"Simplificar para competir: una redefinición del marco digital de la UE"
En los últimos años, Europa ha desarrollado uno de los marcos regulatorios digitales más ambiciosos del mundo, abarcando temas como la protección y compartición de datos, la inteligencia artificial (IA) o la resiliencia operativa, entre otros. El resultado es un marco robusto, aunque también complejo y, en ocasiones, fragmentado. Sin embargo, desde 2023 con la popularización de herramientas como ChatGPT y en un contexto de crecientes tensiones geopolíticas, han aumentado las críticas a un enfoque que a veces se percibe como excesivamente regulador y una de las causas de la brecha tecnológica de la UE frente a otras regiones.
Como respuesta, la Comisión Europea ha situado la inversión en tecnología y la simplificación regulatoria en el centro de su agenda. El objetivo es claro: reducir cargas, eliminar incoherencias normativas y facilitar el acceso a datos y tecnología innovadora, manteniendo altos niveles de protección. El ‘Ómnibus’ digital, presentado en noviembre y actualmente en negociación, es el principal ejemplo de esta prioridad y de la urgencia por llevarla a cabo.
Este paquete revisa varias normas clave sobre el tratamiento y acceso a datos. Por un lado, modifica la Ley europea de Datos para agrupar reglas dispersas, reducir ciertas obligaciones de compartir información con organismos públicos y evitar nuevas barreras al flujo de datos no personales dentro de la UE.
El objetivo es claro: reducir cargas, eliminar incoherencias normativas y facilitar el acceso a datos y tecnología innovadora, manteniendo altos niveles de protección
En protección de datos, la propuesta introduce modificaciones significativas en el Reglamento General de Protección de Datos (GDPR), para limitar qué se considera dato personal y facilitar el tratamiento de datos sensibles, con el objetivo de impulsar el desarrollo de la IA. No obstante, el Comité Europeo de Protección de Datos y los gobiernos de varios Estados Miembros están cuestionando la propuesta de no considerar un dato como personal cuando la compañía que lo procesa no es capaz de identificar al interesado.
El Ómnibus también trae novedades sobre ‘cookies’ cuyas reglas se mueven de la Directiva de ‘ePrivacy’ a GDPR. Entre los cambios previstos, se pretende que el ciudadano pueda fijar preferencias por defecto, reduciendo las solicitudes de aceptación de cookies al acceder a webs y mejorando la navegación. Por otro lado, se crea un punto único para notificar incidentes de ciberseguridad, simplificando obligaciones repartidas en diversas normas (NIS2, DORA, eIDAS, GDPR).
En relación con la IA, se propone retrasar la aplicación de las obligaciones para sistemas de alto riesgo, como los usados en recursos humanos y evaluación de solvencia, hasta, como tarde, diciembre de 2027, ampliar algunas exenciones que ya gozaban las PYMEs a empresas medianas de mayor tamaño (small mid-caps) y facilitar el uso de datos sensibles para detectar sesgos.
En conjunto, el enfoque es razonable. Se mantienen los estándares de protección que caracterizan a la UE, pero se reconoce la necesidad de reducir la complejidad, los costes de cumplimiento y la inseguridad jurídica del marco actual.
La integración del régimen de ‘cookies’ en GDPR, la racionalización de obligaciones en datos y el alivio de cargas en el Reglamento de IA -evitando que los requisitos sobre sistemas de alto riesgo entren en vigor antes de completarse su desarrollo normativo- apuntan a una aplicación más ordenada y proporcional, pero no a un cambio radical del marco existente. Este carácter no revolucionario de la propuesta se refleja también en el propio proceso legislativo: para mantener un ritmo ágil - especialmente en el caso del Ómnibus de IA, cuya aprobación debe producirse antes de agosto de 2026-, las posiciones negociadoras del Consejo y el Parlamento de la UE ya están eliminando o modificando las disposiciones más sensibles sobre las que no parece posible alcanzar un acuerdo rápido. Al mismo tiempo, la posición del Consejo introduce una prohibición adicional del uso de aplicaciones que permiten crear imágenes sexualizadas sin consentimiento, lo que responde a una inquietud social evidente, pero que, indudablemente, no es una medida de simplificación.
Cuestiones como la definición de dato personal, la interpretación del requisito de “necesidad” en decisiones automatizadas, el alcance de la alternativa al tratamiento automatizado o el aligeramiento de determinadas obligaciones de registro sobre los sistemas de IA serán determinantes para que la simplificación sea real y no meramente formal. También será clave que el punto único de notificación de incidentes venga acompañado de una armonización sustantiva de criterios y plazos entre marcos sectoriales y horizontales.
La integración del régimen de ‘cookies’ en GDPR, la racionalización de obligaciones en datos y el alivio de cargas en el Reglamento de IA apuntan a una aplicación más ordenada y proporcional, pero no a un cambio radical del marco existente
En definitiva, el ‘Ómnibus’ digital constituye un primer paso relevante hacia un marco digital más coherente y competitivo. Sin embargo, si Europa quiere que la simplificación sea algo más que un proyecto coyuntural, deberá consolidar esta dinámica como parte estructural de su política regulatoria. La verdadera prueba no será la aprobación del paquete, sino su capacidad para fomentar la innovación sin sacrificar seguridad jurídica ni protección de derechos.