Reglamento Ómnibus Digital: el pulso entre simplificación y protección de derechos en el uso de la IA

El estado actual del debate en las instituciones europeas se centra en cómo acelerar la innovación a la vez que se protegen los derechos fundamentales de la Unión.

El pasado 19 de noviembre de 2025, la Comisión Europea hizo públicas dos propuestas de regulación conocidas como “Ómnibus Digital” y “Ómnibus Digital sobre IA”. El objetivo de esta iniciativa es modificar múltiples normativas digitales de la Unión Europea para simplificar y agilizar el cumplimiento de estas normas, lo que permitiría mayor disponibilidad de recursos para la innovación, sin comprometer una adecuada protección de los derechos de la ciudadanía europea.

La modificación propuesta ha suscitado debate entre otras instituciones de la Unión. Por un lado, en fecha 21 de enero de 2026 y 11 de febrero de 2026, el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD)publicaron sendas opiniones conjuntas (Joint Opinions 1/2026 y 2/2026) sobre las propuestas.

Por otro lado, el Parlamento Europeo hizo público un borrador de informe sobre el Reglamento Ómnibus Digital sobre IA de fecha 5 de febrero de 2026, elaborado por el Committee on the Internal Market and Consumer Protection y el Committee on Civil Liberties, Justice and Home Affairs. Más recientemente, el Committee on Legal Affairs del Parlamento Europeo ha elaborado otro borrador con fecha de 17 de febrero de 2026que incluye enmiendas adicionales.

Aunque existe consenso en reforzar la competitividad, las instituciones advierten sobre la importancia de evitar una reducción del grado de protección de los derechos de la Unión y reforzar la seguridad jurídica.

A continuación, analizaremos las cinco modificaciones más destacadas de la propuesta de la Comisión, contrastándolas con la posición de las instituciones europeas antes mencionadas. 

Ampliación de los plazos de entrada en vigor del Reglamento de Inteligencia Artificial

Siguiendo el redactado actual de la norma, el grueso de la normativa será aplicable a partir del 2 de agosto de 2026, mientras que las obligaciones sobre sistemas de alto riesgo lo serán a partir del 2 de agosto de 2027.

En relación con estas obligaciones, la Comisión considera necesario demorar esta fecha por la falta de estándares y herramientas que faciliten el cumplimiento de las obligaciones para los sistemas de alto riesgo. Por ello, se propone supeditar la aplicación de estas obligaciones a la existencia y disponibilidad de dichos instrumentos que faciliten el cumplimiento, dando un plazo de 6 meses (para los sistemas de alto riesgo del Anexo III del Reglamento de IA) y de 12 meses (para los sistemas de alto riesgo listados del Anexo I del Reglamento de IA) desde la publicación de la decisión de la Comisión confirmando la idoneidad de estas herramientas. En caso de no llegar a publicarse estas decisiones, la Comisión propone fechas límites fijadas en el 2 de diciembre de 2027 y el 2 de agosto de 2028, según si aplica el Anexo I o III del Reglamento.

Tanto el supervisor europeo como el Parlamento han considerado que el plazo de cumplimiento de la normativa debe ser claro y aportar seguridad jurídica a la ciudadanía y a las organizaciones de la Unión, sin hacerlo depender de actos de la Comisión.

Por lo tanto, la enmienda del legislador europeo propone eliminar la condición de la publicación de decisiones de la Comisión y mantener solamente las fechas límites propuestas para la aplicación de las obligaciones de los sistemas de alto riesgo.Asimismo, el legislador propone que el artículo 6.5. del Reglamento, el cual regula las reglas para la clasificación de sistemas de alto riesgo, sea aplicable ya a partir del día 2 de agosto de 2026.

Obligación de alfabetización en IA

El redactado actual del artículo 4 del Reglamento de Inteligencia Artificial establece la obligación de proveedores y responsables de despliegue de sistemas de IA de adoptar medidas para garantizar un nivel de conocimientos sobre IA al personal que se ocupe del funcionamiento y uso de los sistemas de IA.

