La revolución europea en torno a la simplificación regulatoria y qué esperar del ómnibus digital

Lo anterior, relacionado con el diseño legal simplificado de la normativa europea desde su concepción o diseño, se suma también a la necesidad de simplificar el vigente marco regulador para, de facto, hacerlo más sencillo y fácil de implementar por todas las empresas europeas y, en particular, por las pymes. Y es que reducir la carga regulatoria y administrativa es, en estos momentos, crucial y, sin duda, permitiría a estas empresas prosperar un entorno cada vez más complejo a nivel global, donde EE.UU. y China ostentan un papel preponderante.

El ómnibus digital, al detalle

Entre las metas concretas figura la reducción, de aquí al año 2030, de los costes y las obligaciones de presentación de información en, al menos, un 25 % para todas las empresas, y, en al menos, un 35 % para las pequeñas y medianas empresas (pymes).

Por ello, desde el pasado mes de febrero de 2025, en respuesta a la petición del Consejo de la UE, la Comisión Europea presentó al Consejo y al Parlamento Europeo seis propuestas de simplificación para su adopción, también llamados “paquetes ómnibus”.

Uno de ellos es, precisamente, el llamado “Paquete ómnibus IV: pequeñas empresas de mediana capitalización y digitalización”. Las medidas contenidas en este paquete aplican a diversos ámbitos destacándose, entre otros, los que siguen a continuación:

• Apoyar a las pequeñas empresas de mediana capitalización;
• Impulsar la digitalización de la legislación sobre productos; o
• Reducir las obligaciones de mantenimiento de registros para las pymes y las pequeñas empresas de mediana capitalización, también en lo que respecta a las normas del Reglamento General de Protección de Datos.

En particular, en lo que concierne a la normativa europea de protección de datos personales (Reglamento General de Protección de Datos (RGPD)), se propone que las pequeñas empresas de mediana capitalización y las organizaciones con menos de 750 empleados no tengan que crear o actualizar sus registros existentes de actividades que impliquen el tratamiento de datos personales en los casos en que no sea probable que estas actividades entrañen un alto riesgo para los derechos y libertades de los interesados.

Esto conllevará, en todo caso, un análisis de las actividades de tratamiento que realizan a la hora de determinar su nivel de riesgo, aunque se espera que esta propuesta ayude a evitar situaciones en las que las pymes sigan estando obligadas a mantener registros, cuando no estén tratando datos que se consideren de alto riesgo y, aunque, resulta una medida interesante, al final, las empresas deberán analizar tales actividades de tratamiento para poder desplegar el resto de las obligaciones legales contenidas en dicha normativa pudiendo mermar, parcialmente, el efecto de reducción de carga legal perseguido.

Simplificación regulatoria en ciberseguridad e inteligencia artificial

En consonancia con lo anterior, y en línea con los esfuerzos de simplificación regulatoria, la Comisión Europea abrió de igual forma el pasado mes de septiembre una convocatoria para recabar información sobre investigaciones y buenas prácticas acerca de cómo simplificar la legislación en el próximo “Ómnibus Digital” (Call for Evidence in preparation of the Digital Omnibus), especialmente, en lo que respecta a la protección de datos (por ejemplo, a fin de promover la creación de conjuntos de datos diversos, interoperables y de alta calidad, necesarios para el despliegue efectivo de IA en Europa), la ciberseguridad y la inteligencia artificial (IA)).

De hecho, en el caso de la IA, la Comisión Europea siempre se ha comprometido a una aplicación clara, sencilla y que fomente la innovación de la Ley de IA (EU AI Act), tal como se establece en el Plan de Acción para el Continente de la IA (AI Continent Action Plan) y la Estrategia de Aplicación de la IA (Apply AI Strategy).

La citada convocatoria se cerró el pasado 14 de octubre del 2025 y, en estos momentos, se está aún a la espera de las conclusiones finales y propuestas definitivas y oficiales asociadas a la misma, siendo altamente recomendable atender, en todo caso, a estas pues marcarán los cambios y ajustes que, finalmente, puedan llegar a afectar a la vigente normativa de IA en la UE.

