El Reglamento Omnibus Digital sobre IA avanza hacia su aprobación

El 13 de marzo de 2026, el Consejo de la UE acordó su mandato de negociación sobre la propuesta de Reglamento Omnibus Digital en materia de IA (el "Omnibus Digital sobre IA"), dirigida a modificar el Reglamento (UE) 2024/1689 sobre inteligencia artificial ("Reglamento de IA") para simplificar su aplicación y reducir las cargas de cumplimiento. Pocos días después, el 26 de marzo de 2026, el Pleno del Parlamento Europeo aprobó sus enmiendas al texto propuesto por la Comisión, fijando así la posición negociadora de la Eurocámara para las negociaciones interinstitucionales. Con ambas posiciones sobre la mesa, los colegisladores han iniciado los trílogos, de los que saldrá el texto definitivo de esta reforma.

En esta entrada analizamos el contexto y el iter legislativo del Omnibus Digital sobre IA, las principales modificaciones introducidas por el Consejo respecto de la propuesta inicial de la Comisión, la posición del Parlamento Europeo y el papel de las instituciones en el proceso de aprobación. Puede consultarse aquí nuestra entrada previa sobre la propuesta inicial de la Comisión.

Contexto: la propuesta de la Comisión Europea

El 19 de noviembre de 2025, la Comisión Europea presentó la propuesta de Omnibus Digital sobre IA en el marco de su séptimo paquete omnibus, orientado a la simplificación regulatoria digital. La iniciativa respondía a retos de aplicación del Reglamento de IA identificados en las consultas con las partes interesadas, entre ellos: el retraso en la elaboración de estándares armonizados; la falta de designación de autoridades nacionales competentes y de organismos de evaluación de la conformidad; y cargas de cumplimiento desproporcionadas, especialmente para las pymes.

Las principales medidas propuestas por la Comisión incluían: (i) un mecanismo flexible para vincular la aplicación de las obligaciones de los sistemas de IA de alto riesgo a la disponibilidad efectiva de estándares y herramientas de cumplimiento, con fechas máximas de aplicación del 2 de diciembre de 2027 para los sistemas de alto riesgo independientes (artículo 6.2 y Anexo III) y del 2 de agosto de 2028 para los sistemas de alto riesgo integrados en productos (artículo 6.1 y Anexo I); (ii) la eliminación de la obligación directa de alfabetización en IA del artículo 4, sustituyéndola por un mandato de fomento a cargo de la Comisión y los Estados miembros; (iii) la extensión de los privilegios regulatorios de las pymes a las denominadas small mid-caps ("SMC"); (iv) la eliminación de la obligación de registro en la base de datos de la UE para sistemas considerados "no alto riesgo" conforme al artículo 6.3; (v) la ampliación de la base jurídica para el tratamiento excepcional de categorías especiales de datos personales con fines de detección y corrección de sesgos; y (vi) el refuerzo de las competencias de la Oficina de IA para la supervisión de determinados sistemas.

El iter legislativo: instituciones y procedimiento

El Omnibus Digital sobre IA sigue el procedimiento legislativo ordinario previsto en el artículo 114 del TFUE, que exige la aprobación conjunta del Parlamento Europeo y del Consejo de la UE.

Tras la presentación de la propuesta por la Comisión en noviembre de 2025, el expediente fue asignado en el Parlamento Europeo a las comisiones de Mercado Interior y Protección del Consumidor (IMCO) y de Libertades Civiles, Justicia y Asuntos de Interior (LIBE), con los ponentes Arba Kokalari (PPE, Suecia) y Michael McNamara (Renew, Irlanda). Los ponentes publicaron su proyecto de informe el 5 de febrero de 2026, y las comisiones IMCO y LIBE aprobaron su informe conjunto el 18 de marzo de 2026. El Pleno del Parlamento Europeo aprobó las enmiendas el 26 de marzo de 2026, conformando así la posición negociadora de la Eurocámara.

Por su parte, en el seno del Consejo de la UE, la Presidencia chipriota trató la propuesta con máxima prioridad. El Comité de Representantes Permanentes (COREPER), que prepara los trabajos del Consejo, facilitó la adopción del mandato de negociación del Consejo el 13 de marzo de 2026, manteniendo en lo sustancial el enfoque de la propuesta de la Comisión, aunque introduciendo modificaciones relevantes. Además, fueron consultados el Comité Económico y Social Europeo y el Comité de las Regiones, conforme al procedimiento legislativo ordinario.

Con ambas posiciones adoptadas, las negociaciones de trílogo entre el Parlamento Europeo, el Consejo y la Comisión pueden dar comienzo.

