La Comisión Europea ha presentado un nuevo paquete de normas digitales que supone un cambio importante en cómo se manejan los datos y se regula la inteligencia artificial en Europa. Oficialmente se vende como una forma de reducir papeleo, ayudar a las empresas y hacer que la economía sea más competitiva. Pero, visto en detalle, muchos expertos lo interpretan como una cesión a la presión de las grandes tecnológicas, que llevaban tiempo pidiendo reglas más “flexibles”.
En el centro del debate están tres piezas clave:
- el RGPD, la gran ley europea de protección de datos,
- la Ley de IA, que regula los sistemas de inteligencia artificial,
- y las normas sobre cookies, ciberseguridad y uso de datos.
La Comisión insiste en que los derechos básicos siguen protegidos. Sin embargo, propone cambios que facilitan a las empresas compartir y usar datos, incluidos algunos datos personales, especialmente para entrenar modelos de IA.
¿Qué es ese “paquete ómnibus” del que habla Bruselas?
La Comisión ha metido muchos cambios en un mismo paquete, al que llama digital omnibus. Incluye:
- ajustes en las reglas de inteligencia artificial,
- unificación y simplificación de normas de ciberseguridad y notificación de incidentes,
- cambios “puntuales” en el RGPD,
- una estrategia llamada Data Union Strategy para desbloquear más datos para la IA,
- y la creación de un Monedero Digital Europeo para Empresas.
El objetivo declarado es que las empresas —sobre todo pymes y startups— dediquen menos tiempo a trámites y más a innovar. La Comisión calcula que las simplificaciones podrían ahorrar hasta 5.000 millones de euros en costes administrativos de aquí a 2.029, y hasta 150.000 millones de euros al año si se extiende el monedero digital para empresas.
La duda es si estos ahorros se conseguirán sin rebajar demasiado las garantías que hasta ahora hacían del modelo europeo algo diferente al de Estados Unidos o China.
Ley de IA: normas para sistemas de alto riesgo… pero más tarde
La Ley de IA europea crea una categoría de “sistemas de alto riesgo”. Son aquellos que pueden afectar seriamente a la vida de las personas: por ejemplo, sistemas que ayudan a decidir quién consigue un trabajo, quién recibe una ayuda pública, herramientas usadas en sanidad o en infraestructuras críticas.
En principio, esas normas más estrictas iban a empezar a aplicarse en un calendario ya previsto. Con el nuevo paquete, la Comisión propone que:
- las reglas de alto riesgo no empiecen a aplicarse hasta que haya estándares técnicos y herramientas claras para cumplirlas;
- una vez esos estándares existan, las obligaciones puedan retrasarse hasta 16 meses más.
Es decir: las empresas ganan tiempo y seguridad jurídica, pero también se alarga el periodo en el que sistemas sensibles pueden funcionar sin estar sometidos a todas las exigencias que la propia UE había diseñado.
Además, se plantean más facilidades para:
- pymes y empresas medianas, con documentación simplificada,
- más uso de “sandboxes” regulatorios, espacios de pruebas controladas,
- y más ensayos “en el mundo real” en sectores como el automóvil.
RGPD: más sencillo para las empresas, más delicado para la privacidad
El RGPD sigue siendo la gran referencia mundial en protección de datos. Bruselas asegura que el “corazón” de la norma se mantiene: derechos de acceso, rectificación, borrado, transparencia, etc. Pero introduce cambios que, en la práctica, hacen las cosas más fáciles a las empresas.
Entre los puntos clave están:
- Facilitar la compartición de datos personales anonimizados o seudonimizados entre empresas. Es decir, datos que ya no identifican directamente a una persona, pero que siguen teniendo valor estadístico o comercial.
- Dar más claridad para que empresas de IA puedan usar algunos datos personales para entrenar modelos, siempre que cumplan los principios del RGPD.
Eso no significa que las compañías puedan usar cualquier dato sin control, pero sí que el marco se vuelve más cómodo para proyectos de IA que necesitan grandes volúmenes de información.
Desde el punto de vista de las grandes tecnológicas, es una buena noticia: menos incertidumbre y más posibilidades de aprovechar datos europeos. Desde el punto de vista de muchas organizaciones de derechos digitales, es una señal de que la UE empieza a abrir grietas en el escudo que había levantado con el RGPD.
Menos banners de cookies, más control desde el navegador
Una de las cosas que más va a notar la gente en su día a día son los cambios en las cookies. La Comisión quiere acabar con la sensación de “agotamiento del consentimiento”, esa rutina de aceptar o rechazar banners en cada web.
