El pasado 19 de noviembre, la Comisión Europea presentó su paquete de simplificación Digital Omnibus. Incluye normas relacionadas con ciberseguridad y datos (Digital Omnibus datos), inteligencia artificial (Digital Omnibus sobre IA), un nuevo Wallet Empresarial Europeo (Reglamento) y una Estrategia de Unión de Datos (Comunicación y Recomendación sobre cláusulas marco para el acceso y uso de datos, y cláusulas estándar para contratos en la nube), con el objetivo de reducir las cargas administrativas y crear oportunidades para las empresas europeas. El paquete de normas digitales será ahora remitido al Parlamento Europeo y al Consejo para su debate y adopción.
Al mismo tiempo, la Comisión ha lanzado una consulta sobre el Digital Fitness Check, abierta hasta el 11 de marzo de 2026. Su objetivo es examinar la interacción entre las diferentes normas, y su impacto en las empresas y en la competitividad de la UE, con la intención de disponer de medidas adicionales en el primer trimestre de 2027.
La Comisión también ha identificado áreas de duplicaciones entre la Ley de Servicios Digitales y otras normas. Y, por último, ha publicado su agenda de consumidores 2030.
El volumen de propuestas de regulación digital en una sola semana suma 22 documentos y más de 1.200 páginas (en inglés), distribuidos en más de 9 páginas web.
El valor de la simplificación regulatoria
Como subrayamos en nuestra última publicación, simplificar significa reconocer que la regulación debe aportar valor, no socavarla, y que Europa no puede permitirse otro ciclo de complejidad improductiva.
Este es un primer paso, pero aún se necesita mayor ambición. Sigue existiendo una oportunidad clave para racionalizar los solapamientos en ciberseguridad y derogar la directiva ePrivacy, resolviendo su duplicación con el RGPD y el trato asimétrico hacia los proveedores de telecomunicaciones.
El Parlamento y el Consejo, en el contexto de la simplificación, aún pueden optar por eliminar esta directiva ePrivacy obsoleta y cada vez más contraproducente, y que debilita los esfuerzos para combatir el fraude.
También deberán considerar el plazo necesario para acomodar los retrasos propuestos en la aplicación de la Ley de IA y abordar lo que la Comisión ha pasado por alto: la efectiva derogación de las leyes nacionales vinculadas a las directivas modificadas, promoviendo así coherencia y una simplificación real. Asimismo, será fundamental evitar la duplicación en gestión de incidentes a nivel nacional y europeo, lo que socavaría el propósito mismo de una iniciativa de simplificación.
Omnibus Digital – Notificación de incidentes de ciberseguridad
El Omnibus Digital propone que las notificaciones de incidentes en virtud de la NIS2, el RGPD, la DORA y la CER (quizás el eIDAS2, pero sin incluir incidentes de IA) se trasladan a las autoridades nacionales competentes a través de una plataforma única de entrada europea, establecida y mantenida por la Agencia de Ciberseguridad de la UE (ENISA).
Cada Estado miembro velará por que las entidades esenciales e importantes notifiquen, sin demora injustificada, a su CSIRT o, en su caso, a su autoridad competente, de conformidad con el apartado 4 del presente artículo, cualquier incidente que tenga un impacto significativo en la prestación de sus servicios, tal como se menciona en el apartado 3 del presente artículo (incidente significativo), a través del punto de entrada único establecido de conformidad con el artículo 23 bis.
La Comisión Europea estima que «el mantenimiento del punto de entrada único requeriría 8 ETC dentro de la ENISA», lo que parece insuficiente dado el alcance: cobertura 24/7 para 27 países, en 24 lenguas oficiales, interactuando con múltiples autoridades y empresas, asociadas al menos a cuatro normativas, cubriendo incidentes en 18 sectores críticos, así como brechas de datos. Parece que la función de ENISA se limitaría principalmente a mantener la plataforma (que requeriría diferentes idiomas) y proporcionar apoyo relacionado con el acceso (y posiblemente estadísticas), mientras que las autoridades nacionales competentes se encargarían del tratamiento de los incidentes y colaborarían con las empresas.
ENISA deberá trabajar con los Estados miembros y el sector privado para determinar los tipos y formatos de información, los cuales se formalizarán posteriormente mediante actos de ejecución. En el plazo de [18] meses desde la entrada en vigor de este Reglamento, ENISA llevará a cabo un piloto del funcionamiento del punto único. El mecanismo solo entrará en vigor una vez que el correcto funcionamiento de la plataforma haya sido evaluado y aceptado por los Estados miembros.