Principales modificaciones del Consejo respecto de la propuesta de la Comisión

La Presidencia del Consejo mantuvo en líneas generales el enfoque de la Comisión, pero introdujo una serie de cambios significativos que reflejan las prioridades de los Estados miembros.

(i)  Prohibición de prácticas de IA relativas a contenido sexual no consentido y material de abuso sexual infantil

Una de las novedades más relevantes del mandato del Consejo es la incorporación de una nueva prohibición en el artículo 5 del Reglamento de IA, dirigida a los sistemas de IA capaces de generar, manipular o reproducir imágenes o vídeos realistas de contenido íntimo o sexual de una persona identificable sin su consentimiento (imágenes íntimas no consentidas; Non-Consensual Intimate Images, "NCII"), así como material de abuso sexual infantil ("CSAM"). Se trata de una adición sustantiva, ya que no formaba parte de la propuesta original de la Comisión, y responde a la creciente preocupación por la proliferación de las denominadas nudifier apps y herramientas de deepfake con fines de violencia sexual.

El Consejo define el concepto de "capacidad" del sistema para generar dicho contenido en dos supuestos: (i) cuando sea la finalidad prevista del sistema; o (ii) cuando la generación de dicho contenido sea un resultado razonablemente previsible y reproducible, y el sistema no disponga de medidas técnicas de seguridad efectivas para prevenirlo. Se excluyen las representaciones no realistas (caricaturescas o físicamente imposibles), así como la generación consentida de contenido íntimo.

(ii) Plazos fijos para la aplicación de las obligaciones de alto riesgo

Mientras que la Comisión había propuesto un mecanismo flexible que vinculaba la entrada en aplicación de las obligaciones del Capítulo III a la adopción de una decisión de la Comisión confirmando la disponibilidad de estándares y herramientas de cumplimiento, el Consejo opta por establecer fechas fijas de aplicación, eliminando el mecanismo de decisión previa de la Comisión. Así, las nuevas fechas serían: el 2 de diciembre de 2027 para los sistemas de IA de alto riesgo independientes (artículo 6.2 y Anexo III), y el 2 de agosto de 2028 para los sistemas de alto riesgo integrados en productos (artículo 6.1 y Anexo I). Este cambio refuerza la seguridad jurídica y la previsibilidad para los operadores económicos.

(iii) Mantenimiento del registro simplificado de sistemas de "no alto riesgo"

La Comisión había propuesto eliminar la obligación de registro en la base de datos de la UE para los proveedores que consideren que su sistema no es de alto riesgo conforme al artículo 6.3. El Consejo, sin embargo, reintroduce esta obligación de registro, aunque de forma simplificada, reduciendo la información exigida en la Sección B del Anexo VIII. De esta manera, se mantiene la transparencia y la vigilancia del mercado sin imponer una carga desproporcionada.

(iv) Estándar de estricta necesidad para el tratamiento de datos sensibles

La propuesta de la Comisión empleaba un estándar de "necesidad" para el tratamiento excepcional de categorías especiales de datos personales con fines de detección y corrección de sesgos. El Consejo eleva este umbral al de "estricta necesidad", reforzando la protección de los derechos fundamentales y alineándose con las exigencias más restrictivas en materia de protección de datos.

(v) Aclaración de las competencias de la Oficina de IA

La Comisión había propuesto que la Oficina de IA asumiera la supervisión exclusiva de los sistemas de IA basados en modelos de IA de uso general cuando el modelo y el sistema fuesen desarrollados por el mismo proveedor. El Consejo amplía este ámbito a los supuestos en que el proveedor del sistema y el del modelo formen parte de la misma empresa, pero introduce excepciones relevantes en las que la competencia corresponde a las autoridades nacionales: los sistemas de IA vinculados a productos regulados por legislación armonizada (Anexo I), los sistemas biométricos (Anexo III, punto 2), los sistemas utilizados por las fuerzas de seguridad, autoridades de gestión de fronteras y entidades financieras sujetas a normativa sectorial.

(vi) Aplazamiento de los sandboxes regulatorios nacionales

El Consejo pospone la fecha límite para que las autoridades nacionales competentes establezcan al menos un sandbox regulatorio de IA a nivel nacional hasta el 2 de diciembre de 2027, frente a la fecha originalmente prevista en el Reglamento de IA.

