¿Hacia una gobernanza digital más ágil o más ambigua? El giro estratégico del paquete ómnibus de la UE
La Comisión Europea ha presentado un ambicioso Paquete Digital Ómnibus que reconfigura —sin reescribir del todo— la legislación sobre inteligencia artificial, datos, ciberseguridad y privacidad. Aunque se promueve como una “simplificación” pro-innovación, los cambios propuestos al Reglamento de Inteligencia Artificial (EU AI Act) abren interrogantes estratégicos para quienes diseñan políticas tecnológicas centradas en derechos y responsabilidad.
¿Qué cambios propone la Comisión Europea al Reglamento de IA para facilitar su cumplimiento por parte de pymes y empresas de mediana capitalización?
La Comisión Europea ha propuesto ajustes clave al Reglamento de IA como parte del paquete ómnibus digital para reducir la carga normativa sobre pymes (menos de 250 empleados) y empresas de mediana capitalización (hasta 750 empleados y 150 millones de euros en ingresos anuales). Entre otros, introduce sanciones proporcionales que toman en cuenta la capacidad económica de estas empresas y elimina algunas obligaciones de documentación técnica muy costosas en tiempo y recursos.
También amplía el acceso a espacios de pruebas regulatorias (regulatory sandboxes), lo cual permite a las pequeñas empresas probar sus sistemas de IA en condiciones reales bajo supervisión, sin temor a sanciones inmediatas. Este enfoque busca fomentar la innovación sin comprometer la seguridad ni los derechos fundamentales.
Por ejemplo, una startup europea desarrolladora de IA médica podrá beneficiarse de requisitos técnicos simplificados, evitando contratar firmas externas para la validación inicial, si demuestra que su producto no es de alto riesgo. Al mismo tiempo, podrá validar su tecnología en un entorno controlado nacional o, a partir de 2028, en uno de escala europea.
Fuente: Comisión Europea – Propuesta Ómnibus Digital 2024
¿Qué cambia con estas enmiendas?
El paquete propone ajustes técnicos para alinear marcos regulatorios, suavizar las cargas para pymes, y retrasar plazos clave de implementación del AI Act. Destacamos cinco puntos centrales:
Te comparto los 5 cambios más importantes que propone la European Commission:
Ten en cuenta que toda nueva normativa de la UE como esta requiere aprobación tanto del Parlamento Europeo como de los Estados miembros (a través del Consejo). Por ello, esta propuesta estará sujeta a intensas negociaciones de trílogo en los próximos meses.
𝟭. 𝗖𝗮𝗺𝗯𝗶𝗼𝘀 𝗱𝗲 𝗰𝗮𝗹𝗲𝗻𝗱𝗮𝗿𝗶𝗼: retraso de la fecha de aplicación de las obligaciones para proveedores y desplegadores de sistemas de alto riesgo. Hoy están previstas para el 2 Ago 2026. La propuesta plantea retrasarlas a:
a) 6–12 meses después de aprobarse las normas técnicas correspondientes a los requisitos de alto riesgo o
b) 2 Dic 2027 (sistemas de alto riesgo Anexo III) y 2 Ago 2028 (sistemas de alto riesgo Anexo I).
>>>⚠️ La propuesta de la Comisión cambia el plazo, pero se reserva la opción de adelantarlo de nuevo, y ni siquiera está claro si la propuesta podrá aprobarse de aquí a agosto. Incertidumbre máxima. La única estrategia viable es tener un plan para cualquier fecha límite, lo que implica actuar ya.
𝟮. 𝗥𝗲𝗱𝘂𝗰𝗶𝗿 𝗹𝗮𝘀 𝗼𝗯𝗹𝗶𝗴𝗮𝗰𝗶𝗼𝗻𝗲𝘀 𝗱𝗲 𝗮𝗹𝗳𝗮𝗯𝗲𝘁𝗶𝘇𝗮𝗰𝗶𝗼́𝗻 𝗲𝗻 𝗜𝗔: en lugar de exigir legalmente a proveedores y desplegadores implementar alfabetización en IA, la Comisión y los Estados miembros deberán fomentarla y “animar a proveedores y desplegadores a tomar medidas para garantizar un nivel suficiente de alfabetización en IA”.