Abogamos por un enfoque de cumplimiento «único» para múltiples normativas y un sistema de «notificación única, difusión múltiple» para los incidentes, creando una plataforma de notificación única (e incidentes gestionados principalmente a nivel nacional), al tiempo que se faculta a ENISA para garantizar la coherencia y la armonización. El punto de entrada único es una propuesta sólida, pero debe estructurarse cuidadosamente para evitar obligaciones de gestión múltiples. Se deben definir formatos y contenidos razonables y garantizar una disponibilidad y confidencialidad muy elevadas de la plataforma.
Los ya limitados recursos de ENISA requerirían de un aumento sustancial para asumir esta nueva responsabilidad, especialmente teniendo en cuenta el ajustado calendario propuesto. El siguiente paso de simplificación normativa será la aplicación de unas normas cumplimiento simplificadas en “una sola vez”.
Omnibus Digital – Regulación de datos
El Omnibus Digital pretende consolidar todas las normas sobre datos en dos leyes importantes: la Ley de Datos y el Reglamento General de Protección de Datos (RGPD), que seguirá siendo fundamental. Propone derogar el Reglamento sobre la libre circulación de datos no personales, el Reglamento P2B, la Ley de gobernanza de datos y la Directiva PSI.
La Comisión propone modificar el marco de protección de datos en aspectos como la definición de datos personales (ej. datos pseudonimizados); requisitos más sencillos para las cookies y una «lista blanca» de fines inofensivos; más flexibilidad para basarse en el interés legítimo del RGPD para el tratamiento de datos personales para el entrenamiento de modelos de IA. Asimismo, introduce modificaciones específicas para superar limitaciones prácticas y clarifica el alcance de las disposiciones relativas al intercambio de información entre empresas y administraciones públicas.
Sin embargo, no llega a derogar completamente la Directiva sobre privacidad electrónica (ePrivacy), dejando en vigor reglas específicas del sector que se aplican únicamente a los proveedores de telecomunicaciones (a los que también aplica el RGPD), y ello incluso aunque revise disposiciones sobre cookies y se trasladen al RGPD. Derogar la Directiva e incorporar las pocas disposiciones restantes (por ejemplo, la confidencialidad de las comunicaciones) en una legislación más amplia, como el RGPD, el Código Europeo de las Comunicaciones Electrónicas o la ley DNA, representa el camino a seguir.
Omnibus Digital – Ley de IA
Las medidas de simplificación propuestas el Ómnibus Digital sobre la Ley de IA son enmiendas específicas diseñadas para abordar retos concretos de aplicación. La propuesta:
- retrasa hasta 16 meses la aplicación de las disposiciones de la Ley de IA para los sistemas de IA de alto riesgo, que actualmente deben entrar en vigor en agosto de 2026, en función de la disponibilidad de los 10 estándares y guías en materia de IA (12 guías propuestas).
- introduce un período transitorio de seis meses (hasta febrero de 2027) para ciertas obligaciones de transparencia de las GPAI
- amplía las competencias de ejecución de la Oficina de IA, centralizando la supervisión de los sistemas modelo de GPAI o la IA integrada en plataformas o buscadores muy grandes
- amplía los entornos de pruebas regulados de IA y las pruebas en el mundo real
- amplía la simplificación normativa existente para las pymes a las pequeñas empresas de mediana capitalización (SMC)
- reduce la carga de registro de los sistemas de IA de alto riesgo para tareas que no se consideran de alto riesgo (limitadas a tareas específicas o procedimentales)
- exige a la Comisión y a Estados miembros que fomenten la alfabetización en materia de IA
- permite una mayor flexibilidad en la supervisión posterior a la comercialización
- permite a los proveedores de sistemas de IA de alto riesgo utilizar excepcionalmente datos personales sensibles con el fin de detectar y corregir sesgos, modificando también el RGPD
- introduce otros ajustes específicos (ej, evaluación de conformidad)
La propuesta busca una Ley de AI más viable, y es positivo que el calendario esté vinculado a la disponibilidad de la documentación necesaria. Sin embargo, aún establece un periodo de implementación muy corto de seis meses, a pesar de que los estándares siguen pendientes y que las directrices clave sobre alto riesgo aún no están disponibles. La coherencia entre las leyes -como con la Directiva RED- también sigue siendo incierta. Y, una vez más, se prevé modificar el RGPD, pero no se aborda la directiva ePrivacy aplicable a los operadores y se seguiría dificultando la detección y corrección efectiva de fraudes o sesgos.
Conseguir la aprobación del Omnibus por parte del Parlamento y el Consejo antes de agosto de 2026 será un desafío. Sin embargo, el debate ofrece una oportunidad para simplificar de manera genuina y pragmática el marco regulatorio y abordar la obsoleta Directiva ePrivacy. Una simplificación significativa es esencial para fomentar la innovación y el crecimiento.
