Garrigues Digital_

Innovación legal en la economía 4.0

 

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

Paquete Ómnibus Digital de la Comisión Europea: la regulación de la economía digital en la UE cambia de rumbo

La Comisión Europea ha presentado dos propuestas de reglamento para simplificar y revisar el marco normativo digital de la UE, incluyendo el RGPD, el Reglamento IA o el Data Act. Destacan novedades como un punto único de notificación de incidentes de ciberseguridad, nuevas reglas y plazos en el Reglamento de IA, el impulso de ‘sandboxes’ regulatorios y cambios relevantes en las obligaciones para ‘mid-caps’.

El 19 de noviembre de 2025, la Comisión Europea ha presentado dos propuestas de Reglamento (accesibles aquí), denominadas “Ómnibus Digital sobre el Acervo Digital” y “Ómnibus Digital sobre IA”, a través de las cuales se propone simplificar las normas existentes sobre datos personales y no personales, inteligencia artificial y ciberseguridad. A continuación, hacemos una breve reseña de ambas propuestas.

1. Reglamento Ómnibus Digital sobre el Acervo Digital

El Reglamento Ómnibus Digital sobre el Acervo Digital es una propuesta de Reglamento para simplificar la legislación digital de la UE que introduce cambios muy relevantes en el ordenamiento jurídico de la Unión, por medio de modificaciones de normas muy importantes como el Reglamento General de Protección de Datos (RGPD) o el Reglamento sobre normas armonizadas para un acceso justo a los datos y su utilización (Data Act) y derogaciones de normas como el Reglamento de Gobernanza de Datos (Data Governance Act), entre otras.

  • Modificación del Reglamento General de Protección de Datos de la Unión Europea (RGPD)

    En la propuesta de Reglamento Ómnibus Digital se plantean varios cambios de calado en el RGPD, entre otros:

    • Se introduce una modificación a la definición de “dato personal”, para incorporar la doctrina del Tribunal de Justicia de la Unión Europea (TJUE) sobre la inaplicabilidad del RGPD a datos seudonimizados. Para más información sobre la doctrina del TJUE, consulta este artículo publicado en nuestra web.
    • Se incluyen dos nuevas excepciones a la prohibición de tratar datos especialmente protegidos, concretamente, para el uso de datos con fines de control de la IA y para la verificación biométrica.
    • Se modifican las excepciones al cumplimiento de la obligación de información.
    • Se integra parte de la Directiva ePrivacy en el RGPD al regular, por primera vez dentro de esta norma, todo lo relacionado con las cookies y otras tecnologías de seguimiento de usuarios online.
    • Se modifica el plazo y forma de notificar violaciones de seguridad, pasando de 72 a 96 horas.
       
  • Modificación del Data Act y derogaciones normativas

Con la propuesta de modificación del Data Act la Comisión Europea pretende afrontar la dispersión normativa existente en la regulación de la economía del dato y pasa a integrar dentro del Data Act el Data Governance Act y la Directiva de Datos Abiertos, quedando ambas normas derogadas. Así, por ejemplo, las disposiciones sobre servicios de intermediación de datos (data intermediation services) y altruismo de datos que introdujo el Data Governance Act pasarán al Data Act como un nuevo capítulo específico.

No obstante, la modificación del Data Act no se queda únicamente en una labor integradora de otros textos legislativos que se derogan, sino que también sufre ajustes en su redacción. Así, por ejemplo, los organismos públicos que permitan reutilizar sus datos podrán imponer condiciones especiales o tarifas más altas a los guardianes de acceso” (gatekeepers) designados bajo el Reglamento de Mercados Digitales (DMA).

Asimismo, también propone derogar el Reglamento sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (Reglamento P2B2C) por entenderse que tanto el Reglamento de Mercado Digitales (DMA) como el Reglamento de Servicios Digitales (DSA) dejaban obsoleto el Reglamento P2B2C y el Reglamento (UE) 2018/1807 relativo a un marco para la libre circulación de datos no personales.

  • Ciberseguridad

Uno de los aspectos más destacados desde la perspectiva de la ciberseguridad es la creación de un single-entry point o punto único de entrada de notificaciones de incidentes de seguridad. En la actualidad, determinadas compañías podían verse obligadas a realizar diferentes notificaciones por una misma violación de seguridad de datos en función de la normativa que les resultara de aplicación (DORA, NIS, RGPD…). Por esta razón, se crea este punto único de entrada para la canalización de las notificaciones de violaciones de seguridad de datos.

La creación de este punto único de entrada implica, a su vez, modificaciones al Reglamento DORA, la Directiva NIS 2 y el Reglamento eIDAS 2.

