Propuesta de modificación del Reglamento de IA (Digital Omnibus sobre IA)

En el marco del Digital Package, presentado el pasado 19 de noviembre por la Comisión Europea, se encuentra la Propuesta de Reglamento Digital Omnibus en materia de IA (la “Propuesta”), cuyo objetivo es modificar el Reglamento (UE) 2024/1689 (“Reglamento de IA”) para facilitar su aplicación progresiva, reforzar la seguridad jurídica y reducir cargas de cumplimiento, especialmente para pymes y las definidas como Small Mid-Caps (“SMCs”).

La reforma se justifica en la necesidad de acompasar el despliegue del Reglamento de IA con el avance de estándares técnicos, la disponibilidad de guías interpretativas y el establecimiento de autoridades nacionales competentes para supervisar su cumplimiento. Los cambios propuestos afectan a elementos esenciales del régimen, desde los plazos de aplicación, hasta las obligaciones de transparencia, el papel de la Oficina de IA, las obligaciones para los sistemas de alto riesgo y las medidas de proporcionalidad para determinados operadores económicos.

Principales aspectos destacados del Digital Omnibus sobre IA:

Extensión de los plazos de aplicación del Reglamento de IA (art. 113 Reglamento de IA)

Un primer conjunto de modificaciones se centra en la adaptación temporal del Reglamento. El artículo 113, en su nueva redacción, introduce moratorias específicas para obligaciones clave tanto de proveedores como de usuarios de sistemas de IA de alto riesgo.

En cuanto a las obligaciones relativas a los sistemas de alto riesgo, el Reglamento original establece que empezarán a aplicarse el 2 de agosto de 2026 cuando se trate de los llamados sistemas de IA independientes (los indicados en el art. 6.2 y en el Anexo III), y el 2 de agosto de 2027 para los sistemas de IA vinculados a la normativa armonizada de seguridad de producto (art. 6.1 y Anexo I). El Digital Omnibus propone que la Comisión pueda extender estos plazos hasta 6 meses para el primer grupo y hasta 12 meses para el segundo, y que en todo caso no se alarguen más allá del 2 de diciembre de 2027 y el 2 de agosto de 2028 respectivamente.

Este cambio responde a las dificultades de aplicación práctica del Reglamento de IA: muchos estándares técnicos de gran relevancia (por ejemplo, sobre gestión de datos, gobernanza del ciclo de vida, documentación técnica o robustez) aún no han sido adoptados por los organismos europeos responsables de la normalización técnica.

Por otra parte, los proveedores de sistemas de IA generativa comercializados antes de la fecha de aplicación de la obligación del artículo 50(2) -2 de agosto de 2026- dispondrán de 6 meses adicionales para cumplir con los requisitos de marcado de contenidos artificialmente generados o manipulados y la incorporación de señales legibles por máquina exigidas por el art. 50(2) del Reglamento de IA. Con ello, la Comisión pretende evitar distorsiones competitivas entre actores consolidados y nuevos entrantes.

Se elimina la obligación directa de alfabetización en IA (art. 4 Reglamento de IA)

Una de las modificaciones más significativas afecta al artículo 4, que en la versión actual requiere a proveedores y responsables del despliegue de sistemas de IA garantizar la alfabetización en materia de IA de su personal. La Propuesta elimina esta obligación directa, sustituyéndola por un mandato institucional. La Comisión y los Estados miembros deberán “fomentar la alfabetización en IA” y “alentar” a proveedores y usuarios a adoptar medidas formativas proporcionadas.

La supresión pretende reducir cargas administrativas y evitar solapamientos con obligaciones ya existentes en materia de competencia profesional del personal que opera sistemas de alto riesgo (art. 9 y ss. del Reglamento de IA), que se mantienen intactas.

Reequilibrio del régimen de clasificación y registro de sistemas de alto riesgo (arts. 6 y 49 Reglamento de IA)

El art. 6(3), en su redacción actual, permite a los proveedores realizar una evaluación caso por caso para determinar si un sistema, pese a operar en un entorno incluido en el Anexo III, no constituye alto riesgo debido a su uso previsto o finalidad. La Propuesta elimina la obligación de inscribir en la base de datos europea (prevista en el artículo 49 del Reglamento de IA) los sistemas que resulten de “no alto riesgo” conforme a este análisis. No obstante, los proveedores deben seguir documentando y justificando esta decisión ante las autoridades competentes cuando así se les solicite, lo que reduce la burocracia y acelera la entrada en el mercado.

