Europa lleva más de una década configurando el ecosistema regulatorio más amplio y estructurado del mundo en materia de inteligencia artificial. Este esfuerzo ha cristalizado en el UE AI Act, el ambicioso reglamento, técnicamente sólido y orientado a la mitigación de riesgos asociados a sistemas algorítmicos de alto impacto, sobre el que realicé un análisis pormenorizado en el anterior artículo.
Sin embargo, su complejidad operativa y la fragmentación normativa existente exigían ajustes. En este contexto, la Comisión Europea ha presentado el Digital Omnibus (COM(2025) 836), un paquete de modificaciones legislativas orientado a la simplificación, la coherencia y la aplicabilidad real del marco regulatorio. Su objetivo no es reemplazar el AI Act, sino reconfigurar su despliegue práctico y corregir tensiones estructurales detectadas durante su primera fase de implementación.
El propósito de este análisis es ofrecer una síntesis clara y actualizada de los cambios introducidos por el Digital Omnibus, así como de su impacto en las organizaciones que desarrollan, integran o utilizan sistemas de IA en sus operaciones.
El AI Act mantiene su complejidad técnica y sus obligaciones estructurales
Un primer elemento que conviene aclarar es que el Digital Omnibus no reduce la exigencia técnica del AI Act. El reglamento se mantiene íntegro: requisitos de gobernanza del ciclo de vida del sistema, trazabilidad, supervisión humana, documentación completa, registros de eventos, gestión del riesgo, auditorías internas y obligaciones de vigilancia postcomercialización. La arquitectura conceptual permanece intacta y ninguna de estas obligaciones se flexibiliza.
La contribución del Digital Omnibus no consiste en simplificar el régimen jurídico del AI Act, sino en dotarlo de un marco operativo más coherente y ejecutable. El Reglamento sigue siendo un instrumento complejo, orientado a garantizar seguridad, transparencia y responsabilidad en sistemas que pueden afectar a ámbitos críticos como el crédito, la salud, la movilidad o la gestión de infraestructuras esenciales.
El artículo 4a: un cambio estructural en el tratamiento de datos sensibles
Entre las modificaciones introducidas por el Digital Omnibus, el nuevo artículo 4a representa uno de los cambios más relevantes. Por primera vez, se habilita el tratamiento de categorías especiales de datos personales cuando resulte estrictamente necesario para la detección o mitigación de sesgos en sistemas de IA. Se trata de una excepción muy acotada respecto al marco establecido por el GDPR, que tradicionalmente ha conferido la máxima protección a estos datos.
Esta excepción exige un nivel de control técnico y organizativo elevado. Entre los requisitos destacan la pseudonimización robusta, la limitación estricta de accesos, la implementación de registros verificables y la obligación de mantener documentación justificativa que acredite la necesidad y proporcionalidad del tratamiento. Asimismo, se requieren políticas internas específicas y procedimientos de minimización, conservación y destrucción de la información equivalentes a los exigidos en entornos altamente regulados.
El Digital Omnibus, por tanto, introduce una herramienta crítica para mejorar la equidad algorítmica, pero lo hace imponiendo obligaciones adicionales que las organizaciones deberán integrar en sus modelos de gobernanza del dato.
Nuevo calendario: flexibilidad operativa sin reducción de exigencia
El calendario original del AI Act resultaba difícilmente compatible con la disponibilidad efectiva de estándares armonizados y guías técnicas. El Digital Omnibus corrige esta situación mediante un esquema más razonable: las obligaciones se activarán progresivamente cuando existan estándares publicados, con plazos de aplicación que oscilan entre seis y doce meses. Solo si estos estándares no llegan a tiempo se aplicarán plazos máximos establecidos para 2027 y 2028.
Esta flexibilización no implica una reducción de los requisitos. Introduce, sin embargo, un riesgo operativo: la percepción de que existe margen para demorar la preparación interna. Cuando los estándares armonizados entren en vigor, la necesidad de cumplimiento será inmediata y exigirá una gobernanza madura previamente establecida.
Reducción de duplicidades en sectores regulados
Uno de los problemas iniciales del AI Act era la coexistencia de obligaciones sectoriales (por ejemplo, MDR, IVDR o normativa de maquinaria) con el propio reglamento, generando duplicidades complejas y, en algunos casos, contradictorias. El Digital Omnibus corrige este desajuste permitiendo que los sistemas de IA integrados en productos regulados cumplan únicamente un subconjunto de requisitos del AI Act. Asimismo, se establece un procedimiento de solicitud única para organismos notificados, lo que reduce carga administrativa y facilita la coordinación entre marcos normativos.