¿La propuesta?
- Reducir el número de veces que aparecen ventanas emergentes de cookies.
- Permitir que el usuario guarde sus preferencias de cookies en el navegador o el sistema operativo, con uno o pocos clics.
- Hacer que esas preferencias se apliquen de forma general en las webs.
En teoría, será posible configurar desde el navegador si se aceptan o no ciertas categorías de cookies, y las webs deberían respetar esa decisión sin pedir consentimiento cada vez.
A cambio, esto también significa que los grandes navegadores y sistemas operativos tendrán más poder sobre cómo se gestiona realmente la privacidad en internet. Es decir: la experiencia será más cómoda, pero dependerá más de lo que decidan empresas como Google, Apple, Microsoft, etc., en sus propios ajustes y diseños.
Más datos para la IA y un “monedero digital” para empresas
El paquete incluye también una Estrategia de Unión de Datos que busca poner más información de calidad a disposición de empresas europeas de IA, sin que todo dependa de los datos que controlan las grandes plataformas globales.
Entre otras cosas, se plantea:
- agrupar varias normas bajo el Data Act para que sean más claras,
- hacer algunas excepciones para pymes en reglas de cambio de proveedor en la nube,
- ofrecer modelos de contrato tipo para facilitar acuerdos de acceso y uso de datos,
- y reforzar la protección contra fugas de datos sensibles fuera de la UE.
Por otro lado, el Monedero Digital Europeo para Empresas pretende que las compañías puedan:
- firmar y sellar documentos digitalmente con validez en los 27 países,
- guardar e intercambiar documentos verificados,
- y comunicarse de forma segura con administraciones y otras empresas.
La idea es que abrir una filial en otro país, presentar documentos o gestionar impuestos sea mucho más sencillo y barato.
¿Y ahora qué pasa?
Todo esto no está aprobado todavía. La propuesta de la Comisión tiene que pasar por:
- el Parlamento Europeo,
- y los gobiernos de los 27 países, que votarán en el Consejo.
Si se consigue una mayoría suficiente, las medidas saldrán adelante y empezarán a aplicarse en los próximos años.
En paralelo, la Comisión ha lanzado una revisión global de sus normas digitales —el llamado Digital Fitness Check— para ver si de verdad ayudan a la competitividad o si generan demasiada carga.
El equilibrio que se juegue ahora es delicado:
- por un lado, que Europa no se quede atrás en la carrera de la inteligencia artificial y la economía digital;
- por otro, no rebajar tanto el nivel de protección que los ciudadanos europeos han dado por hecho desde la llegada del RGPD.
Preguntas frecuentes
¿Estos cambios significan que las empresas podrán usar mis datos para entrenar IA sin decírmelo?
No de forma libre. Las empresas seguirán teniendo que cumplir el RGPD: informar de cómo usan los datos, tener una base legal (consentimiento, contrato, interés legítimo bien justificado), permitir el ejercicio de derechos, etc. Lo que cambia es que la ley se adapta para contemplar de manera más explícita el uso de datos en proyectos de IA, lo que facilita a las empresas diseñar estos sistemas sin estar en una “zona gris”.
¿Voy a dejar de ver banners de cookies en todas las webs?
Probablemente verás menos, pero no desaparecerán de un día para otro. La idea es que configures tus preferencias en el navegador o el móvil (por ejemplo, aceptar solo las cookies necesarias) y que esa elección se respete automáticamente en las webs. Aun así, seguirás encontrando avisos en sitios que necesiten pedirte permisos específicos.
¿Me afecta en algo el Monedero Digital Europeo si no tengo empresa?
Directamente, no. Está pensado para empresas y administraciones. Pero, si funciona bien, puede traducirse en trámites más rápidos, menos papeles y costes más bajos para negocios que usan servicios públicos o trabajan en varios países de la UE. A la larga, eso también puede influir en precios, tiempos de gestión y servicios que recibes como cliente.
¿Está la UE bajando el nivel de protección de datos con este paquete?
Depende de a quién se pregunte. La Comisión dice que mantiene el mismo nivel de protección y que solo simplifica y aclara reglas para hacerlas más manejables. Organizaciones de derechos digitales y algunos juristas creen que, al facilitar más el uso y la compartición de datos para la IA y al retrasar algunas obligaciones de la Ley de IA, la UE está cediendo parte de la ventaja que tenía como referente mundial en privacidad.
Fuente: Unión Europea y Revista Cloud
