Bruselas plantea flexibilizar el RGPD y la Ley de IA: un nuevo frente para los abogados de protección de datos y tecnología

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

La Comisión Europea ha presentado un amplio paquete de reformas digitales que, bajo la etiqueta de simplificación normativa y reducción de cargas administrativas, introduce cambios relevantes en el Reglamento General de Protección de Datos (RGPD), en la aplicación de la Ley de Inteligencia Artificial (AI Act) y en el marco de ciberseguridad y datos.

Para el tejido empresarial, Bruselas promete menos burocracia, más seguridad jurídica y ahorros potenciales de hasta 5.000 millones de euros en costes administrativos de aquí a 2.029, además de hasta 150.000 millones de euros anuales gracias a la digitalización de trámites empresariales. Para el mundo jurídico, el mensaje es otro: se abre una nueva fase de interpretación y ajuste de un marco que hasta ahora se presentaba como “cerrado” y ejemplar, especialmente en materia de privacidad.

Un “digital omnibus” para reconfigurar el ecosistema normativo

El núcleo de la iniciativa es el llamado digital omnibus, un paquete legislativo que actúa como reglamento ómnibus sobre el “acervo digital” de la Unión. Su objetivo declarado es simplificar y coordinar normas que hoy se solapan o generan cargas redundantes, afectando a:

  • la Ley de IA,
  • el RGPD,
  • la normativa de ciberseguridad (incluida NIS2),
  • el marco de datos (Data Act y legislación conexa).

Este paquete se complementa con dos iniciativas adicionales:

  • una Data Union Strategy, orientada a desbloquear datos de alta calidad para la IA y reforzar la soberanía europea sobre datos sensibles;
  • y una propuesta de European Business Wallet, un monedero digital común para empresas y entidades públicas de los 27 que funcionará como identidad y herramienta transfronteriza para la firma, sello y gestión de documentos electrónicos.

Todo ello se inserta en la agenda de la Comisión de reducir al menos un 25 % las cargas administrativas —y un 35 % en el caso de las pymes— antes de 2.029.

AI Act: la aplicación de las normas de alto riesgo se supedita a estándares y herramientas

Uno de los elementos más delicados para el sector legal es la modificación de los plazos efectivos de la Ley de IA para los sistemas de alto riesgo.

La Comisión propone vincular la “entrada en aplicación” de las obligaciones para estos sistemas a dos condiciones:

  1. Que existan estándares armonizados y herramientas de soporte adecuadas.
  2. Que, una vez confirmada su disponibilidad, las obligaciones puedan aplazarse hasta un máximo de 16 meses.

En términos prácticos, esto introduce un esquema de aplicación condicionada: las obligaciones no se activan automáticamente por calendario, sino cuando la Comisión certifique que el ecosistema normativo y técnico está listo.

El paquete incluye además:

  • la extensión de simplificaciones específicas para pymes y empresas de mediana capitalización, incluyendo requisitos de documentación técnica menos gravosos, con un ahorro estimado de al menos 225 millones de euros anuales;
  • la ampliación del uso de “regulatory sandboxes” y entornos de prueba en el mundo real, incluyendo un sandbox a nivel de la UE a partir de 2.028, con foco en sectores como automoción;
  • el refuerzo del papel de la Oficina de IA y la centralización de la supervisión de sistemas basados en modelos de IA de propósito general, con el objetivo de limitar la fragmentación de la gobernanza entre Estados miembros.

Para despachos y departamentos de cumplimiento, esto implica una doble tarea: seguir preparando los esquemas de conformidad con la AI Act, pero sobre un terreno movedizo en el que los plazos finales dependerán de decisiones y actos de ejecución de la propia Comisión.

RGPD: enmiendas “quirúrgicas” con impacto en IA, datos compartidos y cookies

El RGPD no se reabre en su estructura básica, pero el paquete introduce modificaciones dirigidas que afectan a su aplicación diaria:

  • Se persigue armonizar y clarificar determinadas disposiciones para reducir divergencias entre autoridades de control y Estados miembros.
  • Se simplifican aspectos de cumplimiento para determinadas categorías de responsables, con especial atención a pymes.
  • Se habilita un marco más claro para la compartición de conjuntos de datos personales anonimizados o seudonimizados entre empresas.

