El objetivo oficial pasa por reducir cargas burocráticas para las empresas, facilitar la innovación en inteligencia artificial y datos, y, al mismo tiempo, mantener el nivel de protección de derechos fundamentales, privacidad y seguridad que caracteriza al modelo europeo.
Según los cálculos de Bruselas, la simplificación puede generar hasta 5.000 millones de euros de ahorro administrativo de aquí a 2029, a los que se sumarían hasta 150.000 millones anuales gracias a las nuevas carteras empresariales europeas.
El Digital Omnibus se presenta como un primer paso para “optimizar” la aplicación del enorme paquete de normas digitales aprobadas durante los últimos años. La propuesta introduce modificaciones técnicas en la Ley de IA, el marco de ciberseguridad, la regulación de datos y la protección de la privacidad, además de derogar normas consideradas obsoletas en el ámbito de las plataformas.
En inteligencia artificial, la Comisión plantea ajustes puntuales de la AI Act. El cambio más visible afecta a los sistemas de alto riesgo: su aplicación se vincula de forma explícita a la disponibilidad de normas armonizadas y herramientas de apoyo.
El calendario se fija en un máximo de 16 meses desde esa confirmación, con la intención de dar tiempo a empresas y autoridades para desarrollar estándares y guías comunes. El paquete amplía además las simplificaciones para pymes y “small mid caps”, con requisitos de documentación técnica más ligeros y acceso reforzado a entornos controlados de pruebas y “regulatory sandboxes” a escala europea.
En paralelo, el Digital Omnibus centraliza en la nueva Oficina de IA la supervisión de modelos de uso general, con la intención de reducir fragmentación y evitar solapamientos entre autoridades nacionales.
Una parte sensible del paquete afecta al tratamiento de datos. La Comisión propone unificar en un solo texto varias piezas del “data acquis”, crear excepciones adicionales para pymes en las normas de cambio de proveedor en la nube y ofrecer cláusulas contractuales tipo para facilitar el acceso y uso de datos, así como contratos de cloud.
Sobre el RGPD, el Ejecutivo comunitario insiste en que los cambios mantienen “intacto el núcleo” de la norma y su nivel de protección, al tiempo que aclaran conceptos y simplifican obligaciones con un enfoque de riesgo. Las modificaciones apuntan a cuestiones como la definición de dato personal, el tratamiento para investigación científica o el uso de datos en el desarrollo y operación de sistemas de IA, además de ajustes en reglas de acceso, deberes de información y notificación de brechas.
La Comisión defiende que esta modernización mejora la experiencia de usuario y alinea mejor las normas de cookies con el RGPD
En ePrivacy, el Omnibus se centra sobre todo en la fatiga de banners de cookies. El plan prevé menos avisos intrusivos, la posibilidad de expresar preferencias con un solo clic y el uso de configuraciones centralizadas de consentimiento en navegadores y sistemas operativos. La Comisión defiende que esta modernización mejora la experiencia de usuario y alinea mejor las normas de cookies con el RGPD.
Otro eje clave afecta a la ciberseguridad. Hoy, una misma organización puede tener que notificar un incidente bajo NIS2, DORA, el RGPD, la Directiva CER, eIDAS u otros marcos sectoriales, a menudo con plantillas y plazos distintos.
El Digital Omnibus propone un punto único de entrada gestionado por ENISA para las notificaciones, que actúa como “puerta de enlace” hacia las autoridades competentes bajo cada norma. El contenido de las obligaciones no cambia, pero el flujo se simplifica y se abre la puerta a plantillas comunes para NIS2, el RGPD y la Directiva CER, tomando como referencia la experiencia de DORA.
La propuesta responde a una demanda recurrente de empresas y asociaciones sectoriales que reclaman un principio de “un incidente, un informe, un mecanismo” ante los solapamientos entre NIS2, DORA, la Ley de Resiliencia Cibernética y el RGPD.
Las contribuciones al diálogo de implementación y a la consulta pública muestran un amplio respaldo empresarial y también de organizaciones de consumidores a esta racionalización del reporte de incidentes.
Junto al Omnibus, la Comisión presenta el Reglamento de la Cartera Europea para Empresas. Esta “business wallet” funcionará como una herramienta digital segura con un identificador único para cada empresa, que permite firmar, sellar y fechar documentos, almacenar e intercambiar de forma segura información verificada y comunicarse con administraciones y contrapartes privadas en cualquier Estado miembro.
La ambición pasa por reducir drásticamente papeleo en expansión a otros países, pago de impuestos o verificación de documentación, con un potencial de ahorro que Bruselas sitúa en hasta 150.000 millones de euros anuales.
La tercera pata del paquete es la Estrategia de Unión de Datos, que busca desbloquear conjuntos de datos de alta calidad para la IA mediante más acceso a laboratorios de datos, servicios de asistencia jurídica sobre la aplicación del Data Act y medidas para reforzar la “soberanía de datos” de la UE. Entre estas últimas figuran herramientas frente a filtraciones hacia terceros países, salvaguardas para datos sensibles no personales y criterios para evaluar el trato justo de los datos europeos en el extranjero.
La respuesta de las diferentes entidades y asociaciones no se ha hecho esperar y es que la lectura que organizaciones de derechos digitales realizan del Digital Omnibus se aleja del relato de simplificación técnica.