(vii) Obligación de orientación de la Comisión a operadores sectoriales

El mandato del Consejo añade una nueva obligación para la Comisión de proporcionar orientaciones (guidance) a los operadores económicos de sistemas de IA de alto riesgo cubiertos por legislación armonizada sectorial (Anexo I), a fin de facilitar el cumplimiento de los requisitos del Reglamento de IA minimizando la carga de cumplimiento, conforme a los principios de complementariedad y proporcionalidad.

La posición del Parlamento Europeo

El Parlamento Europeo, por su parte, adoptó el 26 de marzo de 2026 su posición negociadora, que coincide con la del Consejo en numerosos aspectos, aunque presenta diferencias relevantes.

(i) Coincidencias con el Consejo

El Parlamento coincide con el Consejo en la introducción de una prohibición de los sistemas de IA de generación de contenido sexual no consentido (nudifier apps), aunque con una formulación ligeramente distinta centrada en los sistemas que "alteran, manipulan o generan artificialmente imágenes o vídeos realistas" de contenido íntimo sin consentimiento. Asimismo, el Parlamento también opta por establecer fechas fijas para la aplicación de las obligaciones de los sistemas de alto riesgo, eliminando el mecanismo de decisión previa de la Comisión propuesto originalmente, y manteniendo las mismas fechas: 2 de diciembre de 2027 y 2 de agosto de 2028.

(ii) Diferencias con la propuesta de la Comisión y con el Consejo

En materia de alfabetización en IA (artículo 4), el Parlamento adopta una posición intermedia: en lugar de eliminar la obligación directa sobre proveedores y responsables del despliegue como proponía la Comisión y mantiene el Consejo, el Parlamento reformula la obligación exigiendo que proveedores y responsables del despliegue "adopten medidas para apoyar la mejora de la alfabetización en IA" de su personal, aclarando que esta obligación no cubre la garantía de un nivel específico de alfabetización de ninguna persona concreta. Además, encomienda a la Comisión la publicación de orientaciones sobre la implementación práctica de esta obligación y promueve la creación de asociaciones público-privadas (Public Private Partnerships) para facilitar la alfabetización en IA.

Respecto del tratamiento de datos sensibles para la detección de sesgos, el Parlamento coincide con el Consejo en exigir el estándar de "estricta necesidad", alejándose de la formulación más flexible de la Comisión.

Otra diferencia relevante se encuentra en la interacción con la legislación armonizada de productos: el Parlamento propone trasladar las referencias legislativas actualmente contenidas en la Sección A del Anexo I a la Sección B, lo que implicaría que los sistemas de IA integrados en productos regulados por dichas normas sectoriales estarían sujetos a los requisitos del Reglamento de IA solo en la medida en que estos hayan sido incorporados en la legislación sectorial correspondiente. En coherencia con este enfoque, el Parlamento habilita a la Comisión a adoptar actos delegados para adaptar los requisitos esenciales de seguridad de la legislación sectorial, teniendo en cuenta los requisitos del Capítulo III del Reglamento de IA.

En cuanto al período transitorio para las obligaciones de marcado de contenido generado por IA (artículo 50.2), el Parlamento reduce el plazo propuesto por la Comisión de 6 meses a tan solo 3 meses para los proveedores que ya hubieran comercializado sus sistemas antes del 2 de agosto de 2026. 

Próximos pasos

Con las posiciones negociadoras del Consejo y del Parlamento Europeo ya adoptadas, se abre la fase de negociaciones interinstitucionales o trílogos entre ambas instituciones, con la participación de la Comisión Europea como mediadora. Estas negociaciones deberán conciliar las diferencias entre ambas posiciones y alcanzar un texto de compromiso que pueda ser aprobado formalmente por ambos colegisladores.

Entre los puntos de convergencia más claros se encuentran la prohibición de los sistemas de generación de contenido sexual no consentido, las fechas fijas de aplicación de las obligaciones de alto riesgo, la reintroducción del registro simplificado de los sistemas de "no alto riesgo" y el estándar de estricta necesidad para el tratamiento de datos sensibles para la detección de sesgos. Entre las cuestiones que previsiblemente requerirán mayor negociación figuran el alcance de la obligación de alfabetización en IA, la relación entre el Reglamento de IA y la legislación armonizada de productos (la cuestión de la Sección A vs. Sección B del Anexo I), y las competencias detalladas de la Oficina de IA.

Con todo, el texto final determinará si la reforma logra el equilibrio entre la simplificación regulatoria necesaria para fomentar la innovación y la competitividad europeas y el mantenimiento de un elevado nivel de protección de los derechos fundamentales, la salud y la seguridad de las personas, que constituye la esencia del modelo regulatorio europeo en materia de inteligencia artificial.