La novedad más sensible, desde el prisma jurídico, es que se da un encaje más definido al uso de datos personales en el entrenamiento de modelos de IA, siempre bajo los principios del RGPD. Esto no exonera de la necesidad de una base jurídica adecuada, evaluaciones de impacto y salvaguardas técnicas, pero reorienta el reglamento hacia una lectura más “pro-innovación” en este ámbito.

En paralelo, la Comisión propone modernizar la gestión del consentimiento en el entorno digital:

  • se pretende reducir drásticamente la proliferación de banners de cookies,
  • y permitir que el usuario indique y guarde sus preferencias a través de un sistema centralizado en navegadores y sistemas operativos, que se aplicaría de forma general a los sitios web.

Desde la óptica del derecho digital, esto desplaza parte del control práctico sobre el consentimiento hacia los proveedores de navegadores y plataformas, abriendo nuevos interrogantes sobre responsabilidades, diseño de interfaces y cumplimiento del principio de privacidad por defecto.

Ciberseguridad y notificación de incidentes: hacia un punto único de reporte

Actualmente, una misma organización puede estar obligada a reportar un incidente de ciberseguridad bajo varios marcos:

  • NIS2,
  • RGPD (en caso de brecha de datos personales),
  • DORA (para entidades financieras y proveedores críticos de TIC), entre otros.

El digital omnibus propone crear una interfaz única de notificación, con un solo punto de entrada en el que las empresas puedan cumplir de forma centralizada sus distintas obligaciones de reporte. Esta interfaz deberá implementarse con “garantías de seguridad robustas” y someterse a pruebas exhaustivas.

Desde la perspectiva de los abogados de ciberseguridad y DPO, la medida puede simplificar procesos internos y matrices de decisión, pero también exigirá revisar protocolos, gobernanza interna y coordinación con las distintas autoridades competentes a escala nacional y europea.

Data Union Strategy y Data Act: más datos para la IA, con un discurso de soberanía

La Data Union Strategy y los ajustes sobre el Data Act persiguen, según la Comisión, convertir el acceso a datos en un verdadero motor de innovación, en particular para las empresas europeas de IA.

Entre los elementos relevantes:

  • consolidación de normas dispersas en torno al Data Act, con el objetivo de ofrecer mayor claridad jurídica;
  • exenciones específicas a ciertas reglas de cloud switching para pymes y empresas medianas, con un ahorro estimado de 1,5 millones de euros en costes puntuales;
  • publicación de modelos de cláusulas contractuales para acceso y uso de datos, así como cláusulas estándar para servicios de computación en la nube;
  • establecimiento de un Data Act Legal Helpdesk y desarrollo de un enfoque estratégico de política internacional de datos, incluyendo un anti-leakage toolbox y medidas para proteger datos no personales sensibles y evaluar el trato que reciben los datos de la UE en terceros países.

Todo ello se enmarca en la narrativa de “soberanía digital”, pero a la vez habilita un entorno más propicio para el intercambio y explotación de datos dentro del mercado interior, con implicaciones directas para contratos, due diligence y diseño de arquitecturas de datos en sectores regulados.

European Business Wallet: identidad corporativa digital y efectos probatorios

El European Business Wallet se plantea como un reglamento autónomo que dotará a empresas y organismos públicos de una identidad digital y un espacio de operaciones común en toda la UE.

Mediante este monedero, las entidades podrán:

  • firmar, fechar y sellar documentos de forma electrónica;
  • crear, almacenar e intercambiar documentos verificados;
  • y comunicarse con otras empresas o administraciones de los 27 Estados miembros a través de canales seguros.

La Comisión estima que, con una adopción amplia, el ahorro en procesos administrativos podría alcanzar los 150.000 millones de euros anuales. Desde el punto de vista jurídico, esto plantea cuestiones relevantes:

  • interoperabilidad con los esquemas de firma y sello electrónico del Reglamento eIDAS;
  • reconocimiento mutuo de efectos probatorios y de autenticidad documental entre Estados miembros;
  • posibles ajustes en las normativas nacionales de procedimiento administrativo, mercantil y societario para integrar este monedero como canal ordinario de relación.