El AI Office: un nuevo actor institucional
El Digital Omnibus refuerza la creación del AI Office, el organismo encargado de coordinar la supervisión de sistemas de alto riesgo, emitir interpretaciones oficiales, gestionar modelos de propósito general y armonizar las actuaciones de los reguladores nacionales. Su funcionamiento será determinante para la seguridad jurídica del ecosistema. Un organismo eficaz aportará claridad y coherencia, pero una insuficiente capacidad operativa podría convertirse en un cuello de botella para la innovación y la conformidad regulatoria.
Las organizaciones deberán preparar su documentación técnica y sus procesos internos asumiendo que el AI Office desempeñará un rol central en las evaluaciones y en la interpretación del AI Act.
Digital Omnibus y gobernanza integrada: IA, ciberseguridad y dato
El Digital Omnibus no se interpreta de forma aislada. Su entrada en vigor afecta al conjunto del ecosistema normativo europeo: AI Act, Data Act, GDPR y NIS2 forman un bloque regulatorio interdependiente, perfilándose como el ecosistema normativo que servirá de avanzadilla e inspiración para otros países.
La gobernanza del dato, la seguridad y la gestión de riesgos algorítmicos deben abordarse desde una perspectiva unificada. La aproximación fragmentada en la que cada área opera de forma independiente deja de ser viable en un entorno donde los reguladores europeos esperan coherencia, trazabilidad y consistencia técnica a lo largo de todo el ciclo de vida del dato y del sistema.
Impactos organizativos: cómo cambia la operatividad interna con el Digital Omnibus
Aunque el Digital Omnibus no modifica la arquitectura del AI Act, sí altera la forma en que las obligaciones se distribuyen dentro de una organización. El foco ya no está únicamente en “cumplir requisitos”, sino en cómo las áreas internas deberán coordinarse para sostener un marco de cumplimiento continuo, especialmente en sistemas con impacto operativo real. Este ajuste interno es uno de los efectos más relevantes y menos visibles de la nueva propuesta.
Alineación entre equipos técnicos, de privacidad y de seguridad
El enfoque integrado que surge tras la reconfiguración del marco normativo exige que las áreas de datos, ciberseguridad y privacidad trabajen sobre procesos comunes, no sobre flujos paralelos. El AI Act, el Data Act, el GDPR y NIS2 dejan de ser marcos independientes para convertirse en un ecosistema que debe gestionarse de forma unificada. Esto obliga a:
- Diseñar mecanismos de control que funcionen para todos los marcos regulatorios, no solo para uno.
- Consolidar evidencias técnicas y documentales dentro de un mismo sistema de gestión.
- Reducir la fragmentación entre equipos, que era uno de los factores que más dificultaban la aplicabilidad real del AI Act.
El resultado es un modelo operativo donde la coherencia interna pasa a ser un requisito regulatorio.
Nuevas exigencias en la gestión del ciclo de vida de los sistemas
El Digital Omnibus refuerza la necesidad de que las organizaciones tengan visibilidad completa sobre el ciclo de vida de los sistemas que integran o desarrollan. No se trata únicamente de documentar o supervisar, sino de:
- Mantener fichas actualizadas de cada sistema y su clasificación.
- Articular flujos de revisión que permitan anticipar actualizaciones normativas o nuevas guías técnicas.
- Garantizar que las decisiones técnicas quedan registradas con la profundidad que exige un sistema de alto impacto.
Esto transforma la gobernanza algorítmica en una práctica continua, no en un ejercicio anual.
Relación con proveedores y terceros: mayor rigor contractual
La reorganización normativa incorpora un grado mayor de responsabilidad compartida entre proveedores y organizaciones usuarias. Este cambio no añade nuevos requisitos, pero sí redefine la forma de trabajar con terceros. Las empresas necesitarán:
- Contratos que especifiquen obligaciones técnicas verificables.
- Evidencias claras de que el proveedor cumple con los requisitos aplicables.
- Mecanismos para solicitar información, auditorías o documentación sin fricciones.
La cadena de suministro tecnológica pasa a ser parte directa del marco regulatorio.