𝟯. 𝗔𝗺𝗽𝗹𝗶𝗮𝗰𝗶𝗼́𝗻 𝗱𝗲𝗹 𝗮́𝗺𝗯𝗶𝘁𝗼 𝗱𝗲 𝗹𝗮 𝗢𝗳𝗶𝗰𝗶𝗻𝗮 𝗱𝗲 𝗜𝗔 𝗱𝗲 𝗹𝗮 𝗨𝗘: designar a la AI Office (parte de la Comisión Europea) como la autoridad responsable de supervisión y cumplimiento de ciertos sistemas de IA basados en modelos de propósito general (GPAI) cuando el modelo y el sistema sean del mismo proveedor.
𝟰. 𝗟𝗶𝗺𝗶𝘁𝗮𝗰𝗶𝗼́𝗻 𝗱𝗲𝗹 𝗿𝗲𝗴𝗶𝘀𝘁𝗿𝗼 𝗲𝗻 𝗹𝗮 𝗯𝗮𝘀𝗲 𝗱𝗲 𝗱𝗮𝘁𝗼𝘀 𝗽𝘂́𝗯𝗹𝗶𝗰𝗮 𝗱𝗲 𝗹𝗮 𝗨𝗘: eliminar la obligación de que los proveedores registren en la base de datos pública de la UE un sistema de IA que comercializan o ponen en servicio en un ámbito de alto riesgo (Anexo III) si han determinado y documentado que no es de alto riesgo por la naturaleza de su uso. Así deberán aportar pruebas de esa evaluación de excepción cuando se les solicite.
𝟱. 𝗣𝗿𝗼𝗽𝗼𝗿𝗰𝗶𝗼𝗻𝗮𝗹𝗶𝗱𝗮𝗱 𝗽𝗮𝗿𝗮 𝘀𝗺𝗮𝗹𝗹 𝗺𝗶𝗱-𝗰𝗮𝗽𝘀 (𝗦𝗠𝗖𝘀): introducir sanciones de cumplimiento más reducidas y proporcionales para SMCs (empresas < 750 empleados y facturación anual < 150 millones de €).
¿Simplificación estratégica o dilución normativa?
Desde una óptica de gobernanza, el paquete evita modificar la lógica central del AI Act —basada en riesgos proporcionales—, pero “pulsa pausa” en su aplicación efectiva y desplaza parte de la responsabilidad a los Estados miembros y al mercado.
Para algunos, como Virginia Dignum o Yoshua Bengio, el enfoque en gobernanza algorítmica no puede supeditarse al ritmo de la industria. Retomar medidas como auditorías independientes, trazabilidad de datos y explicabilidad debe mantenerse como estándar mínimo, no como opción pospuesta.
Oportunidades señaladas
- Menores costos regulatorios estimados en hasta 5.000 millones de euros.
- Carteras digitales empresariales que faciliten legitimaciones transfronterizas.
- Unificación del reporte de incidentes bajo un único punto de entrada (ciberseguridad).
Riesgos tangibles
- Imprevisibilidad regulatoria: los nuevos plazos podrán volver a adelantarse.
- Desactivación de obligaciones éticas: la alfabetización en IA y la transparencia algorítmica pierden fuerza jurídica.
- Doble velocidad en cumplimiento: startups y big tech jugarán con reglas distintas.
¿Y los derechos fundamentales?
La narrativa pro-innovación no contiene propuestas concretas para reforzar salvaguardas frente a discriminación algorítmica o vigilancia automatizada. Tampoco se fortalece el rol de la sociedad civil ni de los investigadores independientes como garantes del interés público.
Propuestas para actuar (ya)
- Empresas: no esperes a los plazos. Prepara desde ahora tus evaluaciones de impacto algorítmico y planes de gobernanza proactiva.
- Gobiernos: impulsa guías nacionales sobre IA Responsable basadas en estándares del OECD AI, la UNESCO y el NIST.
- Ciudadanía digital: exige transparencia en el uso de IA y acceso efectivo a mecanismos de reclamación.
Una gobernanza en pausa es una oportunidad perdida
Si el marco comunitario se adapta solo por presión de cumplimiento, sin preservar las exigencias éticas y técnicas que hacen que la IA sea confiable, ¿qué tipo de soberanía digital está construyendo Europa?
¿Estamos ante una "simplificación normativa" que permite escalar innovación segura o ante diluciones que debilitan la rendición de cuentas algorítmica en nombre de la competitividad?
¿Tu organización tiene un plan para responder con resiliencia, más allá del calendario europeo?
¿Por qué la Comisión Europea propone aplazar la entrada en vigor del Reglamento de IA?