2. Reglamento Ómnibus Digital sobre IA

En paralelo a la propuesta de reglamento anterior, la Comisión ha lanzado también una propuesta de modificación del Reglamento de Inteligencia Artificial, que fue publicado hace tan solo poco más de un año. Entre los principales cambios que plantea este reglamento cabría citar:

  • Modificación de plazos de aplicación

    Las obligaciones relativas a los sistemas de IA de alto riesgo solo serán exigibles a partir del momento en que la Comisión Europea publique una decisión que confirme la disponibilidad de medidas adecuadas para ayudar al cumplimiento de dichas obligaciones. Desde ese momento, se abrirá un plazo de cumplimiento que será de 6 o 12 meses según el tipo de IA de alto riesgo de que se trate. En todo caso, si lo anterior no ocurre antes del 2 de diciembre de 2027 o el 2 de agosto de 2028, las obligaciones serán exigibles desde dichas fechas.

    Asimismo, se establece un nuevo plazo más extenso para el cumplimiento de la obligación de etiquetar el contenido sintético que tienen los proveedores de sistemas de IA y sistemas de IA de uso general que generen contenido sintético de audio, imagen, video o texto. A estos efectos, los sistemas que hayan sido introducidos en el mercado antes del 2 de agosto de 2026 deberán cumplir antes del 2 de febrero del 2027.

  • Simplificación de obligaciones para ‘mid-caps’

    Se introduce la definición de mid-cap que ya viene siendo habitual en las reformas de simplificación recientes de otros ámbitos legales en la UE. Se trata de empresas de un tamaño intermedio entre pymes y grandes empresas (menos de 750 empleados, volumen de negocio anual inferior a 150 millones de euros). Para ellas, se amplía el alcance de muchas de las simplificaciones y exenciones que el Reglamento de IA incorporaba inicialmente solo para pymes. Por ejemplo, en relación con la documentación técnica de sus sistemas. Asimismo, se reduce el régimen sancionador para estas entidades.

  • Eliminación de la obligación de alfabetización

    Se elimina la obligación que recaía en los responsables del despliegue y proveedores de formar a sus empleados en materia de IA, pasando a corresponder a la Comisión Europea y a los Estados Miembros el impulso de programas de capacitación y sensibilización de IA.

  • Fomento de los ‘sandboxes’ de IA

    Se impulsa un uso más amplio de entornos de prueba (sandboxes) regulatorios y ensayos en el mundo real, con el objetivo de que las empresas puedan desarrollar y probar nuevos sistemas de IA en condiciones controladas y supervisadas por las autoridades, sin incurrir de inmediato en todas las cargas regulatorias. A estos efectos, se prevé la posibilidad de crear un sandbox de IA a nivel de la UE.

  • Tratamiento de datos personales especialmente protegidos para mitigar sesgos

    Bajo determinadas cautelas y garantías se habilita el tratamiento de categorías de datos personales especialmente protegidos si es necesario para detectar, prevenir o corregir sesgos discriminatorios en sistemas de IA.

  • Registro de Sistemas de IA de alto riesgo

    Se reducen los supuestos de inscripción de sistemas de IA de alto riesgo en la Base de Datos Europea de Sistemas de IA de alto riesgo, especialmente cuando el proveedor considera, en los términos del artículo 6.3. del Reglamento de IA, que su sistema de IA no es de alto riesgo.

  • Organismo de supervisión y relación con regulaciones sectoriales

    Se refuerzan y clarifican las competencias de la Oficina de IA. Asimismo, se modifica el Reglamento de la Agencia Europea de Seguridad Aérea (EASA) para exceptuar explícitamente los sistemas de IA usados en productos aeronáuticos del ámbito general del Reglamento de IA.

Sin duda, estamos ante unas propuestas de cambio legislativo que, de mantenerse en los términos de los documentos emitidos por la Comisión, supondrían un giro importante en la dirección que llevaba hasta ahora la legislación de la UE en materia digital. Es previsible que determinados puntos de estas propuestas sean duramente rebatidos durante la tramitación en el Parlamento Europeo, pero no cabe ninguna duda de que el resultado final del proceso legislativo que ahora se inicia supondrá cambios significativos en la estructura normativa europea de la economía digital.

Tras la publicación de ambos documentos por la Comisión Europea, el paso siguiente en la tramitación legislativa es el envío al Parlamento Europeo y al Consejo para las discusiones entre las tres instituciones, antes de acordar un texto definitivo que sea publicado como norma definitiva. Queda, por tanto, margen para la introducción de modificaciones a estas propuestas, que será necesario seguir de forma detallada.