El dilema del ‘digital omnibus’: agilidad frente a seguridad jurídica
El contexto de esta medida se enmarca en el esfuerzo por responder a la percepción de que la regulación vigente podría situar a las empresas europeas en desventaja frente a competidores estadounidenses o asiáticos
La publicación del paquete legislativo digital omnibus por parte de la Comisión Europea responde a una urgencia diagnosticada en el Informe Draghi: si Europa quiere competir globalmente, debe transitar de la fase de hiper-regulación a una de implementación pragmática. El objetivo de reducir cargas administrativas y generar un ahorro estimado de 5.000 millones de euros es loable y necesario. Sin embargo, la duda reside en si las herramientas legislativas escogidas conseguirán realmente ese efecto o si, por el contrario, abrirán nuevos frentes de inseguridad jurídica.
El problema de fondo es técnico. El digital omnibus apunta a cambios en elementos fundacionales del RGPD como la definición de dato personal o las excepciones al deber de informar. Esto introduce grados de subjetividad que generarán incertidumbre y supone un riesgo que puede impedir alcanzar el objetivo de simplificación normativa que se persigue.
La anonimización es el punto crítico. La industria lleva años pidiendo una interpretación más flexible frente a una norma que exigía una irreversibilidad absoluta. La nueva propuesta plantea evaluar si un dato es personal en función del coste o el esfuerzo de reidentificación. En teoría, esto permitiría aprovechar mejor el valor de los datos. Pero, desde el plano legal, obligará a un análisis caso por caso de reidentificación, algo contradictorio con la supuesta simplificación.
Sustituir las definiciones actuales que se prevén en el RGPD por conceptos variables traslada la carga interpretativa a las organizaciones. Lo que hoy es un “esfuerzo razonable” puede no serlo mañana con una tecnología más potente. Esto dificulta la labor de los DPO y de los departamentos legales. En un contexto donde el dato es un activo esencial para la estrategia y la competitividad, se necesitan reglas claras para orientar a las organizaciones en decisiones críticas.
Acerca del uso de datos personales en esta era de la IA, resulta también muy relevante otra propuesta que hace la Comisión Europea sobre el RGPD. Incorpora la posibilidad de usar datos personales para desarrollar u operar IA sin consentimiento del interesado, basándose en el interés legítimo de la empresa. El contexto de esta medida se enmarca en el esfuerzo por responder a la percepción de que la regulación vigente podría situar a las empresas europeas en desventaja frente a competidores estadounidenses o asiáticos. Hasta ahora, la búsqueda de una base legal adecuada para tratar datos personales frenaba el entrenamiento de modelos de IA en Europa.
Analizando el Commission Staff Working Document, publicado junto a la propuesta de simplificación, vemos que aporta un contexto valioso y explica el fundamento de los cambios propuestos. Allí se señala que el Digital Markets Act establece ciertas limitaciones para que los gatekeepers (las BigTech) puedan entrenar u operar sistemas de IA utilizando datos personales sin consentimiento. Esto matiza, en parte, la interpretación hecha por organizaciones defensoras de la privacidad: no es del todo cierto que las BigTech tengan libertad absoluta para emplear datos en el desarrollo u operación de IA. Existen restricciones relevantes derivadas de otras normas que les afectan directamente, como la DMA y la DSA, disposiciones que, dicho sea de paso, el digital omnibus no prevé modificar.
Pero la gestión de los tiempos preocupa tanto como el fondo de los cambios normativos que se proponen. Hay que destacar a este respecto lo que puede ocurrir con la aplicabilidad del AI Act. El digital omnibus plantea retrasar la aplicabilidad de las obligaciones relativas a sistemas de IA de alto riesgo. Sin embargo, podría ocurrir que el proceso de acuerdo y adopción del digital omnibus finalice pasado agosto de 2026. Eso supondría que las organizaciones deberán cumplir estas obligaciones temporalmente para luego verlas pospuestas.
Este posible desfase cronológico podría situar a los directivos en una posición compleja. ¿Deben invertir para cumplir con una obligación del AI Act que podría modificarse o posponerse? Un enfoque responsable apuntaría a una respuesta afirmativa, algo asumible para algunas grandes organizaciones, pero mucho más difícil para pequeñas y medianas empresas que buscan emprender desarrollando sistemas de IA.
El digital omnibus es, en definitiva, un reconocimiento implícito de la complejidad del actual rompecabezas normativo digital. Es un paso relevante hacia la madurez del mercado único digital y su ambición es legítima. Pero el reto que la Comisión Europea se propone asumir es enorme, ya que la iniciativa exige una precisión quirúrgica para lograr equilibrar el impulso a la innovación con la protección efectiva de los derechos fundamentales de las personas.
Si la UE quiere ganar velocidad en innovación, la claridad normativa será tan vital como la reducción de la burocracia. Simplificar no puede convertirse en sinónimo de erosionar la seguridad jurídica ni, mucho menos, de menoscabar derechos fundamentales. En los próximos meses veremos si se alcanza ese equilibrio o si, por el contrario, simplemente añadimos más piezas a un puzle que ya resulta complejo.