El «Ómnibus Digital» de la UE: un respiro estratégico y nuevas líneas rojas en la carrera por regular la IA
El Ómnibus Digital es el paquete legislativo de la Comisión Europea (noviembre de 2025) diseñado para simplificar el marco regulatorio digital de la UE mediante la modificación del Reglamento de IA (AI Act), el RGPD, la Directiva ePrivacy, la Directiva NIS2 y la Data Act, con el objetivo de reducir la carga administrativa. Tras su aprobación definitiva el 29 de junio de 2026, aplaza la aplicación de las obligaciones relativas a los sistemas de IA de alto riesgo, pero no rebaja el nivel de diligencia exigido a las organizaciones.
Bruselas no pretende replantear su enfoque sobre la regulación de la inteligencia artificial, sino hacerlo más práctico y viable. El objetivo es simplificar un marco normativo que, tras años de intensa actividad legislativa, se había vuelto cada vez más complejo para las empresas, las administraciones públicas y las autoridades supervisoras.
Simplificación sí. Desregulación, no.
El Ómnibus Digital parte de una realidad evidente: la sucesión de normas como el RGPD, el Reglamento de IA (AI Act), la Data Act, la Ley de Servicios Digitales (Digital Services Act) y la Directiva NIS2 ha dado lugar a uno de los marcos regulatorios más completos del mundo, pero también a uno de los más complejos de gestionar. Y, entre nosotros, que un marco sea completo no significa necesariamente que sea perfecto. En más de una ocasión, la complejidad de gestionar este entramado normativo ha rozado lo absurdo.
La acumulación de obligaciones, los distintos calendarios de aplicación y la coexistencia de múltiples autoridades competentes han incrementado de forma significativa la carga regulatoria, especialmente para las pequeñas y medianas empresas.
La reforma busca reducir esa complejidad eliminando los solapamientos entre el Reglamento de IA y la normativa sectorial (como la aplicable a los productos sanitarios y a determinados productos industriales), al tiempo que clarifica el reparto de competencias entre las distintas autoridades supervisoras.
El principio que inspira esta reforma es facilitar el cumplimiento sin rebajar el nivel de protección. Simplificar no significa desregular, sino construir un marco normativo más coherente, más predecible y más fácil de aplicar, tanto para las empresas como para los propios reguladores.
Un nuevo calendario de cumplimiento
La modificación con mayor impacto práctico es el aplazamiento de las obligaciones aplicables a los sistemas de inteligencia artificial de alto riesgo. La propia Unión Europea reconoce que el mercado todavía carece de estándares técnicos suficientes, normas armonizadas y mecanismos de certificación que garanticen una aplicación uniforme del Reglamento de IA.
Como consecuencia, las obligaciones para los sistemas de IA de alto riesgo incluidos en el Anexo III serán exigibles a partir del 2 de diciembre de 2027, mientras que los sistemas de IA sujetos a la legislación armonizada de la UE sobre seguridad de los productos tendrán de plazo hasta el 2 de agosto de 2028 para cumplir con la normativa. El caso Bosco ya había demostrado el impacto tan tangible que esta clasificación puede tener para las organizaciones, mucho antes de que se revisara el calendario de aplicación.
Al mismo tiempo, y de forma lógica en lo que respecta a las obligaciones de transparencia, el Ómnibus Digital acelera el calendario al acortar el periodo de adaptación para implantar las medidas destinadas a identificar el contenido generado mediante inteligencia artificial. La nueva fecha límite de cumplimiento queda fijada en el 2 de diciembre de 2026, convirtiéndose en una de las primeras obligaciones que las empresas deberán abordar.
| Qué cambia | Fecha |
|---|---|
| Sistemas de alto riesgo — Anexo III | 2 de diciembre de 2027 |
| Sistemas embebidos en producto regulado — Anexo I | 2 de agosto de 2028 |
| Identificación de contenido generado por IA (art. 50.2) | 2 de diciembre de 2026 |
| Prohibición de imágenes íntimas no consentidas y CSAM generados por IA | 2 de diciembre de 2026 |
Nuevas prohibiciones para salvaguardar los derechos fundamentales
La simplificación regulatoria no se ha producido a costa de las garantías. Al contrario, el Ómnibus Digital introduce nuevas prohibiciones dirigidas a combatir algunos de los usos más perjudiciales de la inteligencia artificial.
A partir de diciembre de 2026 quedarán prohibidos, entre otros, los sistemas de IA capaces de generar imágenes íntimas sin consentimiento, así como el material de abuso sexual infantil generado mediante inteligencia artificial.
La innovación tecnológica y la protección de los derechos fundamentales deben seguir avanzando de la mano.
Un desafío para la gobernanza corporativa Governance
El principal riesgo es interpretar el aplazamiento de determinados plazos como una invitación a retrasar la preparación. No es así. Aunque las obligaciones más complejas disponen ahora de un calendario de aplicación más amplio, los principios fundamentales del Reglamento de IA permanecen intactos. Las organizaciones siguen estando llamadas a reforzar sus marcos de gobernanza de la inteligencia artificial, garantizar la calidad de los datos utilizados para desarrollar y entrenar sistemas de IA, implantar mecanismos eficaces de supervisión humana y promover la formación de las personas que diseñan, utilizan o supervisan estas tecnologías.
El nivel de diligencia exigido no se ha reducido. Las empresas que aprovechen esta prórroga para fortalecer sus procesos internos estarán mucho mejor preparadas cuando el Reglamento sea plenamente aplicable.
El Ómnibus Digital brinda a Europa la oportunidad de demostrar que la innovación y una regulación eficaz pueden coexistir. No supone un paso atrás en la estrategia europea sobre inteligencia artificial, sino el reconocimiento de que un marco regulatorio tan ambicioso solo puede funcionar si sus obligaciones son, al mismo tiempo, técnicamente viables y jurídicamente aplicables.
La forma más constructiva de interpretar esta prórroga es verla como una oportunidad para prepararse mejor. Revisar los modelos de gobernanza, reforzar las medidas de transparencia, formar a los equipos y anticipar los requisitos del Reglamento será mucho menos costoso que reaccionar cuando las obligaciones sean plenamente exigibles.
Si tu organización necesita revisar su hoja de ruta de cumplimiento a la luz de estos cambios, Facephi Compliance puede ayudarte a identificar prioridades y prepararte para lo que viene.
Es un paquete de la Comisión Europea (noviembre de 2025) que simplifica el marco digital de la UE. Modifica el AI Act, el RGPD, ePrivacy, NIST2 y la Data Act para reducir la carga administrativa y resolver duplicidades entre normas.
En parte. Las obligaciones de alto riesgo del Anexo III se aplazan de agosto de 2026 a diciembre de 2027, y las del Anexo I hasta agosto de 2028. Las obligaciones de transparencia sobre contenido generado por IA, en cambio, se adelantan: pasan a exigirse desde diciembre de 2026.
No. El AI Act sigue en vigor y varias obligaciones mantienen su fecha original. El margen adicional es tiempo para prepararse, no para detener el trabajo de gobernanza, calidad de datos y supervisión humana.
A partir de diciembre de 2026 quedan prohibidos los sistemas que generan imágenes íntimas no consentidas y el material de abuso sexual infantil generado mediante IA.
Reforzar la gobernanza de IA, garantizar la calidad del dato de entrenamiento, implantar supervisión humana efectiva y formar a quienes diseñan, usan o supervisan estos sistemas — usando la prórroga para prepararse mejor, no para reaccionar tarde.