployers de tomar medidas para asegurar un nivel suficiente de AI literacy de su personal y de quienes operan sistemas en su nombre, e incorpora dos refuerzos: un deber de la Comisión de emitir orientación práctica y un mandato a Comisión y Estados para apoyar la alfabetización en la sociedad y complementar los esfuerzos empresariales, incluso mediante partenariados público-privados. El “giro copernicano” no es la desaparición del deber, sino su institucionalización: la alfabetización deja de ser un mandato solitario a empresas y pasa a ser política pública con guías, apoyo y ecosistema.

Segundo, el nuevo artículo 4a sobre datos sensibles para sesgos. Aquí la clave es técnica y jurídica: el texto permite “excepcionalmente” procesar categorías especiales de datos, pero solo “to the extent strictly necessary” para detección y corrección de sesgos en sistemas de alto riesgo, y solo si se cumplen condiciones cumulativas: que no pueda cumplirse con otros datos (incluidos sintéticos o anonimizados), que se impongan límites al reúso y medidas de seguridad y privacidad (incluida seudonimización), y que haya controles estrictos y documentación de accesos para evitar abusos. El debate mediático lo presentó como “debilitamiento del RGPD”; pero, leído con lupa, es un intento de resolver la paradoja del sesgo sin romper el principio de minimización.

Como colofón, hay un acuerdo puente en materia de registro y supervisión. El texto de compromiso reacciona a la idea de eliminar cargas de registro: reconoce que para vigilancia del mercado y rendición de cuentas es crucial que ciertos sistemas estén en la base de datos de la UE, pero apuesta por simplificar requisitos y contenido para proporcionalidad. En otras palabras: menos burocracia, no menos trazabilidad.

(Imagen: Pablo Sáez)

Los cambios concretos en la Ley de IA y cómo quedaría según lo votado

Si el debate público fuera un tribunal, esta sería la pieza probatoria. Lo votado es un texto de enmiendas de compromiso que modifica artículos concretos y, sobre todo, reordena el tiempo. Para entender “la naturaleza material”, la pregunta no es solo qué se cambia, sino cuándo se activará y con qué condiciones.

Antes de comparar, fijemos el punto de partida: el AI Act vigente. Su artículo 113 establece aplicabilidad general desde el 2 de agosto de 2026; adelanta prohibiciones y disposiciones generales (capítulos I y II) al 2 de febrero de 2025; y activa desde el 2 de agosto de 2025, entre otros, el capítulo V sobre modelos de IA de uso general, el capítulo VII de gobernanza y el régimen sancionador (capítulo XII), con excepción del artículo 101. A esto se suma un elemento esencial: el artículo 6.1 y sus obligaciones (alto riesgo ligado a legislación sectorial de seguridad de productos) se aplican desde el 2 de agosto de 2027.

Ahora comparemos el “calendario” en tres filas: AI Act vigente, propuesta de Comisión y mandato IMCO/LIBE.

Esta tabla muestra la tesis: el núcleo del AI Act no se deshace; se reprograma el alto riesgo para ganar previsibilidad y certeza jurídica.

Veamos ahora los artículos que merecen zoom.

Artículo 5: La nueva práctica prohibida. La prohibición se formula con precisión material (alterar/manipular/generar; imágenes o vídeos realistas; contenido sexualmente explícito o partes íntimas; persona identificable; ausencia de consentimiento) y añade un régimen de excepción condicionado a “effective safety measures” y a prevención continuada del abuso. El resultado es una regla que captura el daño típico sin criminalizar, por defecto, capacidades técnicas que pueden ser legítimas en otros contextos.

Artículo 4: Alfabetización. El compromiso conserva la obligación empresarial de adoptar medidas para asegurar un nivel suficiente de AI literacy, y articula el rol del poder público en dos capas: guía de implementación y empuje social (incluidos PPPs). La consecuencia práctica es inmediata: la alfabetización deja de ser un párrafo decorativo y se convierte en un vector de compliance evaluable, porque la guía de la Comisión tenderá a concretar qué es “suficiente” en cada contexto.

