Europa lleva más de una década configurando el ecosistema regulatorio más amplio y estructurado del mundo en materia de inteligencia artificial. Este esfuerzo ha cristalizado en el UE AI Act, el ambicioso reglamento, técnicamente sólido y orientado a la mitigación de riesgos asociados a sistemas algorítmicos de alto impacto, sobre el que realicé un análisis pormenorizado en el anterior artículo.
Sin embargo, su complejidad operativa y la fragmentación normativa existente exigían ajustes. En este contexto, la Comisión Europea ha presentado el Digital Omnibus (COM(2025) 836), un paquete de modificaciones legislativas orientado a la simplificación, la coherencia y la aplicabilidad real del marco regulatorio. Su objetivo no es reemplazar el AI Act, sino reconfigurar su despliegue práctico y corregir tensiones estructurales detectadas durante su primera fase de implementación.
El propósito de este análisis es ofrecer una síntesis clara y actualizada de los cambios introducidos por el Digital Omnibus, así como de su impacto en las organizaciones que desarrollan, integran o utilizan sistemas de IA en sus operaciones.
El AI Act mantiene su complejidad técnica y sus obligaciones estructurales
Un primer elemento que conviene aclarar es que el Digital Omnibus no reduce la exigencia técnica del AI Act. El reglamento se mantiene íntegro: requisitos de gobernanza del ciclo de vida del sistema, trazabilidad, supervisión humana, documentación completa, registros de eventos, gestión del riesgo, auditorías internas y obligaciones de vigilancia postcomercialización. La arquitectura conceptual permanece intacta y ninguna de estas obligaciones se flexibiliza.
La contribución del Digital Omnibus no consiste en simplificar el régimen jurídico del AI Act, sino en dotarlo de un marco operativo más coherente y ejecutable. El Reglamento sigue siendo un instrumento complejo, orientado a garantizar seguridad, transparencia y responsabilidad en sistemas que pueden afectar a ámbitos críticos como el crédito, la salud, la movilidad o la gestión de infraestructuras esenciales.
El artículo 4a: un cambio estructural en el tratamiento de datos sensibles
Entre las modificaciones introducidas por el Digital Omnibus, el nuevo artículo 4a representa uno de los cambios más relevantes. Por primera vez, se habilita el tratamiento de categorías especiales de datos personales cuando resulte estrictamente necesario para la detección o mitigación de sesgos en sistemas de IA. Se trata de una excepción muy acotada respecto al marco establecido por el GDPR, que tradicionalmente ha conferido la máxima protección a estos datos.
Esta excepción exige un nivel de control técnico y organizativo elevado. Entre los requisitos destacan la pseudonimización robusta, la limitación estricta de accesos, la implementación de registros verificables y la obligación de mantener documentación justificativa que acredite la necesidad y proporcionalidad del tratamiento. Asimismo, se requieren políticas internas específicas y procedimientos de minimización, conservación y destrucción de la información equivalentes a los exigidos en entornos altamente regulados.
El Digital Omnibus, por tanto, introduce una herramienta crítica para mejorar la equidad algorítmica, pero lo hace imponiendo obligaciones adicionales que las organizaciones deberán integrar en sus modelos de gobernanza del dato.
Nuevo calendario: flexibilidad operativa sin reducción de exigencia
El calendario original del AI Act resultaba difícilmente compatible con la disponibilidad efectiva de estándares armonizados y guías técnicas. El Digital Omnibus corrige esta situación mediante un esquema más razonable: las obligaciones se activarán progresivamente cuando existan estándares publicados, con plazos de aplicación que oscilan entre seis y doce meses. Solo si estos estándares no llegan a tiempo se aplicarán plazos máximos establecidos para 2027 y 2028.
Esta flexibilización no implica una reducción de los requisitos. Introduce, sin embargo, un riesgo operativo: la percepción de que existe margen para demorar la preparación interna. Cuando los estándares armonizados entren en vigor, la necesidad de cumplimiento será inmediata y exigirá una gobernanza madura previamente establecida.
