Por Iván Martínez, CEO de Intedya

La Comisión Europea ha presentado un conjunto de propuestas legislativas conocidas como “Digital Omnibus” con el objetivo de ajustar y simplificar la aplicación práctica de la Ley de Inteligencia Artificial de la Unión Europea (AI Act) y otras normas digitales como el RGPD (Reglamento General de Protección de Datos) y las reglas de ciberseguridad. La Comisión ha propuesto dos ramas principales dentro del paquete de simplificación:

1. Digital Omnibus sobre el conjunto del marco digital: ajusta reglas del RGPD, ciberseguridad, la Ley de Servicios Digitales, la Ley de Mercados Digitales y otras para reducir solapamientos y simplificar obligaciones.

2. Digital Omnibus sobre IA: modifica específicamente el Reglamento (UE) 2024/1689, conocido como AI Act. Su finalidad es facilitar una aplicación “oportuna, fluida y proporcionada” de ciertas obligaciones del AI Act sin debilitar su arquitectura de protección de derechos ni sus principios de seguridad.

El objetivo principal es evitar que las obligaciones regulatorias entren en vigor sin que existan aún estándares técnicos, autoridades operativas o mecanismos claros de cumplimiento, situación que podría generar incertidumbre jurídica y frenar la innovación en el ecosistema europeo de IA.

Principales cambios regulatorios propuestos

1. Inclusión de agentes autónomos de IA dentro del alcance regulatorio

Se propone actualizar la definición de sistema de IA para incluir explícitamente a los denominados AI agents, es decir, sistemas capaces no solo de generar recomendaciones o contenidos, sino también de ejecutar acciones de forma autónoma.

Esto afecta directamente a:

• asistentes virtuales con capacidad operativa,

• agentes autónomos que ejecutan procesos,

• sistemas capaces de actuar sin supervisión humana constante.

El impacto regulatorio es significativo, ya que amplía el alcance del AI Act a soluciones que hasta ahora podían quedar en zonas grises normativas.

2. Eliminación de la obligación general de alfabetización en IA para empresas

El AI Act establecía inicialmente una obligación amplia para que proveedores y usuarios garantizaran formación en IA a su personal. La revisión propone sustituir esta obligación por:

• medidas de recomendación y fomento por parte de Estados y Comisión,

• intercambio de buenas prácticas,

• iniciativas no obligatorias de capacitación.

El objetivo es reducir cargas administrativas, especialmente para pequeñas y medianas empresas, manteniendo al mismo tiempo la promoción de capacidades en IA.

3. Uso de datos sensibles para detectar y corregir sesgos

Se clarifica la posibilidad de utilizar datos personales sensibles cuando sea estrictamente necesario para detectar y corregir sesgos discriminatorios en sistemas de IA, siempre bajo salvaguardas adecuadas.

Esto permite:

• facilitar auditorías de sesgos y discriminación,

• evitar bloqueos legales en procesos de evaluación de equidad,

• mejorar la calidad y seguridad de modelos utilizados en ámbitos sensibles.

4. Prohibición explícita de aplicaciones de nudificación y deepfakes íntimos

Se introduce una prohibición clara sobre sistemas capaces de generar o manipular imágenes y contenidos sexuales sin consentimiento.

Con ello se pretende:

• reforzar la protección frente a deepfakes sexuales,

• eliminar ambigüedades jurídicas existentes,

• proteger derechos fundamentales frente a usos abusivos de IA.

5. Simplificación de obligaciones de registro y documentación

El paquete propone eliminar requisitos considerados desproporcionados para sistemas que no presentan riesgos elevados, reduciendo así cargas burocráticas innecesarias para desarrolladores y proveedores.

6. Refuerzo de sandboxes regulatorios europeos

Se fortalece el uso de entornos controlados de prueba (regulatory sandboxes) que permiten:

• probar sistemas de IA antes de su salida al mercado,

• realizar pruebas en condiciones reales,

• facilitar la innovación bajo supervisión regulatoria.

Estos mecanismos resultan especialmente relevantes para startups y empresas tecnológicas en fases de desarrollo.

7. Retraso en la aplicación plena de obligaciones para IA de alto riesgo

Debido al retraso en la disponibilidad de estándares técnicos armonizados y en la creación de autoridades competentes en algunos Estados miembros, se plantea retrasar la aplicación completa de obligaciones para sistemas de alto riesgo.

Dependiendo de la categoría, la aplicación plena podría desplazarse hasta 2027 o 2028, permitiendo una adaptación progresiva.

Este ajuste proporciona alivio temporal a empresas que aún no disponen de mecanismos claros para cumplir plenamente con las exigencias regulatorias.

Un giro hacia la aplicación práctica

El ajuste regulatorio refleja un cambio de enfoque en la política europea de IA: de la fase inicial de creación de un marco normativo robusto se pasa ahora a una etapa de implementación pragmática, buscando equilibrar protección de derechos, competitividad tecnológica e innovación. En este contexto de adaptación regulatoria, la norma ISO/IEC 42001, primer estándar internacional para sistemas de gestión de inteligencia artificial, adquiere un papel estratégico.

Esta norma permite a las organizaciones implantar un sistema de gobernanza de IA que:

• identifica y gestiona riesgos asociados a IA,

• asegura controles sobre desarrollo y uso de sistemas,

• aporta trazabilidad y responsabilidad,

• integra la gestión de IA en sistemas de compliance y riesgos existentes,

• y demuestra diligencia debida ante clientes y reguladores.

La Unión Europea no está debilitando su regulación de IA, sino ajustándola para que sea aplicable y sostenible en la práctica. El reto pasa ahora de legislar a implementar eficazmente, garantizando que Europa pueda combinar innovación tecnológica con protección de derechos y seguridad jurídica en el despliegue de la inteligencia artificial.