Para los despachos que asesoran en implantaciones transfronterizas, fusiones, licitaciones y fiscalidad internacional, el Business Wallet puede convertirse en una pieza central de la operativa jurídica cotidiana.

Próximos pasos: tramitación política y margen para influir en el texto final

Las propuestas del paquete digital deberán ahora ser examinadas por el Parlamento Europeo y el Consejo, donde se requiere una mayoría cualificada de Estados miembros para su adopción. La tramitación se extenderá previsiblemente durante varios meses, con posibilidad de enmiendas sustanciales en los trílogos.

En paralelo, la Comisión ha lanzado un Digital Fitness Check, una revisión integral del marco digital de la UE, acompañada de una consulta pública abierta hasta marzo de 2.026. Ese proceso evaluará la coherencia, el impacto acumulado y la contribución de las normas digitales a la competitividad.

Para los profesionales del derecho, este escenario abre varias líneas de actuación:

  • seguimiento cercano de las enmiendas en Parlamento y Consejo, especialmente en los capítulos relativos a IA de alto riesgo, uso de datos para entrenamiento de modelos y enmiendas al RGPD;
  • participación en consultas públicas y position papers en nombre de clientes, asociaciones sectoriales o colegios profesionales;
  • revisión anticipada de políticas internas de privacidad, contratos de datos, compliance en IA y protocolos de notificación de incidentes, para evitar cambios apresurados una vez los textos sean definitivos.

Más allá del discurso oficial de “simplificación”, el paquete supone una relectura del equilibrio entre innovación y protección de derechos fundamentales en el ordenamiento digital europeo. El desenlace de este proceso legislativo marcará, durante la próxima década, el terreno de juego en el que se moverán abogados, reguladores y empresas en materia de datos, IA y ciberseguridad.

Preguntas frecuentes para despachos y departamentos legales

¿En qué medida las enmiendas propuestas alteran el núcleo del RGPD?
La Comisión mantiene que el RGPD conserva intacto su núcleo: principios, derechos de los interesados y bases de licitud. Sin embargo, las enmiendas introducen mayor claridad y flexibilidad en el intercambio de datos seudonimizados o anonimizados, y en el uso de datos personales para entrenar modelos de IA. Jurídicamente, no se derogan principios, pero sí se orienta la interpretación hacia un marco más favorable a proyectos de IA y data-driven, lo que exigirá una revisión fina de evaluaciones de impacto y bases legales invocadas.

¿Qué riesgos y oportunidades plantea el nuevo calendario de la Ley de IA para los sistemas de alto riesgo?
El principal riesgo es de seguridad jurídica “diferida”: el contenido de las obligaciones se mantiene, pero su activación depende de estándares y herramientas cuya disponibilidad determinará la Comisión, con un potencial aplazamiento de hasta 16 meses. La oportunidad para empresas y asesores es disponer de más tiempo para adaptar sistemas y documentación, pero a costa de convivir durante más tiempo con un marco parcialmente en transición.

¿Cómo afectará la ventanilla única de notificación de incidentes a las obligaciones bajo NIS2, RGPD y DORA?
La propuesta no elimina las obligaciones materiales de notificación, pero pretende canalizarlas a través de una interfaz común. Esto puede simplificar la operativa interna y reducir duplicidades, pero no exime de determinar con precisión qué incidentes encajan en cada marco ni de coordinar la interacción con distintas autoridades sectoriales y de protección de datos. Será clave analizar el diseño concreto de esa ventanilla única y su articulación con los ordenamientos nacionales.

¿Qué implicaciones prácticas tendrá el European Business Wallet para la contratación y el procedimiento administrativo?
El monedero digital puede convertirse en la vía estándar para la firma y el intercambio de documentación con efectos transfronterizos, lo que impactará en la gestión de contratos, licitaciones, constituciones societarias y trámites con administraciones de otros Estados miembros. Abogados y compliance officers deberán verificar la equivalencia jurídica de las firmas, sellos y timestamps emitidos a través del wallet, y adaptar cláusulas contractuales y políticas internas para reconocer su validez y regular su uso.

Fuente: Unión Europea y Revista Cloud

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram
Etiquetas: , , , ,

Fernando Pizarro Casas

Como abogado digital me gusta compartir información de interés online.

TE PUEDE INTERESAR…