Entrada la madrugada, los negociadores del Parlamento Europeo, el Consejo y la Comisión lograron cerrar el acuerdo sobre el nuevo paquete de simplificación comunitario en lo relativo a los servicios de Inteligencia Artificial. El objetivo de los legisladores era flexibilizar la implementación de la nueva legislación digital para que las pequeñas empresas no tengan que enfrentarse a enormes cargas administrativas, sin renunciar al marco de garantías que la Unión Europea considera esencial para proteger los derechos fundamentales y reforzar la seguridad jurídica en el mercado digital comunitario.
“Con una normativa más sencilla y favorable a la innovación, facilitamos la innovación sin comprometer la seguridad”, ha celebrado la responsable tecnológica comunitaria, la vicepresidenta Henna Virkkunen. Desde el Gobierno de España, la secretaria de Estado María González Veracruz señaló en una entrevista con Demócrata que “lo que se está viviendo con las deepfakes, los menores en las redes y la manipulación de contenidos nos da la razón en cuanto a que es imprescindible la regulación”, haciendo además un llamamiento a desarrollar todo el “escudo democrático” que “hemos puesto en marcha en Europa”.
El acuerdo supone uno de los avances regulatorios más relevantes de los últimos meses dentro de la estrategia comunitaria para consolidar un ecosistema digital europeo basado en la supervisión pública, la transparencia algorítmica y la protección de los ciudadanos frente a usos abusivos de la Inteligencia Artificial. Bruselas pretende así combinar el impulso a la competitividad tecnológica con una reducción de las barreras burocráticas que afectan especialmente a startups, pymes y empresas de mediana capitalización.
Protección frente a abusos y contenidos ilícitos
Entre las principales novedades se encuentra la prohibición específica dentro de la Ley de IA contra aquellas prácticas capaces de generar contenido sexual íntimo no consentido o material de abuso sexual infantil, incluidas las aplicaciones conocidas como de “nudificación”. Esta medida, impulsada por los Veintisiete y respaldada desde el principio por la Eurocámara, pretende proteger directamente la “dignidad y los derechos fundamentales frente a abusos generados por IA”.
Las instituciones europeas consideran que el auge de tecnologías generativas cada vez más accesibles ha incrementado el riesgo de utilización fraudulenta de imágenes y vídeos manipulados, especialmente contra mujeres y menores. El nuevo marco normativo refuerza por ello la capacidad de actuación de los supervisores nacionales y comunitarios frente a plataformas o proveedores que permitan este tipo de usos ilícitos.
Noticia destacada
Los europeos acuerdan prohibir los “deepfakes” sexuales generados con IA
4 minutos
Asimismo, las tres instituciones han acordado establecer plazos fijos y calendarios progresivos para garantizar que los estándares técnicos y las herramientas de apoyo estén disponibles antes de que las nuevas obligaciones sean plenamente exigibles. De esta forma, Bruselas busca evitar inseguridad jurídica o escenarios de aplicación desigual entre Estados miembros.
Por ejemplo, las normas relacionadas con la biometría, la educación o el empleo —sectores considerados de alto riesgo dentro del Reglamento europeo— serán obligatorias a partir del 2 de diciembre del próximo año. La Comisión considera prioritario reforzar la supervisión en ámbitos donde los algoritmos puedan afectar directamente a derechos laborales, oportunidades educativas o decisiones automatizadas con impacto social relevante.
Las reglas aplicables a sistemas de Inteligencia Artificial integrados en productos como ascensores, juguetes o maquinaria industrial comenzarán a aplicarse en agosto de 2028. Mientras tanto, las obligaciones de detección y etiquetado de contenido generado mediante IA entrarán en vigor desde diciembre de este mismo año. Todos los proveedores de sistemas ya existentes en el mercado dispondrán hasta el próximo mes de febrero para adaptarse a las nuevas exigencias de transparencia.
Menos burocracia para pymes y empresas medianas
Uno de los principales objetivos políticos del acuerdo era evitar que el crecimiento empresarial derivase en una carga regulatoria desproporcionada. Por ello, los privilegios regulatorios inicialmente previstos para pequeñas y medianas empresas se extenderán también a las empresas de mediana capitalización pequeña.
Esto implicará la introducción de documentación técnica simplificada, mediante formularios específicos elaborados por la Comisión Europea, sistemas de gestión de calidad proporcionales al tamaño de la compañía y una consideración especial de la viabilidad económica de las empresas a la hora de imponer posibles sanciones administrativas.
Las instituciones comunitarias defienden que esta reforma permitirá acelerar la innovación europea sin debilitar el marco de supervisión. El objetivo es impedir que únicamente las grandes multinacionales tecnológicas dispongan de capacidad para cumplir con los requisitos regulatorios, favoreciendo así un ecosistema más competitivo y equilibrado dentro del mercado único digital.
Con el nuevo texto legal, la Oficina de IA del Ejecutivo comunitario asumirá mayores poderes de supervisión, centralizando parte del control para evitar la fragmentación normativa dentro del mercado europeo. Tendrá competencia exclusiva sobre aquellos sistemas de IA basados en modelos de propósito general cuando el modelo y el sistema pertenezcan al mismo proveedor.
