La Comisión publicó el 19 de noviembre de 2025 una propuesta para modificar la normativa digital europea, con el objetivo declarado de simplificarla y aligerar la creciente carga regulatoria que sufren las empresas. Esta propuesta, conocida como Digital Omnibus, plantea modificaciones relevantes en el Reglamento de Inteligencia Artificial (RIA) y el Reglamento General de Protección de Datos (RGPD), entre otras normas, y deberá seguir el proceso legislativo europeo; no estamos ante un texto definitivo.

Respecto al RIA, ante la falta de directrices y especificaciones técnicas que faciliten su cumplimiento, las previsiones relativas a los sistemas de inteligencia artificial (IA) asociados a los 25 casos de uso considerados de alto riesgo, podrían retrasarse hasta el 02/12/2027 (la fecha en vigor es el 02/08/2026) y, por su parte, las relativas a los sistemas de IA de alto riesgo asociados a productos regulados, hasta el 02/08/2028 (la fecha en vigor es el 02/08/2027). Asimismo, las posibilidades de simplificación para las PYMES se extenderían a las empresas de mediana capitalización. También se ampliaría a los proveedores de modelos de IA y a los proveedores de cualquier sistema de IA, la posibilidad de utilizar categorías especiales de datos para la detección y corrección de sesgos, prevista en el RIA solo para los proveedores de sistemas de IA de alto riesgo.

Sin embargo, esta excepción no cubre el tratamiento para la evitación de sesgos. En relación con el RGPD las modificaciones propuestas afectan a la propia definición de dato personal (toda información sobre una persona física identificada o identificable), que pasaría a ser un concepto relativo, dependiente de la capacidad de identificación de cada entidad, de modo que un mismo conjunto de datos podría quedar dentro o fuera del RGPD según quién lo utilice, con todo lo que ello supone de inaplicabilidad de los principios de protección de datos, y el riesgo de posteriores reidentificaciones y brechas, pero que allana el camino a la inteligencia artificial.

Si bien este criterio está en línea con la reciente jurisprudencia del TJUE, que introduce el principio de identificabilidad subjetiva, llama la atención que no se hayan incluido salvaguardas específicas. También se define qué se considera “investigación científica”, a los efectos de facilitar la aplicación de la presunción de compatibilidad de un tratamiento posterior con estos fines (vía poco explorada a pesar de su enorme potencial). Además, se reconoce el interés legítimo como base de licitud en el contexto de la IA (que ya se venía utilizando), y se añaden dos nuevas excepciones para poder tratar categorías especiales de datos personales: el tratamiento residual de estos datos en el contexto del desarrollo y funcionamiento de la IA, y el tratamiento de datos biométricos con fines de verificación bajo el control del interesado.

Para facilitar las evaluaciones de impacto, se prevé una plantilla y metodología común a nivel de la UE, junto con listas únicas. Aunque algunas modificaciones sí podrían considerarse una simplificación normativa, lo cierto es que la mayoría de los cambios propuestos por la Comisión apuntan hacia un objetivo claro, como es facilitar el desarrollo y uso de la inteligencia artificial en la Unión Europea, en línea con lo que adelantó su presidenta hace unos meses: “AI first”.

Esta iniciativa, lejos de contribuir a un escenario de seguridad jurídica, deseable para toda actividad empresarial, y especialmente para la innovación, incrementa, paradójicamente, la incertidumbre sobre el marco jurídico aplicable, cada vez más complejo, ambiguo y cambiante. Y también, muy posiblemente, provoca un debilitamiento en la protección de derechos fundamentales.