Claves del “Digital Package” de la Comisión Europea

La Comisión Europea ha presentado, el pasado 19 de noviembre, el denominado Digital Package, un conjunto de iniciativas legislativas destinado a simplificar la normativa del ecosistema digital europeo, reforzar la competitividad tecnológica y facilitar que empresas y administraciones operen en un mercado digital más coherente y menos fragmentado.

El núcleo del paquete lo constituyen la propuesta de Reglamento Digital Omnibus, una propuesta legislativa transversal que introduce modificaciones en materia de protección de datos personales y no personales, ciberseguridad e inteligencia artificial, y la propuesta de Reglamento Digital Omnibus en materia de IA, por la que se pretende la simplificación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 (“Reglamento de IA”). Junto a estas, el paquete se completa con: la Estrategia de Datos de la Unión; la publicación ?a efectos del cumplimiento del Reglamento (EU) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023 (“Data Act”)? de cláusulas contractuales tipo no vinculantes para el acceso y uso de datos y cláusulas contractuales tipo no vinculantes para contratos de computación en nube; así como con una propuesta de Reglamento de Carteras Empresariales Europeas.

Según la Comisión, estas medidas reflejan las recomendaciones del Informe Draghi y buscan convertir la innovación digital en un motor directo de productividad, eliminando barreras regulatorias, clarificando obligaciones y garantizando el acceso a datos de alta calidad en toda la Unión. La Comisión estima que estas propuestas de simplificación normativa puedan implicar una reducción de costes administrativos de 5 billones de euros hasta 2029.

El Digital Package se articula alrededor de los bloques materiales siguientes.

1.    Normas sobre datos personales y no personales (Data Act y RGPD)

La propuesta de Reglamento Digital Omnibus consolida el marco europeo de datos entorno a dos pilares: el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 (“Data Act”) y el Reglamento (UE) del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (“RGPD”).

En relación con la Data Act, se propone reforzar la protección de secretos empresariales, de forma que el acceso a datos pueda negarse si existe alto riesgo de filtración a terceros países con salvaguardas insuficientes, y exige medidas técnicas y contractuales y evaluaciones de riesgo. Asimismo, el Digital Omnibus consolida en la Data Act y deroga el Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018 (“Reglamento de Libre Flujo de Datos no Personales“)), el Reglamento (UE) 2022/868 del Parlamento europeo y del consejo de 30 de mayo de 2022 (“Data Governance Act”) y la  Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo de 20 de junio de 2019(“Directiva de Datos Abiertos“), estableciendo un único marco para la reutilización de datos del sector público y categorías protegidas. Limita las solicitudes de datos del sector público (B2G) con criterios de proporcionalidad, temporalidad y minimización El régimen B2G se concentra en un único artículo 15a y se restringe a “emergencias públicas”; las microempresas y pequeñas empresas tendrán derecho a compensación cuando se les requiera facilitar datos en dichas situaciones. Elimina los requisitos esenciales para los smart contracts así como su evaluación obligatoria, confiando en estándares voluntarios y prácticas de autocertificación. Mejora el “switching” (cambios de proveedor o traslado de datos) en servicios de tratamiento de datos, como los servicios de cloud, estableciendo reglas más simples para servicios a medida y para pymes y Small Mid-Caps (SMCs).

Respecto al RGPD, pueden destacarse las siguientes propuestas de modificaciones:

• Se traslada al RGPD el régimen de “cookies” y tecnologías similares, mientras que la Directiva 2002/58/CE (“Directiva ePrivacy”) se mantiene para supuestos sin datos personales o cuando el usuario no sea una persona física. En este sentido, el RGPD exige el consentimiento, incorpora el rechazo con un solo clic y obliga a respetar las preferencias centralizadas mediante señales automatizadas y legibles por máquina. Además, exime del requisito de consentimiento a una serie de finalidades (transmisión de comunicaciones, prestación de un servicio solicitado, medición de audiencia por el propio editor y seguridad del servicio/terminal).
• De forma destacada, se establece que los datos pseudonimizados no constituirían datos personales para quienes no dispongan de capacidad para la reidentificación. Así, se pretende facilitar compartir datos a terceros.
• Se reconoce el interés legítimo como base jurídica para el entrenamiento y despliegue sistemas y modelos de IA, siempre que se respeten unas garantías reforzadas (minimización, transparencia, respeto de señales técnicas y derecho de oposición incondicionado). Y cuando, pese a esas medidas, se detecten categorías especiales de datos en los conjuntos de entrenamiento o en el modelo, el responsable debe eliminarlas, y, si la supresión exige un esfuerzo desproporcionado, debe bloquear su uso en los outputs del sistema y evitar su divulgación a terceros.
• A nivel de RGPD, se armonizarán en la UE las listas de tratamientos que requieren/no requieren evaluación de impacto, con una propuesta del Comité Europeo de Protección de Datos (“EDPB”) y una plantilla y metodología comunes a adoptar por la Comisión; además, las notificaciones de brechas se canalizarán a través del nuevo punto único de notificación.

2.    Normas sobre ciberseguridad

El Digital Omnibus propone introducir un mecanismo de ventanilla única (single-entry point) para notificar incidentes de ciberseguridad, con el fin de evitar la multiplicidad de notificaciones derivada de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (“Directiva NIS2”), el RGPD, el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (“Reglamento DORA”), la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 (“Directiva sobre la Resiliencia de Entidades Críticas”) y el Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo de 11 de abril de 2024 (“Reglamento de Identidad Digital Europea”). La Agencia Europea para la Ciberseguridad (ENISA) sería la responsable de establecer y mantener esta interfaz unificada, que permitiría que una única notificación cumpla múltiples obligaciones legales sin la necesidad de modificar, para un mismo incidente, el contenido de las notificaciones ni las autoridades destinatarias. Su uso pasará a ser obligatorio tras su puesta en marcha dentro del periodo transitorio previsto.