Reducción de duplicidades en sectores regulados
Uno de los problemas iniciales del AI Act era la coexistencia de obligaciones sectoriales (por ejemplo, MDR, IVDR o normativa de maquinaria) con el propio reglamento, generando duplicidades complejas y, en algunos casos, contradictorias. El Digital Omnibus corrige este desajuste permitiendo que los sistemas de IA integrados en productos regulados cumplan únicamente un subconjunto de requisitos del AI Act. Asimismo, se establece un procedimiento de solicitud única para organismos notificados, lo que reduce carga administrativa y facilita la coordinación entre marcos normativos.
El AI Office: un nuevo actor institucional
El Digital Omnibus refuerza la creación del AI Office, el organismo encargado de coordinar la supervisión de sistemas de alto riesgo, emitir interpretaciones oficiales, gestionar modelos de propósito general y armonizar las actuaciones de los reguladores nacionales. Su funcionamiento será determinante para la seguridad jurídica del ecosistema. Un organismo eficaz aportará claridad y coherencia, pero una insuficiente capacidad operativa podría convertirse en un cuello de botella para la innovación y la conformidad regulatoria.
Las organizaciones deberán preparar su documentación técnica y sus procesos internos asumiendo que el AI Office desempeñará un rol central en las evaluaciones y en la interpretación del AI Act.
Digital Omnibus y gobernanza integrada: IA, ciberseguridad y dato
El Digital Omnibus no se interpreta de forma aislada. Su entrada en vigor afecta al conjunto del ecosistema normativo europeo: AI Act, Data Act, GDPR y NIS2 forman un bloque regulatorio interdependiente, perfilándose como el ecosistema normativo que servirá de avanzadilla e inspiración para otros países.
La gobernanza del dato, la seguridad y la gestión de riesgos algorítmicos deben abordarse desde una perspectiva unificada. La aproximación fragmentada en la que cada área opera de forma independiente deja de ser viable en un entorno donde los reguladores europeos esperan coherencia, trazabilidad y consistencia técnica a lo largo de todo el ciclo de vida del dato y del sistema.
Recomendaciones para empresas: hoja de ruta operativa
El Digital Omnibus reorganiza las obligaciones, pero no reduce el trabajo necesario para cumplir. Las organizaciones deberían considerar las siguientes acciones prioritarias:
- Inventario de sistemas: elaborar un inventario completo de todos los sistemas de IA utilizados, desarrollados o adquiridos, identificando su clasificación según los anexos del AI Act.
- Políticas internas sobre datos sensibles: desarrollar políticas internas específicas para el tratamiento de datos sensibles conforme al nuevo artículo 4a, con participación de DPO, CISO, responsables de datos y áreas de negocio.
- Proveedores: revisar contratos con proveedores para garantizar trazabilidad, documentación, evidencias técnicas y derechos de auditoría.
- Gobernanza: iniciar la construcción de una gobernanza interna robusta antes de la publicación de estándares armonizados, evitando situaciones de no conformidad por falta de preparación.
Reflexión
El Digital Omnibus no modifica la esencia del AI Act, pero sí redefine su aplicabilidad práctica. Aporta mayor coherencia normativa, corrige duplicidades y activa mecanismos necesarios para que las organizaciones puedan implementar sus obligaciones con mayor seguridad jurídica. A la vez, introduce nuevas exigencias, especialmente en materia de datos sensibles y gobernanza integrada.
La combinación del AI Act y del Digital Omnibus configura un marco regulatorio más preciso y operativo, pero también más exigente en términos de gobernanza técnica, documentación y responsabilidad organizativa. Ante este escenario, las empresas deben anticiparse, estructurar sus capacidades internas y prepararse para una implementación progresiva que requerirá madurez y consistencia en todos los niveles.
Nuestro equipo de consultores especializados en datos e inteligencia artificial, y nuestra amplia experiencia trabajando con clientes de entornos altamente regulados de sectores como Banca, Seguros o Telecomunicaciones, puede ayudaros a evaluar cómo afecta a vuestra compañía el nuevo marco europeo, identificando las obligaciones específicas y definiendo una hoja de ruta de cumplimiento adaptada a vuestra realidad empresarial.
Te invitamos a ponerte en contacto con nosotros para analizar tu caso y diseñar juntos una estrategia que convierta la regulación en una ventaja competitiva.
