Privacy, Data & Cybersecurity,  Robots & Artificial Intelligence

La Comisión Europea propone reformas significativas del GDPR y del AI Act

20 noviembre 2025

La Comisión Europea ha presentado recientemente dos paquetes legislativos —el Digital Omnibus Regulation Proposal y el Digital Omnibus on AI Regulation Proposal— con el objetivo de adaptar y simplificar el marco normativo de la Unión Europea en materia de datos, inteligencia artificial y ciberseguridad.  

Contexto y motivación

En menos de diez años desde la entrada en vigor del GDPR, la UE se enfrenta a tres desafíos interrelacionados: (i) el acelerado desarrollo de tecnologías de IA, (ii) la proliferación de regulación digital y (iii) la presión competitiva y geopolítica de Estados Unidos y China.  En este contexto, la estrategia de la UE para una “Unión Europea de Datos” pretende no solo garantizar altos estándares de protección, sino también «pasar de la regulación al impulso de la innovación».  

Principales reformas del GDPR

Las modificaciones propuestas al GDPR son de carácter focalizado (no una “reapertura” completa del Reglamento) y se justifican en la necesidad de clarificar y adaptar su aplicación al desarrollo tecnológico.  Entre los cambios más destacados:

  • Se establece de modo explícito que las organizaciones pueden invocar la base jurídica del “interés legítimo” para el tratamiento de datos personales con fines vinculados a IA, siempre que se respeten las salvaguardias del GDPR.  
  • En el ámbito de la publicidad digital (“ad‑tech”), se plantea que los usuarios puedan aceptar o rechazar cookies con un solo clic, y que su elección sea respetada durante un período de seis meses.  
  • Para los incidentes de ciberseguridad, se propone un «portal de entrada única» para notificación de brechas, lo que pretende reducir la fragmentación normativa (actualmente existen obligaciones bajo el GDPR, la NIS2 Directive y la Digital Operational Resilience Act).  

Principales reformas del AI Act

En cuanto al AI Act —la primera normativa mundial de su tipo en materia de IA de alto riesgo— la Comisión propone una serie de adaptaciones para facilitar su puesta en marcha y acelerar el desarrollo de IA en la EU. Destacan los siguientes aspectos:

  • Retraso en la entrada en vigor del régimen de sistemas de IA de “alto riesgo”. La aplicación se condicionará a que los estándares técnicos y herramientas de apoyo estén disponibles. Una vez estos estén listos, las organizaciones dispondrán de seis meses para adaptarse, pero la fecha límite se sitúa en diciembre de 2027.  
  • Facilidades para las pequeñas y medianas empresas (PYMEs) y las mid‑caps, reduciendo ciertos requisitos de documentación técnica.  
  • Introducción de “sandboxes” reales para experimentación controlada de IA, y reforzamiento de los poderes de la AI Office, con objeto de centralizar la supervisión y reducir la fragmentación del gobierno de la IA.  

Datos, acceso y economía de datos

El paquete legislativo también aborda la mejora del acceso a datos de alta calidad para alimentar sistemas de IA, mediante la consolidación de cuatro instrumentos legales en uno solo.  Se incluyen cláusulas estándar contractuales para computación en la nube y cláusulas modelo para el acceso y uso de datos que fomentan la innovación.  

Reacciones e implicaciones

La iniciativa ha generado reacciones muy diversas:

  • Algunos sectores advierten que las reformas están debilitando los derechos digitales de los europeos. Por ejemplo, NOYB (organización de defensa de la privacidad) considera que la propuesta “reduce masivamente las protecciones para los europeos” y abre muchas puertas para los departamentos legales de la Big Tech estadounidense.  
  • Otros actores, como la Computer and Communications Industry Association (CCIA), valoran el esfuerzo de simplificación del marco normativo, aunque estiman que la acción sigue siendo demasiado limitada.  

Para las organizaciones, los bufetes, y los profesionales de protección de datos y de IA, estas reformas implican la necesidad de revisar sus políticas de cumplimiento, adaptar sus bases jurídicas, y anticipar los cambios operativos —especialmente en IA, publicidad digital y gestión de datos.

Próximos pasos

Los textos de los paquetes deberán ahora ser negociados en el procedimiento de trilogo entre el European Parliament, el European Council y la Comisión. Se prevé que este proceso lleve varios meses hasta su finalización.

Related Posts

México crea una nueva Autoridad en Protección de Datos: Un paso clave para la privacidad digital

5 marzo 2025
Miguel_Ortego

Reglamento UE relativo a la gobernanza europea de datos

17 julio 2022
Miguel_Ortego

Sancionada por captar imagenes de un menor mediante videovigilancia

27 diciembre 2024