3.    Normas sobre inteligencia artificial (Reglamento de IA).

La propuesta introduciría modificaciones del Reglamento de IA dirigidas a garantizar una aplicación clara, progresiva y favorable a la innovación, a destacar:

• Elimina la obligación general de alfabetización en IA para proveedores y responsables del despliegue de sistemas de IA, y la sustituye por un mandato a las autoridades para promover esa capacitación; aunque no modifica las exigencias ya previstas en la AI Act sobre la competencia del personal que opera sistemas de alto riesgo.
• En materia de transparencia, mantiene el marcado de contenidos generados o manipulados por IA y prevé la incorporación de señales legibles por máquina para su detección. Para los sistemas de IA generativa ya introducidos en el mercado antes del 2 de agosto de 2026, se concede una moratoria de 6 meses para adaptar el marcado y las señales de detección legibles por máquina (deberán cumplir, como máximo el 2 de febrero de 2027).
• También propone una moratoria para las obligaciones aplicables a sistemas de alto riesgo: 16 meses adicionales para sistemas del Anexo III y 12 meses para los del Anexo I, vinculando así la aplicación de estas obligaciones a la disponibilidad de los estándares técnicos y otras guías de apoyo. Asimismo, clarifica que no será necesario inscribir en la base de datos de la UE los sistemas que se descarten como no alto riesgo conforme al artículo 6(3).
• Extiende a las SMCs ciertas simplificaciones ya previstas para pymes, como documentación técnica reducida o modalidades proporcionadas de sistemas de gestión de calidad.
• Desde una perspectiva institucional, se refuerza el papel de la Oficina de IA, que asumirá la supervisión de sistemas de IA basados en modelos de propósito general (GPAI) desarrollados por un mismo proveedor y de los sistemas de IA integrados en grandes plataformas en línea y motores de búsqueda sujetos al Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de Octubre de 2022 (“Reglamento de Servicios Digitales”).
• La propuesta también amplía el uso de sandboxes regulatorios y las pruebas en condiciones reales, incluyendo la creación de un sandbox europeo a partir de 2028, y clarifica la interacción del AI Act con otras normativas sectoriales y de armonización.

4.    Estrategia de Datos de la Unión (Data Union Strategy) 

Esta Comunicación de la Comisión complementa el Digital Omnibus con medidas orientadas a garantizar el acceso efectivo a datos de alta calidad en la Unión, que se erige como una condición imprescindible para el despliegue competitivo de la inteligencia artificial. La estrategia se articula en tres líneas: (i) escalado del acceso a datos, mediante data labs integrados en AI factories, el impulso de los Espacios Europeos de Datos, incluido un futuro espacio europeo de datos de defensa, y el desarrollo de datos sintéticos en sectores con escasez de datos reales; (ii) simplificación normativa adicional, acompañada de plantillas y guías interpretativas, así como un Data Act Helpdesk para reducir la carga de cumplimiento; y (iii) refuerzo de la posición internacional de la UE, mediante una política de flujos transfronterizos de datos que preserve la protección de datos no personales sensibles y potencie la participación europea en foros globales de gobernanza de datos.

5.    Carteras Empresariales Europeas (European Business Wallets)

La Comisión propone un Reglamento por el que se crean las European Business Wallets: carteras digitales interoperables para que empresas y administraciones puedan identificarse y autenticarse, firmar o sellar electrónicamente, enviar y recibir documentos y notificaciones mediante un servicio cualificado de entrega electrónica certificada, y compartir credenciales verificables (licencias, certificados, poderes) con pleno efecto jurídico en toda la UE gracias al principio de equivalencia. Para las empresas, su uso sería voluntario, mientras que, para las administraciones públicas y entidades de la UE, la aceptación sería obligatoria. Los Estados miembros y las instituciones europeas dispondrían de un plazo de dos años para implantar estas carteras digitales a efectos de identificación/autenticación, firma/sello, y presentación de documentos y notificaciones, apoyándose en estándares desarrollados en el marco del Reglamento (UE) 2024/1183 de Identidad Digital Europea y en proyectos piloto. En conjunto, este marco pretende reducir las cargas administrativas y asegurar el reconocimiento transfronterizo de trámites digitales.

6.    Plataformas

El Digital Omnibus propone derogar el Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo de 20 de junio de 2019 (“Reglamento P2B”)) por solapamiento con el Reglamento de Servicios Digitales y Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 (“Reglamento de Mercados Digitales”), manteniendo temporalmente ciertas referencias para evitar inseguridad jurídica.

* * *

Las propuestas de reglamentos que incluye el Digital Package seguirán ahora el procedimiento legislativo ordinario en el Parlamento Europeo y el Consejo, lo que conllevará, sin duda, un periodo de intenso debate en las instituciones europeas sobre las eventuales modificaciones y alcance definitivo de estas normas. Asimismo, en su afán por simplificar la aplicación práctica de la normativa digital, la Comisión ha anunciado que elaborará guías, plantillas y actos de ejecución destinados a facilitar la transición y asegurar un entorno regulatorio digital europeo coherente y dotado de mayor seguridad jurídica.

Autoras: Mireia Sala y Catarina Castanheira, con la colaboración de Martina Olivé.