La Comisión Europea propone retrasar el inicio de las obligaciones del Reglamento de IA para sistemas de alto riesgo con el objetivo de garantizar que estas normas se apliquen solo cuando existan estándares técnicos y herramientas de apoyo claras. Esta medida busca ofrecer mayor seguridad jurídica a las empresas y evitar cargas innecesarias antes de contar con las condiciones necesarias para un cumplimiento efectivo.
Por ejemplo, una empresa europea que desarrolla sistemas de IA para el diagnóstico clínico podrá planificar el rediseño de sus sistemas conforme a los estándares cuando estos estén listos, evitando asumir costes de cumplimiento con normativas aún en discusión. Este enfoque también facilita que las pymes accedan a orientación técnica antes de implementar cambios estructurales en sus soluciones.
Fuente: Propuesta de modificación del Reglamento de IA – Comisión Europea, 2024
¿Qué cambios introduce la Comisión Europea en las obligaciones de alfabetización en IA?
La nueva propuesta elimina la obligación legal directa para proveedores y usuarios de garantizar alfabetización en IA. En su lugar, se asigna a los Estados miembros y a la Comisión la responsabilidad de fomentar activamente estas competencias, dejando a las organizaciones el rol de adoptarlas voluntariamente.
Una organización del sector público en España, por ejemplo, ya no estaría obligada por ley a realizar formaciones internas sobre los riesgos de sistemas de IA, aunque podría beneficiarse de programas nacionales cofinanciados que fomenten estas capacidades. Esta flexibilización busca aumentar la adopción sin imponer cargas regulatorias inmediatas.
Fuente: Artículo 4 – Propuesta de reforma del Reglamento de IA, 2024
¿Qué papel tendrá la Oficina Europea de Inteligencia Artificial según la nueva propuesta?
La Comisión propone ampliar el alcance de la Oficina Europea de Inteligencia Artificial, dándole autoridad para supervisar y hacer cumplir las normas aplicables a los sistemas basados en modelos de IA de propósito general, siempre que modelo y sistema provengan del mismo proveedor. Esto busca centralizar capacidades técnicas y reducir disparidades regulatorias entre los Estados miembros.
Un proveedor europeo que desarrolle tanto el modelo fundacional como el producto final —por ejemplo, un modelo conversacional integrado en un asistente jurídico— podría recibir inspecciones y orientaciones directamente de la Oficina, en lugar de tratar con múltiples entidades nacionales. Esto acelera la toma de decisiones y mejora la coherencia regulatoria en toda la UE.
Fuente: Comisión Europea – Estrategia Digital e Inteligencia Artificial, 2024
¿Cómo apoya el paquete digital a las pymes en el cumplimiento del Reglamento de IA?
El paquete digital propone ampliaciones significativas para aligerar la carga regulatoria de las pymes y empresas de mediana capitalización. Entre las medidas destacan requisitos técnicos de documentación más simples, espacios controlados para pruebas reales, exenciones específicas y reducción de sanciones proporcionales según el tamaño de la empresa.
Una startup que desarrolla soluciones de IA para movilidad urbana podrá acceder a entornos regulados tipo sandbox con menos requisitos, probar sus sistemas en condiciones reales y beneficiarse de guías más claras, todo sin enfrentarse a las mismas obligaciones que grandes corporaciones. Esto incentiva la innovación mientras se protege al usuario final.
Fuente: Comisión Europea – Paquete Digital Ómnibus, febrero 2024
¿Qué impacto tendrá la nueva ventanilla única para notificación de ciberincidentes en empresas que usan IA?
La Comisión Europea plantea consolidar en una sola interfaz digital la obligación de notificar incidentes de ciberseguridad que actualmente deben cumplirse en diferentes normativas (RGPD, DORA, NIS2, entre otras). Esto reducirá significativamente el tiempo administrativo y evitará notificaciones duplicadas para una misma amenaza.
Una fintech que utilice IA para predecir fraudes financieros podrá informar automáticamente desde ese único canal cuando detecte anomalías, cumpliendo al mismo tiempo con las obligaciones en protección de datos y ciberresiliencia del sector financiero. Esto mejora su capacidad de respuesta ante amenazas sin comprometer la legalidad de sus actuaciones.
Quieres aprender más sobre la IA Responsable y Gobernanza de la IA, lee mis artículos de blog que he redactado para ti.
✅ Suscríbete a mi newsletter para recibir cada semana lo más relevante de la IA Responsable
Para cualquier duda que puedas tener, me puedes mandarme email a info@karine.ai, con mucho gusto te contestaré.
