El anuncio de la Comisión Europea el 19 de noviembre de 2025 de que la UE retrasa las normas para la IA de alto riesgo ha repercutido en la industria, la sociedad civil y los círculos políticos. Bajo el llamado paquete Digital Omnibus, Bruselas propone enmiendas específicas a varias leyes tecnológicas importantes, incluyendo la Ley de IA, el RGPD, la e‑Privacy y la Ley de Datos, enmarcadas como medidas para simplificar las obligaciones y reducir las cargas administrativas para las empresas.
El paquete establece que las empresas solo tendrán que aplicar las normas para los sistemas de IA de alto riesgo una vez que las herramientas de apoyo y los estándares necesarios estén en su lugar, lo que en la práctica otorga a algunos proveedores hasta 16 meses para cumplir con ciertas obligaciones. La medida se presenta como una alineación pragmática de las normas con la capacidad de implementación, pero también ha intensificado el debate sobre la ambición regulatoria y las garantías para los derechos y la seguridad.
Qué propone el Digital Omnibus
El Digital Omnibus de la Comisión, publicado el 19 de noviembre de 2025, agrupa una serie de enmiendas focalizadas destinadas a agilizar el cumplimiento entre normas digitales superpuestas. Los funcionarios afirman que los cambios facilitarán a las empresas la adopción de procesos comunes, reducirán las cargas administrativas y acelerarán el despliegue de servicios digitales en todo el bloque.
Entre las medidas concretas, la Comisión estima ahorros administrativos de hasta 5.000 millones de euros para 2029. También destaca posibles ganancias de eficiencia gracias a las Carteras Empresariales Europeas, que según la Comisión podrían liberar hasta 150.000 millones de euros en ahorros anuales al simplificar la gestión de identidad y datos para empresas y ciudadanos.
De manera crucial para los proveedores de IA, el paquete señala un aplazamiento de ciertas obligaciones de alto riesgo hasta que los estándares armonizados, la orientación y las infraestructuras de evaluación de la conformidad estén listas. Esto pretende evitar lagunas en la aplicación y una costosa incertidumbre legal para las empresas que se apresuren a cumplir sin contar con herramientas prácticas.
Ámbito y calendario del retraso
Según los informes de Reuters y material de la Comisión, el omnibus retrasaría las normas más estrictas de la UE para los usos de IA de alto riesgo, como la identificación biométrica, la calificación de CV y exámenes, los servicios de salud, las evaluaciones de solvencia, la aplicación de la ley, la gestión del tráfico vial y los servicios públicos, desde agosto de 2026 hasta diciembre de 2027. El efecto es pausar el calendario original establecido en la aplicación escalonada de la Ley de IA.
La Comisión enmarcó esto como un respiro selectivo y temporal: las empresas tendrían tiempo adicional para cumplir con las obligaciones mientras los organismos de normalización y los organismos notificados de evaluación de la conformidad finalizan el trabajo técnico. Los funcionarios insistieron en que la intención es la simplificación, no el debilitamiento de las normas, con el mantra comunicado a los periodistas: Simplificar no es desregular.
No obstante, el retraso plantea preguntas prácticas sobre la preparación para la aplicación a nivel nacional. Los Estados miembros aún necesitan establecer o reforzar las estructuras de aplicación, y la formalización de estándares armonizados por organismos como CEN‑CENELEC sigue siendo una dependencia clave para la aplicación puntual de las obligaciones más estrictas.
Cambios en las normas de datos y usos para entrenamiento
El omnibus también propone ajustes específicos al RGPD para aclarar las bases legales para los datos de entrenamiento de IA. Informes de finales de 2025 indicaban que la Comisión permitiría ciertos usos de entrenamiento de IA bajo una base legal de interés legítimo, un cambio solicitado desde hace tiempo por actores de la industria que buscan fundamentos más claros para el entrenamiento de modelos a gran escala.
Los defensores argumentan que refinar el lenguaje del RGPD reducirá la incertidumbre legal para los desarrolladores que actualmente navegan por un mosaico de interpretaciones entre los Estados miembros. La Comisión presenta las enmiendas como aclaraciones técnicas para ayudar a los proyectos de IA a cumplir con las normas de protección de datos sin rebajar los estándares de privacidad.
Sin embargo, los opositores advierten que ampliar las excepciones por interés legítimo podría socavar las protecciones fundamentales de la privacidad y facilitar el uso de datos personales para el desarrollo de modelos sin consentimiento explícito. Esta tensión entre la usabilidad para servicios innovadores y la protección de los derechos individuales está en el centro de gran parte del debate.