Además, supervisará la Inteligencia Artificial integrada en plataformas en línea o motores de búsqueda de muy gran tamaño y podrá realizar evaluaciones de conformidad previas a la comercialización para determinados sistemas considerados de alto riesgo. Bruselas busca reforzar así la capacidad ejecutiva comunitaria frente a la creciente complejidad tecnológica del sector.
Sandboxes regulatorios y apoyo a la innovación
La Comisión Europea también quiere facilitar el acceso a espacios controlados de pruebas, conocidos como sandboxes regulatorios, para que los proveedores innovadores puedan experimentar con sus soluciones en condiciones reales antes de su salida definitiva al mercado.
En esta línea se creará un sandbox a escala de la Unión Europea, gestionado directamente por la Oficina de IA y operativo dentro de dos años. El objetivo es ofrecer un entorno seguro de pruebas que permita reducir costes de adaptación normativa y acelerar el desarrollo de tecnologías emergentes europeas.
Del mismo modo, se han eliminado las obligaciones horizontales que imponían a las empresas la formación obligatoria de todo su personal en materia de IA. A partir de ahora, será responsabilidad de la Comisión y de los Estados miembros fomentar la alfabetización digital y tecnológica mediante programas específicos de capacitación y sensibilización.
El procesamiento de datos destinado a detectar y corregir sesgos en sistemas de Inteligencia Artificial estará permitido, aunque sometido a condiciones más estrictas de supervisión y proporcionalidad. Bruselas considera que este punto resulta fundamental para garantizar algoritmos más transparentes y menos discriminatorios.
Además, aquellos proveedores de sistemas en áreas de alto riesgo que consideren que sus herramientas no deben clasificarse como tales —por limitarse a tareas estrechas o procedimentales— ya no estarán obligados a registrarse en la base de datos europea, aunque sí deberán documentar internamente su evaluación y mantenerla a disposición de las autoridades competentes.
Tratamiento y gobernanza de datos
La Comisión Europea también pretendía derogar el Reglamento de Libre Flujo de Datos No Personales, la Ley de Gobernanza de Datos y la Directiva de Datos Abiertos con el objetivo de armonizar normas y simplificar obligaciones jurídicas. En cuanto a la gobernanza de datos y los servicios de intermediación, Bruselas propone varios cambios de calado.
Servicios de intermediación de datos
El régimen obligatorio de notificación para los proveedores de servicios de intermediación de datos se transformará en un sistema de registro voluntario orientado a fomentar la confianza. Asimismo, se reemplazará el requisito de separación legal entre actividades por una separación funcional, permitiendo modelos de negocio más sostenibles y adaptados a la realidad del mercado europeo.
Reutilización de datos del sector público
Las administraciones públicas podrán establecer cargos más elevados o condiciones especiales para la reutilización de datos por parte de empresas muy grandes, especialmente los gatekeepers designados bajo la DMA. El objetivo es proteger la competencia y preservar oportunidades para empresas más pequeñas dentro del ecosistema digital europeo.
“Garantiza la seguridad jurídica y una aplicación más fluida y armonizada de las normas en toda la Unión, reforzando la soberanía digital y la competitividad general de la UE”, afirmó tras la reunión de este miércoles la viceministra de Asuntos Europeos chipriota, Marilena Raouna, quien destacó además que el acuerdo “demuestra claramente la capacidad de las instituciones europeas para actuar con rapidez y cumplir sus compromisos”.
Según la presidencia del Consejo de la Unión Europea, este pacto “representa el primer logro de la hoja de ruta ‘Una Europa, un Mercado’, acordada por las tres instituciones la semana pasada dentro del plazo previsto”.
Unificación de las notificaciones de incidentes
Otro de los pilares de la reforma pasa por la introducción de un punto de entrada único europeo para que las entidades puedan cumplir con sus obligaciones de notificación de incidentes bajo múltiples marcos legales comunitarios.
La filosofía de la Comisión se basa en el principio de “notificar una vez, compartir con muchos”, reduciendo significativamente la carga administrativa y evitando duplicidades regulatorias entre distintas autoridades nacionales y europeas.
De esta forma, la Agencia de la Unión Europea para la Ciberseguridad será la encargada de desarrollar y mantener este sistema centralizado de notificaciones. El mecanismo será obligatorio para incidentes regulados bajo la Directiva NIS2, el GDPR en materia de violaciones de datos, DORA, el Reglamento eIDAS relativo a identidad digital y la Directiva CER sobre resiliencia de servicios esenciales.
En el seno del Ejecutivo comunitario se manejan estimaciones que prevén ahorros de al menos 1.000 millones de euros anuales para las empresas afectadas, además de otros 1.000 millones en costes únicos de adaptación. Bruselas calcula que el impacto agregado de estas medidas podría alcanzar al menos 4.000 millones de euros de ahorro acumulado antes de 2029, reforzando al mismo tiempo la competitividad europea en el ámbito tecnológico y digital.