Artículo 4.a): Sesgos y datos sensibles. Este artículo, uno de los menos comprendidos, contiene una fórmula de equilibrio: habilita el procesamiento de categorías especiales solo si es estrictamente necesario, si no puede lograrse con datos alternativos, si hay límites estrictos al reúso, medidas de privacidad avanzadas y gobernanza de accesos. Para empresas, el efecto no es “barra libre”, sino necesidad de revisar bases de legitimación, evaluaciones de impacto (EIPD) y medidas técnicas; para despachos, es un nuevo campo de auditoría fina.

Artículo 50 (2): Marcado (watermarking). El Parlamento propone el 2 de noviembre de 2026 como fecha de cumplimiento para sistemas ya en mercado antes del 2 de agosto de 2026. Esta fecha, por su proximidad, es un recordatorio de que el Ómnibus no solo retrasa: también concentra esfuerzos de cumplimiento en transparencia.

Artículo 113: El corazón temporal. La enmienda incorpora el mecanismo de decisión de la Comisión sobre disponibilidad de “adequate measures” de cumplimiento; tras esa decisión, 6 meses para Anexo III y 12 para Anexo I. Pero, clave, añade el backstop: si la decisión no llega o si las fechas son anteriores, la aplicación será, en todo caso, 2 de diciembre de 2027 (Anexo III) y 2 de agosto de 2028 (Anexo I).

Si se quiere dimensionar el “aplazamiento” sin retórica, basta con hacer la aritmética del calendario. Para los sistemas de alto riesgo del Anexo III, el punto de partida era el 2 de agosto de 2026 (aplicabilidad general). El backstop parlamentario del 2 de diciembre de 2027 implica 16 meses adicionales: de agosto de 2026 a diciembre de 2027. Para los sistemas de alto riesgo cubiertos por el Anexo I (ligados a productos), el AI Act ya contemplaba un escalón más tarde (2 de agosto de 2027); llevarlo a 2 de agosto de 2028 supone 12 meses. Es decir: el debate no gira sobre “indefinición”, sino sobre retrasos acotados y cuantificables, precisamente para neutralizar la ansiedad que provoca un calendario dependiente de estándares.

A ese reordenamiento temporal se le suma un paquete de proporcionalidad que suele quedar en segundo plano. La Comisión propuso extender a las small mid-cap enterprises (SMCs) algunas simplificaciones y consideraciones especiales de las que ya disfrutan las pymes, por ejemplo en documentación técnica y en el tratamiento sancionador. El Parlamento respaldó expresamente esta extensión para evitar que las empresas queden “penalizadas” al cruzar el umbral de pyme, reforzando la lógica de escalado europeo. Y en el propio texto de compromiso se ve el efecto: se añade un criterio específico para limitar multas a SMCs, con una excepción para proveedores de modelos de IA de propósito general con riesgo. sistémico. La materialidad de este punto es simple: el Ómnibus no solo mueve fechas, también introduce gradación regulatoria para no expulsar del mercado a quienes están creciendo.

Otra pieza infraestimada es el refuerzo de sandboxes y del papel de la AI Office. La Comisión propone impulsar pruebas en condiciones reales y prevé un sandbox regulatorio de la UE desde 2028. El compromiso permite a la AI Office establecerlo y asociar a autoridades de protección de datos, incluido el EDPB, cuando el sandbox implique tratamiento de datos personales.

Y, en la periferia, aparece el elemento “Single Entry Point”, del que poco se habla en el debate español, pero que revela la lógica transversal del paquete. El Comité Económico y Social Europeo (EESC) apoya un punto de entrada único (SEP) interoperable para reportes cubiertos por NIS2, RGPD, DORA, eIDAS y CER. La Comisión, en el Ómnibus digital general, describe una solución para “streamlining cybersecurity incident reporting” bajo un “single reporting mechanism”. No forma parte de la votación IMCO/LIBE del 18 de marzo, pero sí del ecosistema político que explica por qué la palabra “ómnibus” genera confusiones: el paquete es una constelación, no un planeta aislado.