Refuerzo del papel de la Oficina de IA (art. 75 Reglamento de IA)

El artículo 75 se modifica para ampliar el ámbito de supervisión de la Oficina de IA de la Comisión. La Oficina de IA se propone como la autoridad competente para supervisar y hacer cumplir obligaciones respecto a sistemas de IA basados en modelos GPAI, cuando el modelo y el sistema sean desarrollados por el mismo proveedor.

Además, el art. 75, según la reforma que se propone, habilitaría a la Oficina de IA para supervisar sistemas de IA integrados en plataformas en línea de muy gran tamaño (“VLOPs”) y en buscadores en línea de muy gran tamaño regulados por la Digital Services Act (Reglamento (UE) 2022/2065) (“DSA”). En este sentido, la Oficina de IA deberá coordinar la supervisión del Reglamento de IA con las autoridades competentes de la supervisión de la DSA a efectos de evitar duplicidades en documentación, requerimientos y sanciones.

Medidas de proporcionalidad para pymes y Small Mid-Caps (art. 99 Reglamento de IA)

El art. 99 se amplía para incluir no solo a pymes sino también a Small Mid-Caps, definidas conforme a la Recomendación (UE) 2025/199 como empresas que, pese a no cumplir los umbrales de pyme de la Recomendación 2003/361/CE, ocupan a menos de 750 personas y cuyo volumen de negocios anual no excede de 150 millones de euros o cuyo balance general anual no excede de 129 millones de euros.

En este aspecto, se introducen sanciones proporcionales para SMCs (reducción proporcional de multas administrativas); documentación técnica simplificada; procedimientos de evaluación de conformidad proporcionados; y, sistemas de gestión de calidad adaptados (análogos a los previstos para pymes en la versión actual).

Este cambio responde al objetivo central del Digital Package: asegurar que la regulación no genere barreras injustificadas para actores europeos de innovación media.

Impulsar sandboxes regulatorios y pruebas en condiciones reales (art. 57-58 y 60 Reglamento de IA)

La propuesta refuerza los sandboxes regulatorios y las pruebas en condiciones reales.

Prevé la creación de un sandbox a escala de la UE, gestionado por la AI Office y operativo a partir de 2028, con mecanismos de cooperación reforzada entre autoridades y acceso prioritario para pymes.  Además, cuando un proyecto requiera pruebas en condiciones reales dentro del sandbox, estas se incorporan en un único plan del sandbox a efectos de evitar expedientes duplicados, simplificar trámites y facilitar la coordinación entre autoridades.

El artículo 60 amplía las pruebas en condiciones reales, más allá de los sistemas del Anexo III, a los sistemas de alto riesgo del Anexo I, sección A. En paralelo, un nuevo artículo 60a permite realizar pruebas para productos del Anexo I, sección B, mediante acuerdos entre la Comisión y los Estados miembros.

Excepción en materia de protección de datos para la detección y mitigación de sesgos (nuevo artículo 4(a) Reglamento de IA)

El Digital Omnibus crea una base jurídica, dentro del marco del Reglamento de IA, para que los proveedores y los responsables del despliegue de sistemas de IA de alto riesgo puedan tratar de forma excepcional categorías especiales de datos personales, conforme a la definición del Reglamento (UE) 2016/679 (“RGPD”), con la finalidad de detectar y corregir sesgos. Esto solo se permite cuando sea estrictamente necesario y queda sujeto a garantías estrictas, entre ellas la minimización de datos, medidas de seguridad, ausencia de accesos ulteriores y la supresión de los datos una vez alcanzado el objetivo. Esta disposición pretende aclarar y agilizar el tratamiento lícito con fines de mitigación de sesgos, reduciendo la incertidumbre para los proveedores y, al mismo tiempo, garantizando una protección sólida de los derechos fundamentales.

Es importante tener en cuenta que los cambios descritos en el Digital Omnibus sobre IA son, por el momento, solo propuestas. El Digital Omnibus sobre IA entra ahora en el procedimiento legislativo y deberá ser aprobado por el Consejo de la UE y el Parlamento Europeo, tras las negociaciones de trílogo, antes de su entrada en vigor.