El Parlamento Europeo fija posición sobre el Omnibus Digital en IA y abre el trílogo con 569 votos

El 26 de marzo de 2026, el Parlamento Europeo adoptó en sesión plenaria su posición sobre el Digital Omnibus on AI (COM(2025) 836), la propuesta de simplificación que modifica el Reglamento de Inteligencia Artificial (Reglamento (UE) 2024/1689). Con 569 votos a favor, 45 en contra y 23 abstenciones, los eurodiputados fijaron el mandato negociador que abre la puerta a las negociaciones interinstitucionales (trílogos) con el Consejo de la UE. Lo que comenzó como un ajuste técnico de plazos se ha convertido en una reforma sustancial que redibuja el equilibrio entre competitividad empresarial y protección de derechos fundamentales.

El resultado confirma una tendencia clara donde la Unión Europea no está frenando la regulación de la inteligencia artificial sino que la está recalibrando. Más margen temporal para cumplir, pero tolerancia cero con los usos que vulneran la dignidad de las personas.

El problema de fondo: estándares técnicos que no llegaron a tiempo

El AI Act, vigente desde el 1 de agosto de 2024, establecía el 2 de agosto de 2026 como fecha límite para la aplicación de las obligaciones relativas a los sistemas de IA de alto riesgo. Sin embargo, durante 2025 fue quedando en evidencia que ni los estándares armonizados, ni las guías de implementación, ni buena parte de la estructura de gobernanza necesaria estarían listos a tiempo por lo que, lógicamente, era necesario recalibrar los plazos ya que la realidad se impuso.

A esto se sumó el retraso de numerosos Estados miembros en la designación de autoridades nacionales competentes: al menos 12 no cumplieron ese plazo y 19 no habían designado puntos de contacto únicos.

En ese contexto, la Comisión Europea presentó el 19 de noviembre de 2025 el Digital Omnibus on AI como parte de un paquete de simplificación regulatoria más amplio (el séptimo paquete ómnibus), que también incluye modificaciones a la normativa sobre uso y protección de datos, ciberseguridad y la propuesta de carteras empresariales europeas.

Nuevo calendario: fechas fijas en lugar de plazos flotantes

Una de las contribuciones más relevantes del Parlamento ha sido sustituir el modelo de «plazo flotante» propuesto por la Comisión por fechas fijas de aplicación, con el objetivo de brindar previsibilidad y seguridad jurídica a empresas y operadores. El nuevo calendario propuesto establece tres hitos diferenciados.

Para los sistemas de IA de alto riesgo enumerados en el Anexo III del Reglamento (aquellos que involucran datos biométricos, infraestructuras críticas, educación, empleo, servicios esenciales, aplicación de la ley, justicia y gestión de fronteras), la fecha propuesta es el 2 de diciembre de 2027.

Para los sistemas de IA integrados en productos ya regulados por legislación sectorial de la UE sobre seguridad y vigilancia del mercado (Anexo I), la fecha se extiende al 2 de agosto de 2028.

Para las obligaciones de marcado de agua (watermarking) de contenido generado por IA (audio, imagen, vídeo o texto), el Parlamento propone el 2 de noviembre de 2026, un plazo más corto que el 2 de febrero de 2027 planteado inicialmente por la Comisión. Esta decisión revela la voluntad política de mantener la presión sobre la transparencia del contenido sintético.

Es fundamental advertir que, mientras los trílogos no concluyan y se adopte formalmente el texto, la fecha del 2 de agosto de 2026 sigue vigente como plazo legal. La estrategia prudente para cualquier organización es prepararse como si agosto de 2026 fuera real y planificar como si diciembre de 2027 fuera la fecha probable de aplicación efectiva.

La Comisión había propuesto eliminar la obligación directa de proveedores e implementadores de garantizar la alfabetización en IA de su personal, trasladándola a los Estados miembros. El Parlamento mantiene la obligación -auque la suaviza- sobre el sector privado pero cambia el verbo de «garantizar» (ensure) a «promover» (promote).

El Omnibus avanza en considerar que donde la Evaluación de Impacto en Protección de Datos (DPIA) del RGPD sea sustancialmente equivalente, podría sustituir a la Evaluación de Impacto en Derechos Fundamentales (FRIA) del AI Act. Esto va más allá del régimen actual, que solo las consideraba complementarias. Para sistemas de IA embebidos en productos ya regulados sectorialmente, se aplica un régimen más ligero con orientaciones de la Comisión.

(Imagen: E&J)

Los «nudifiers» como práctica de riesgo inaceptable

Se introduce nueva prohibición expresa en el artículo 5 del AI Act. Tanto el Parlamento como el Consejo proponen vetar los sistemas de IA capaces de generar o manipular imágenes realistas sexualmente explícitas o íntimas de personas identificables sin su consentimiento. La posición del Consejo incluye, además, una referencia explícita al material de abuso sexual infantil.

Esta categoría pasa a considerarse directamente una práctica de riesgo inaceptable, el nivel más alto de la pirámide de riesgo del AI Act, alineada con la protección de derechos fundamentales como la dignidad, la intimidad y la integridad personal.

La medida responde al crecimiento exponencial de los deepfakes sexuales y su impacto real sobre las víctimas, un fenómeno que ya motivó investigaciones a plataformas como X (antes Twitter) por las capacidades de generación de contenido explícito de su herramienta Grok.

Flexibilidad regulatoria y apoyo a empresas

En primer lugar, para productos ya regulados por normativa sectorial (dispositivos médicos, equipos radioeléctricos, etc), las obligaciones del AI Act podrán ser menos estrictas. El Parlamento propone, de hecho, un cambio estructural significativo: la eliminación de la Sección A del Anexo I y la incorporación de esa legislación en la Sección B, lo que convertiría a los procedimientos de evaluación de conformidad sectoriales en la vía principal de cumplimiento.

En segundo lugar, los proveedores de servicios podrán tratar datos personales para detectar y corregir sesgos en sistemas de IA, aunque bajo condiciones estrictas y únicamente cuando sea estrictamente necesario.

En tercer lugar, se amplían las medidas de apoyo originalmente previstas para pymes a las denominadas «small mid-caps» facilitando la transición de aquellas empresas que superan el umbral de pyme pero aún necesitan acompañamiento regulatorio.

Lo que no se simplificó: registro y supervisión

Se rechazó la propuesta de la Comisión de eliminar la obligación de registrar sistemas de IA en la base de datos europea cuando los proveedores los autoevalúan como no de alto riesgo conforme al artículo 6(3). Ambos colegisladores reinstauraron esa obligación, aunque simplificando el contenido exigido para la entrada registral. Esta decisión refleja la preocupación expresada por el EDPB y el EDPS conjuntamente.

Asimismo, se refuerzan las competencias de la Oficina Europea de IA en la supervisión de modelos de propósito general y se mantiene la obligación de evaluaciones de impacto en derechos fundamentales, con la posibilidad de que una evaluación de impacto conforme al RGPD pueda sustituir a la del AI Act cuando sean sustancialmente equivalentes.

Próximos pasos: el reloj corre

El calendario legislativo es ambicioso pero viable y el Consejo y Parlamento convergen en los puntos estructurales -fechas fijas, prohibición de nudifiers, reinstauración del registro-, lo que anticipa negociaciones fluidas a pesar de que todavía existen puntos de divergencias que deberán ser limadas en el trílogo.