(Imagen: Pablo Sáez)

Lo que no te han contado: enfoque, intereses y realidad material

El problema no es que exista crítica. El problema es qué parte de la película se proyecta y cuál se deja fuera. La cobertura de El Español del 18 de marzo situó el foco en la “vía rápida” y en críticas procedimentales —falta de evaluación de impacto, ausencia de consulta real, presión por aprobar—, apoyándose en voces concretas como Kai Zenner, asesor del eurodiputado Axel Voss (PP europeo), que lo resumió como “desastre para la democracia”. Esa crítica puede ser valiosa, pero no sustituye la explicación jurídica de lo votado.

Primera omisión: el estado de vigencia del AI Act. Cuando un medio abre con “la UE reconfigura la Ley de IA” y sugiere, en la sección de claves, que “se ha aprobado” una reforma por la vía rápida, el lector no especialista puede inferir que el marco aplicable ya cambió. Sin embargo, la realidad es que el calendario legal vigente sigue anclado en el artículo 113 del AI Act, con prohibiciones desde 02/02/2025 y aplicabilidad general desde 02/08/2026. La diferencia entre “posición de comisión” y “derecho aplicable” no es tecnicismo: es el eje de decisión empresarial.

Segunda omisión: la dirección material de ciertos cambios. El relato de “desregulación” se sostiene mal cuando el mismo texto introduce una nueva práctica prohibida en el artículo 5 y adelanta —respecto a la extensión inicialmente propuesta— la fecha de cumplimiento del marcado en el artículo 50(2) a 02/11/2026. En otras palabras: se rebaja incertidumbre temporal en alto riesgo, pero se endurece —o se concreta— el perímetro de lo inaceptable y se preserva la agenda de transparencia.

Tercera omisión: el porqué técnico del stop-the-clock. Tanto la Comisión como el Consejo explican que el problema de fondo es la disponibilidad de estándares y herramientas de cumplimiento; el Consejo habla de ajustar el timeline para que las reglas empiecen a aplicarse cuando la Comisión confirme estándares y herramientas, y sitúa la intervención en un marco de proporcionalidad y armonización. De hecho, en el Consejo aparece un argumento de soberanía digital: “Streamlining the AI rules is essential for ensuring the EU’s digital sovereignty.” Este es un dato geopolítico: Europa no está “abandonando” la IA; está intentando que su gobernanza funcione en la realidad industrial.

(Imagen: Pablo Sáez)

Cuarta omisión: quién gana con el ruido. En el debate político europeo, la etiqueta “desregulación” sirve a dos narrativas opuestas: a quien quiere suavizar controles (para venderlo como victoria) y a quien quiere bloquear ajustes técnicos (para denunciar capitulación). En medio, las empresas reciben un mensaje devastador: “espera”. Se tiende a identificar este riesgo con un nombre clínico: “parálisis por análisis”, es decir, detener adecuaciones creyendo erróneamente que “ya no hay prisa”. Ese efecto es real, y es el daño colateral de una cobertura que no separa hechos normativos de batallas de relato.

Quinta omisión: la arquitectura de mitigación. El propio texto de compromiso es más cuidadoso de lo que se suele explicar. No solo fija fechas máximas para evitar retrasos adicionales; también, en materia de datos sensibles, formula condiciones de estricto control y remite explícitamente a salvaguardas de RGPD y demás normativa de protección de datos, añadiendo exigencias técnicas (pseudonimización, controles de acceso, documentación) que desmienten la idea de “cheque en blanco”.

¿Hay, entonces, motivos de preocupación? Sí, pero son otros. El primero es institucional: el procedimiento ómnibus, por diseño, concentra reformas heterogéneas bajo un paraguas de simplificación, y eso puede tensionar la deliberación democrática. Es revelador que incluso actores citados por la prensa reconozcan que la medida “contradice la idea misma” de introducir procedimientos ómnibus si se hace sin tiempo. El segundo es técnico: si la Comisión no entrega estándares, guías y capacidades de evaluación de conformidad, el backstop de 2027/2028 se convertirá en un precipicio de cumplimiento. Y el tercero es comercial: el mercado puede sobrerreaccionar, y ahí los despachos deben actuar como estabilizadores.