Recomendaciones para empresas: hoja de ruta operativa
El Digital Omnibus reorganiza las obligaciones, pero no reduce el trabajo necesario para cumplir. Las organizaciones deberían considerar las siguientes acciones prioritarias:
- Inventario de sistemas: elaborar un inventario completo de todos los sistemas de IA utilizados, desarrollados o adquiridos, identificando su clasificación según los anexos del AI Act.
- Políticas internas sobre datos sensibles: desarrollar políticas internas específicas para el tratamiento de datos sensibles conforme al nuevo artículo 4a, con participación de DPO, CISO, responsables de datos y áreas de negocio.
- Proveedores: revisar contratos con proveedores para garantizar trazabilidad, documentación, evidencias técnicas y derechos de auditoría.
- Gobernanza: iniciar la construcción de una gobernanza interna robusta antes de la publicación de estándares armonizados, evitando situaciones de no conformidad por falta de preparación.
Preguntas frecuentes sobre El Digital Omnibus
¿Qué aporta el Digital Omnibus que no estaba previsto en el AI Act?
Aporta algo que el AI Act, por sí solo, no podía resolver: una manera más realista de aplicar el reglamento en el día a día. Ajusta plazos, evita duplicidades entre normativas y aclara cómo deben coordinarse los distintos marcos regulatorios europeos. No cambia la esencia del AI Act, pero sí facilita que las obligaciones puedan cumplirse sin fricciones.
¿Qué implica para una empresa que el Digital Omnibus introduzca el artículo 4a?
Implica que la empresa podrá usar datos sensibles únicamente cuando sea imprescindible para detectar sesgos, pero deberá demostrarlo con políticas, controles y documentación muy sólidos. Es una puerta pequeña, pero necesaria, que exige una gobernanza del dato madura y cuidadosamente diseñada.
¿Cómo afecta el nuevo calendario del Digital Omnibus a quienes están preparando su cumplimiento?
Les da algo más de margen, pero también un aviso claro: los plazos serán exigentes en cuanto se publiquen los estándares técnicos. Es decir, no se trata de esperar, sino de adelantar trabajo interno para que, cuando lleguen los estándares, la organización no se vea desbordada.
¿De qué manera el Digital Omnibus cambia la relación entre IA, seguridad y gestión del dato?
Obliga a dejar atrás la gestión por silos. Conecta IA, ciberseguridad y dato como partes de un mismo sistema regulatorio. Para las empresas, esto significa que la gobernanza debe ser integrada, consistente y capaz de sostener requisitos cruzados a lo largo de todo el ciclo de vida del sistema.
¿Qué cambia para las empresas con el enfoque integrado que impulsa el Digital Omnibus?
Cambia que ya no basta con gestionar la IA, la seguridad y los datos por separado. El Digital Omnibus exige que estos ámbitos se alineen dentro de una misma estructura de gobernanza, coherente y sostenible. Para las empresas, esto implica coordinar equipos, unificar criterios y asegurar que todas las decisiones técnicas respondan a un marco regulatorio único.
Reflexión
El Digital Omnibus no modifica la esencia del AI Act, pero sí redefine su aplicabilidad práctica. Aporta mayor coherencia normativa, corrige duplicidades y activa mecanismos necesarios para que las organizaciones puedan implementar sus obligaciones con mayor seguridad jurídica. A la vez, introduce nuevas exigencias, especialmente en materia de datos sensibles y gobernanza integrada.
La combinación del AI Act y del Digital Omnibus configura un marco regulatorio más preciso y operativo, pero también más exigente en términos de gobernanza técnica, documentación y responsabilidad organizativa. Ante este escenario, las empresas deben anticiparse, estructurar sus capacidades internas y prepararse para una implementación progresiva que requerirá madurez y consistencia en todos los niveles.
Nuestro equipo de consultores especializados en datos e inteligencia artificial, y nuestra amplia experiencia trabajando con clientes de entornos altamente regulados de sectores como Banca, Seguros o Telecomunicaciones, puede ayudaros a evaluar cómo afecta a vuestra compañía el nuevo marco europeo, identificando las obligaciones específicas y definiendo una hoja de ruta de cumplimiento adaptada a vuestra realidad empresarial.
Te invitamos a ponerte en contacto con nosotros para analizar tu caso y diseñar juntos una estrategia que convierta la regulación en una ventaja competitiva.