No obstante, de forma extraoficial, parece que se han revelado ciertos desafíos de implementación importantes, todo ello, derivado de la participación en la propia consulta lanzada. Así, el retraso en la designación de las autoridades nacionales competentes y los organismos de evaluación de la conformidad, o su efectiva puesta en funcionamiento, la falta de estándares armonizados para los requisitos, la orientación y las herramientas de cumplimiento en sistemas de IA de alto riesgo de la Ley de IA, entre otros aspectos asociados a la actual regulación europea de IA, pueden estar dificultando el despliegue efectivo de la misma.

Para ello, al parecer, se están analizando ciertas medidas, que no son en modo alguno definitivas, pudiendo cambiar o ampliarse en todo caso, como son las de:

• Ajustar y alinear los plazos de implementación para abordar la incertidumbre y los desafíos causados ​​por la anterior demora;
• Introducir un período de gracia transitorio para la obligación de “marca de agua” para los sistemas de IA que se hayan comercializado antes de que las obligaciones de marca de agua entraran en vigor;
• Extender los privilegios regulatorios otorgados en la EU AI Act a las pequeñas y medianas empresas (pymes) a las empresas de pequeña capitalización, incluyendo requisitos simplificados de documentación técnica, y una consideración especial en la aplicación de sanciones, todo ello, en consonancia con lo dispuesto con anterioridad para este tipo de empresas;
• Exigir a la Comisión Europea y a los Estados miembros que fomenten la alfabetización en IA, como organizaciones con competencias en este ámbito de cara a la ciudadanía y las empresas, en lugar de imponer obligaciones no especificadas a los operadores;
• Ofrecer mayor flexibilidad en el seguimiento posterior a la comercialización de sistemas de IA, eliminando la prescripción de un plan armonizado de seguimiento posterior a la comercialización;
• Reducir la carga administrativa del registro para los sistemas de IA que se utilizan en áreas de alto riesgo, pero para los cuales el proveedor ha concluido que no representan un alto riesgo, ya que solo se utilizan para tareas específicas o de procedimiento, lo que conllevaría el consiguiente análisis;
• Facilitar el cumplimiento de las normativas de protección de datos, permitiendo a los proveedores y a los responsables de despliegue de los sistemas y modelos de IA procesar categorías especiales de datos personales, según la propia normativa de protección de datos personales, para garantizar la detección y corrección de sesgos, con las debidas garantías;
• Fomentar un uso más amplio de entornos de prueba regulatorios de IA y pruebas en el mundo real, lo que beneficiará a industrias clave de Europa, promoviendo la posible creación de un entorno de prueba regulatorio de IA a nivel de la UE (EU AI regulatory sandbox);
• Aclarar y tratar de armonizar la interacción entre la Ley europea de IA y otras leyes de la UE, incluyendo las sectoriales relacionadas o las locales;
• Centralizar la supervisión de la IA integrada en plataformas en línea y motores de búsqueda de gran tamaño en la Oficina de IA, todo ello, por relación a la “Digital Service Act” europea (DSA).

Sin duda, y como reflexión general, es evidente que la UE es ampliamente conocedora de la urgente necesidad de desarrollar renovadas estrategias de simplificación regulatoria, sobre todo, en el ámbito digital, imponiendo, a partir de ahora, un claro “enfoque de simplificación” desde el propio diseño de la regulación digital, pero también repensando y revisando, si procediera, las principales normativas vigentes en este ámbito, como son la de protección de datos (con especial atención a la relativa a los datos personales), la de ciberseguridad, la de servicios digitales, identidad digital, o la de inteligencia artificial, entre otras.

No es sostenible por más tiempo seguir incrementando de forma exponencial una carga regulatoria excesiva a las empresas y otras organizaciones siendo, por el contrario, necesario impulsar estrategias normativas más inteligentes y competitivas que, de forma balanceada, fomenten, al máximo posible, la innovación y su crecimiento, al tiempo que se garantice, como no puede ser de otra forma, los derechos y legítimos intereses en juego.

Se abre, se espera, un nuevo ciclo y forma de hacer normas digitales en la UE, un nuevo enfoque regulatorio que resulte, quizás, más coherente y apropiado ante el retador contexto geopolítico e internacional que encaran nuestras compañías.