En una carta conjunta de EDRi, el Consejo Irlandés de Libertades Civiles (ICCL) y Noyb advierte de un “proceso de desregulación” que afectaría a elementos esenciales del RGPD, el marco de ePrivacy y la AI Act. Estas entidades consideran que la Comisión va más allá de ajustes operativos y abre la puerta a una reducción sustancial de protecciones sin la debida evaluación de impacto ni un debate legislativo completo.
Entre las preocupaciones concretas destaca la posible redefinición de “dato personal” basada en la capacidad del responsable para identificar a la persona y la exclusión de ciertos datos seudónimos del ámbito del RGPD. En opinión de los firmantes, esta reinterpretación puede dejar fuera identificadores clave como los “user IDs” utilizados en publicidad en línea y por intermediarios de datos, con el riesgo de legalizar prácticas de vigilancia comercial mediante rastreo y elaboración de perfiles que una mayoría social rechaza.
La carta critica también la intención de limitar la categoría de “datos sensibles” a información revelada de forma directa, en lugar de incluir inferencias
La carta critica también la intención de limitar la categoría de “datos sensibles” a información revelada de forma directa, en lugar de incluir inferencias sobre orientación sexual, opiniones políticas, afiliación sindical o salud, como sucede actualmente. Esta reducción dejaría en peor posición a quienes intentan proteger su intimidad, porque los datos deducidos a partir de su comportamiento perderían la protección reforzada actual.
Otro punto conflictivo se centra en la posibilidad de tratar datos personales, incluso de carácter sensible, para entrenamiento de sistemas de IA bajo la base jurídica de “interés legítimo” del responsable, sujeta solo a salvaguardas poco definidas. Para las organizaciones de derechos digitales, esta puerta favorecería a la industria de la IA frente a otros sectores, al colocar sus actividades dentro de un marco presumido como conforme con el RGPD por defecto.
Cualquier redefinición a la baja de qué cuenta como dato personal o sensible puede transformar en legal lo que ahora constituye una infracción
En paralelo, una investigación de Incogni sobre apps móviles populares en la UE muestra que datos personales muy sensibles de ciudadanos europeos ya salen de forma masiva hacia Estados Unidos y China, a través de servicios como redes sociales, plataformas de comercio electrónico y aplicaciones de entretenimiento.
La organización advierte de que cualquier redefinición a la baja de qué cuenta como dato personal o sensible puede transformar en legal lo que ahora constituye una infracción, en un contexto en el que la aplicación efectiva del RGPD ya resulta insuficiente según múltiples escándalos recientes.
El sector europeo de las telecomunicaciones, representado por Connect Europe y la GSMA, han valorado el Digital Omnibus como un “primer paso” hacia normas digitales más coherentes y modernas. Las asociaciones destacan en particular el esfuerzo por reducir cargas redundantes en ciberseguridad, datos, RGPD e IA, y respaldan la decisión de vincular la aplicación de obligaciones de alto riesgo de la AI Act a la existencia de estándares y guías claras.
Sin embargo, los operadores recuerdan que las telecos siguen sometidas a uno de los marcos más pesados de la economía europea, con 28 regulaciones horizontales y sectoriales que generan 34 obligaciones distintas a lo largo del ciclo de relación con el cliente. Casi la mitad se solapan. En este contexto, el Omnibus se percibe como un alivio parcial.
El paquete habría ofrecido una oportunidad para integrar por completo sus principios en un nuevo marco europeo unificado, más allá del ajuste limitado en materia de cookies
El ejemplo más citado es la Directiva ePrivacy, considerada desfasada y aplicada con asimetría frente a otros actores digitales. Para la industria, el paquete habría ofrecido una oportunidad para integrar por completo sus principios en un nuevo marco europeo unificado, más allá del ajuste limitado en materia de cookies.
Las asociaciones reclamaban, además, una alineación más profunda de requisitos y plazos de reporte en ciberseguridad: un único punto de entrada europeo puede resultar útil, pero si las empresas deben seguir completando plantillas distintas para normas distintas, el alivio real puede quedar muy por debajo de las expectativas.
Desde el lado de las grandes plataformas y empresas tecnológicas, la valoración de CCIA Europe sigue una línea parecida: reconocimiento del esfuerzo, pero crítica a su alcance. La patronal aplaude la clarificación parcial de la interacción entre IA y protección de datos, así como la prórroga de hasta 16 meses para ciertas obligaciones de la AI Act, en vista del retraso en estándares y guías técnicas.
La asociación lamenta que la Comisión no aproveche el paquete para revisar umbrales de cómputo que definen modelos de “riesgo sistémico” en IA
No obstante, CCIA Europe subraya que el Digital Omnibus deja intactos problemas de fondo en el ecosistema regulatorio, como las fricciones ligadas al cumplimiento del Reglamento de Mercados Digitales (DMA) y el Reglamento de Servicios Digitales (DSA). La asociación lamenta además que la Comisión no aproveche el paquete para revisar umbrales de cómputo que definen modelos de “riesgo sistémico” en IA ni para corregir aspectos controvertidos sobre alcance territorial de las normas de copyright en el contexto de la AI Act.
En ciberseguridad, la organización aprecia el concepto de un portal único para notificación de incidentes, aunque advierte de que, sin alineación de definiciones, umbrales y obligaciones entre NIS2, DORA, CRA y otros marcos, existe el riesgo de crear un punto central que solo “centraliza la fragmentación” en lugar de resolverla.