La regulación digital ómnibus: simplificando lo complejo
Europa quiere mantener su identidad como potencia normativa basada en derechos fundamentales, pero sin convertir esa ambición ética en un freno estructural a la innovación
Europa lleva una década legislando como nunca en su historia. La aceleración tecnológica —de la economía digital a la inteligencia artificial— empujó a las instituciones comunitarias a desplegar, casi sin descanso, sucesivas capas normativas: GDPR, DSA, DMA, Data Act, NIS2, AI Act… El resultado es un ecosistema jurídico amplio, sofisticado y, en muchos casos, admirable. Pero también es un terreno complejo, fragmentado y costoso de navegar para empresas y profesionales que trabajan con tecnología y datos a diario. Después de años de expansión normativa, el problema ya no es legislar: es ordenar el edificio que con tanto entusiasmo se ha ido construyendo.
En ese contexto nace la Propuesta de Reglamento digital ómnibus, el nuevo intento europeo de racionalizar su marco regulatorio. No pretende agregar más ladrillos al muro, sino reacomodarlos. Podar, simplificar, aclarar. El discurso institucional es claro: Europa quiere mantener su identidad como potencia normativa basada en derechos fundamentales, pero sin convertir esa ambición ética en un freno estructural a la innovación. Y, sobre el papel, la promesa es tentadora: más de mil millones de euros de ahorro anual en costes de cumplimiento y unos cinco mil millones acumulados hasta 2029.
El informe Draghi de septiembre de 2024 advertía que Europa está rezagada en la carrera global por la innovación tecnológica y corre el riesgo de perder relevancia económica si no actúa con rapidez y ambición. Seguramente también la presión de la Administración Trump a Europa en lo que concierne a la expansión de las compañías americanas en nuestro continente hayan tenido efecto, pero, en todo caso, parece que la comisión admite que proteger está bien, pero que proteger mejor y con menos fricción es aún más importante.
En mi opinión, no podemos caer en ese falso dilema de regulación versus innovación. Es necesario apostar por las dos a la vez, de manera paralela para que el resultado sea una economía digital acomodada a los valores y derechos construidos durante tantas décadas.
El paquete ómnibus digital propone un ejercicio de síntesis para lograr un cuerpo más compacto y menos disperso en todo lo relativo a los datos personales, no personales y datos abiertos (RGPD, Data Act y Directiva de Datos Abiertos). En el ámbito de los datos personales, el ómnibus introduce ajustes quirúrgicos pero relevantes. Se aclara la definición de dato personal, vinculándola no al potencial teórico de identificación, sino a los medios razonables disponibles para llevarla a cabo.
Además, se habilita el interés legítimo como base jurídica para entrenar modelos de IA cuando proceda, y se autoriza el tratamiento de categorías especiales de datos para detectar y corregir sesgos algorítmicos. También introduce una metodología armonizada para las Evaluaciones de Impacto (DPIA), reduce la obligación de notificación de brechas de seguridad únicamente a casos con riesgo elevado —con un plazo ampliado a 96 horas— y permite cobrar tarifas razonables cuando el derecho de acceso se ejerza de forma abusiva. Cambios menores, sí, pero con un impacto operativo que muchas organizaciones agradecerán.
En ciberseguridad, el Single-Entry Point gestionado por ENISA aspira a resolver una de las quejas más repetidas por los CISOs europeos: la duplicidad de notificaciones derivadas de NIS2, DORA, CER y GDPR. “Reportar una vez, compartir con muchos” es el nuevo mantra. Ahora bien, la experiencia europea nos enseña que crear un punto único de entrada no garantiza una burocracia más ligera; a veces solo consolida la complejidad bajo un mismo techo.
El Ómnibus también retoca el AI Act, vinculando la entrada en vigor de los requisitos de alto riesgo a la disponibilidad de estándares técnicos, extendiendo los beneficios regulatorios de las pymes a las Small Mid-Caps y eliminando la obligación horizontal de alfabetización en IA. Además, se centraliza la supervisión en la AI Office, lo que sugiere una gobernanza más cohesionada.
En definitiva, hay que seguir de cerca la evolución de esta propuesta de Reglamento en los próximos meses y ver si logra su objetivo. Mientras, me hago 3 preguntas fundamentales: ¿Es mejor realizar un cambio regulatorio de este calado afectando a tantas normas ya existentes, o hubiera sido más eficiente impulsar la coordinación y coherencia del enforcement de normas actuales en los países miembros?, simplificar una norma (y su entendimiento) no significa necesariamente simplificar su cumplimiento (podría ser igual o más costoso), ¿tiene el ómnibus este enfoque?, y estamos en el inicio de su tramitación europea, en el mejor caso, quedan casi dos años hasta que pudiera ver la luz su aprobación, ¿no creéis que se ha asentado en los directivos una especie de espíritu positivo pensando que YA se ha flexibilizado el cumplimiento de la normativa digital?
Quiero ser optimista y veremos si esta vez la intención se convierte en realidad… o si estaremos, dentro de otra década, iniciando un nuevo proceso para ordenar la siguiente montaña de Reglamentos que cambiaron reglamentos.