No obstante, la Comisión manifiesta en su Ómnibus Digital sobre IA que esta obligación única para todos los proveedores y responsables de despliegue de sistemas de IA no se adapta adecuadamente a todas las organizaciones (especialmente, a las pymes) y se percibe como una carga adicional de cumplimiento y no como una prioridad estratégica. Por ello, la Comisión propone cambiar el redactado para poner a la Comisión y a los Estados miembros como los titulares de la obligación de fomentar que los proveedores y responsables de despliegue adopten estas medidas.

El supervisor europeo en protección de datos considera que el redactado propuesto suaviza la importancia que debería tener la alfabetización para las organizaciones. Por ello, en su Joint Opinion 1/2026, defiende mantener la redacción actual del Reglamento y, en su caso, que la obligación de la Comisión y los Estados miembros de fomentar se incluya como una obligación paralela que ayude a las organizaciones que desarrollen o implementen sistemas de IA.

Aunque con propuestas y matices diferentes, los informes del Parlamento Europeo tampoco parecen alineados con enfocar la obligación sólo en la Comisión y los Estados miembros. Al contrario, se defiende el papel de soporte y fomento de los organismos públicos, pero siendo los entes privados quienes “aseguren” o “promuevan” la alfabetización en el ámbito de su actividad.

Nueva base de tratamiento legítimo de datos personales para desarrollo y uso de IA

Más allá de las modificaciones del Reglamento de IA, el Ómnibus Digital incluye un nuevo artículo 88c en el Reglamento General de Protección de Datos (GDPR), con la finalidad de reconocer una base de interés legítimo como base jurídica para tratar datos personales en el desarrollo y uso de sistema de IA, siempre que otra normativa no exija el consentimiento y siempre que se supere una evaluación de los intereses y derechos fundamentales del sujeto de datos.

En su Joint Opinion 2/2026, la autoridad europea de protección de datos considera innecesario incluir esta nueva base de legitimación, dado que ya fue incorporado de forma explícita en su Opinion 28/2024. De igual forma, el supervisor europeo recuerda que los operadores deben seguir realizando una evaluación caso por caso para determinar si poseen interés legítimo, de acuerdo con el Reglamento General de Protección de Datos, para el tratamiento de datos personales a través de sistemas de IA.

Procesamiento de datos personales sensibles para detección y corrección de sesgos en IA

La propuesta de la Comisión plantea incorporar un nuevo artículo 4a en el Reglamento de IA, que sustituiría el artículo 10.5 de la norma, para permitir, cuando sea necesario, el procesamiento de datos personales sensibles para la detección y corrección de sesgos.

Este punto no genera controversia ni al supervisor ni al legislador europeo, si bien ambos insisten en el uso restringido y limitado de este tratamiento, circunscrito a la función prevista por ley y exigiendo a los proveedores y responsables de despliegue establecer salvaguardas adecuadas.

Adecuación de requisitos y obligaciones para pymes

Como última medida destacada, la Comisión prevé incluir en el Reglamento de IA los conceptos de pequeña y mediana empresa y establecer un régimen de obligaciones simplificado y adaptado a la realidad de dichas organizaciones.

El resto de las instituciones no se oponen a dicha modificación, entendiendo así que estas medidas ayudan de forma clara al objetivo de reducir cargas desproporcionadas.

Como hemos podido comprobar, el texto de las modificaciones del Ómnibus Digital y el Ómnibus Digital de IA sigue generando debate entre las diferentes instituciones europeas y las partes interesadas que han comunicado su opinión a los organismos de la Unión. Garantizar la innovación a través de la IA es un objetivo viable y las organizaciones deben hacer lo posible para que esta nueva tecnología permita mejorar la competitividad de las empresas europeas. No obstante, esta simplificación no puede comportar una minoración del nivel de protección de los derechos fundamentales de la ciudadanía, toda vez que los sistemas de IA pueden tener un gran impacto en la seguridad, libertad y derechos de las personas.

El proceso legislativo sigue su curso y todas las partes interesadas seguiremos atentas a las modificaciones que, con toda seguridad, se irán produciendo en los próximos meses.

Escrito por: Gerard Rodríguez Sánchez, profesional en gobernanza de Inteligencia Artificial en FYR LEGAL.