Presión de la industria y contexto político
El retraso sigue a meses de intensa presión por parte de grandes empresas tecnológicas, coaliciones industriales y decenas de directores generales de grandes empresas europeas que advirtieron que los plazos originales podrían dañar la competitividad. Coaliciones como la EU AI Champions Initiative y grupos comerciales como la Computer & Communications Industry Association pidieron públicamente una pausa mientras maduraban los estándares y la orientación.
Cartas, campañas públicas y declaraciones empresariales a mediados de 2025 argumentaron que la incertidumbre en la implementación, junto con la posibilidad de multas severas, podría sofocar la innovación y la inversión en Europa. Según la Ley de IA tal como está redactada, poner en el mercado sistemas de IA prohibidos puede conllevar multas de hasta 35 millones de euros o el 7% de la facturación anual mundial total, una amenaza que amplificó las demandas de la industria por normas más claras y vías de aplicación más fluidas.
Los observadores también señalan presiones geopolíticas y transatlánticas: la presión del gobierno estadounidense y de las grandes tecnológicas, combinada con el deseo de preservar la competitividad industrial europea, han empujado a Bruselas hacia una postura más amigable con la innovación o de toque más ligero. Algunos comentaristas ven esto como un cambio estratégico que corre el riesgo de ceder el liderazgo regulatorio en seguridad de IA, mientras que otros lo consideran un movimiento pragmático para garantizar la aplicabilidad.
Reacción de la sociedad civil y preocupaciones sobre derechos
Los grupos de la sociedad civil y de consumidores reaccionaron con fuerza contra el omnibus. Redes europeas de derechos digitales y asociaciones de consumidores (incluyendo EDRi y BEUC, entre muchas ONG) advirtieron que los cambios equivaldrían a un retroceso en protecciones clave y alertaron que aclarar las bases legales del RGPD o retrasar obligaciones podría erosionar la privacidad y la rendición de cuentas.
Algunas organizaciones describieron el paquete propuesto como el mayor retroceso de las protecciones digitales en la historia de la UE, argumentando que los plazos extendidos y el aumento de las excepciones por interés legítimo reducirían las salvaguardas inmediatas para las personas sometidas a sistemas de IA de alto riesgo, especialmente en áreas como biometría, selección laboral y aplicación de la ley.
El enfrentamiento entre la reforma favorable a las empresas y los defensores de derechos digitales sólidos crea un escenario políticamente cargado. Los legisladores del Parlamento Europeo y los Estados miembros tendrán ahora que equilibrar los argumentos de competitividad frente a las preocupaciones por las libertades civiles a medida que el omnibus avanza hacia las discusiones de adopción formal.
Estándares, informes y cuellos de botella prácticos
Una de las razones técnicas centrales para el retraso ha sido la ausencia de estándares listos para usar y de capacidad de evaluación de la conformidad. La Comisión había publicado una guía preliminar sobre la notificación de incidentes graves de IA (artículo 73) en septiembre de 2025 y abierto consultas, pero los estándares técnicos armonizados y los organismos notificados siguen en desarrollo.
Las organizaciones de normalización, las autoridades nacionales y el Defensor del Pueblo de la UE han estado implicados en la preparación del ecosistema necesario para aplicar las normas de alto riesgo. Hasta que esas piezas , orientación, estándares de prueba y evaluadores de conformidad acreditados, estén en su lugar, hacer cumplir las obligaciones más estrictas implica riesgos de incoherencia, disputas legales y prácticas nacionales divergentes.
Para las empresas, la promesa de hasta 16 meses para cumplir con ciertas obligaciones les da margen para adaptar procesos, pero también prolonga la incertidumbre regulatoria. Para los reguladores y defensores de derechos, el retraso subraya el reto de casar una legislación ambiciosa con la preparación operativa a nivel técnico y administrativo.
A medida que el Digital Omnibus avanza hacia el Parlamento Europeo y el Consejo, las negociaciones políticas determinarán si el paquete se convierte en ley tal como se propone o si se modifica. Los legisladores sopesarán las afirmaciones de ahorro económico de la Comisión y los llamamientos de la industria frente a las objeciones de la sociedad civil y el riesgo de que una relajación percibida de las normas pueda debilitar la confianza en la gobernanza digital de la UE.
El retraso de la UE en las normas para la IA de alto riesgo representa un momento crucial para la estrategia de IA de Europa: podría ser una recalibración práctica que garantice una aplicación robusta cuando existan los estándares, o una retirada que retrase protecciones críticas. Los debates posteriores en Bruselas, por tanto, darán forma tanto al panorama regulatorio como a la influencia de Europa en la gobernanza global de la IA.