En síntesis, lo que no te han contado no es un secreto oscuro; es una lectura completa. El Ómnibus no es una “salida de emergencia” para huir del AI Act. Es un ajuste pragmático de tiempos, acompañado de nuevos candados y de una estrategia para reducir cargas sin desmontar objetivos. O, dicho en metáfora: no es derribar el edificio; es reforzar la cimentación antes de abrir la puerta principal.

Implicaciones prácticas para empresas, despachos y España

La consecuencia más útil, para quien toma decisiones, es doble: tranquilidad jurídica y urgencia operativa. Tranquilidad, porque el AI Act vigente sigue corriendo: prohibiciones desde 02/02/2025 y aplicabilidad general 02/08/2026 no desaparecen. Urgencia, porque el Ómnibus —aunque prospere— no elimina trabajo: lo redistribuye y añade frentes (nudificación, datos sensibles, alfabetización, trazabilidad).

En España, la capa nacional se mueve al ritmo europeo. El informe Delvy lo resume con precisión: el anteproyecto español y las guías de AESIA son instrumentos de ejecución del AI Act; cualquier modificación final a nivel europeo exigirá alineación, y la propia AESIA prevé actualizar sus documentos cuando se apruebe el Ómnibus. De hecho, el debate público español ya se ha activado: el Ministerio para la Transformación Digital abrió consulta pública sobre el “ómnibus digital” el 16 de marzo (hasta el 29 de marzo).

Claves prácticas: ideas fuerza para un departamento de adecuaciones del RIA

El equipo debe utilizar las siguientes premisas en sus comunicaciones con clientes:

1. «Lo del 18 de marzo es un mandato de negociación en comisiones, no el texto final aplicable del AI Act.»
2. «A día de hoy, el calendario legal vigente del AI Act no ha cambiado: la aplicabilidad general sigue fijada para el 02/08/2026.»
3. «Aunque se discute un ‘stop-the-clock‘ para el alto riesgo, la UE lo justifica por falta de estándares técnicos, no por falta de obligación legal.»
4. «La reforma incorpora más restricciones, como la prohibición específica contra deepfakes sexuales. No estamos ante un escenario de desregulación.»
5. «El propio Parlamento fija como siguientes pasos el Pleno (previsto 26/03) y el trílogo: hoy aún no hay texto definitivo.»
6. «Incluso la reforma incorpora potencialmente más restricciones: se impulsa una prohibición específica contra ‘deepfakes‘ sexuales/nudification.»
7. «Esperar a ‘que salga el texto final’ suele ser la forma más cara de cumplir: el gap no es solo jurídico, es operativo».
8. «La crítica de ‘falta de evaluación de impacto’ no cambia la obligación de compliance: cambia el debate político, no los riesgos regulatorios.»
9. «Nuestro trabajo no es ‘interpretar titulares’: es traducir la fuente oficial a decisiones ejecutables y auditables.»

Conclusión estratégica: esclareciendo lo difuso

La votación del 18 de marzo de 2026 no fue la demolición del AI Act, ni una carta blanca a la industria. Fue, en esencia, un intento de evitar el peor de los escenarios regulatorios: un cumplimiento imposible por ausencia de estándares, y una innovación castigada por los retrasos de la propia maquinaria europea.

El Parlamento fija fechas máximas (02/12/2027 y 02/08/2028) precisamente para no eternizar el aplazamiento; y, al mismo tiempo, refuerza el perímetro de lo prohibido (nudification) y articula nuevos instrumentos de equilibrio (art. 4a) bajo salvaguardas estrictas.

Queda camino: pleno, trílogos, redacción final. Pero el mensaje útil hoy es simple: el calendario vigente del AI Act sigue obligando, y el Ómnibus, si se aprueba, hará el impacto más predecible, no más caótico. En tiempos de velo fáustico informativo, la única ventaja competitiva del jurista es la precisión. Y la precisión, aquí, conduce a dos verbos: seguir y preparar.

Fuentes, webgrafía y bibliografía:

Fuentes

Webgrafía

Bibliografía