Bruselas está inmersa en el camino hacia la simplificación regulatoria: la semana pasada el Parlamento Europeo abrió las negociaciones con el Consejo sobre el primer paquete para flexibilizar las exigencias climáticas a las empresas. En esta carrera, está previsto que, este mismo miércoles, la Comisión presente su propuesta de ómnibus digital con el objetivo de mejorar la aplicación del reglamento sobre Inteligencia Artificial.
Está previsto que se incluya la extensión de privilegios regulatorios a pequeñas empresas de mediana capitalización, la centralización de la supervisión de ciertos sistemas de IA en la Oficina de IA (AI Office), y la introducción de períodos de gracia para el cumplimiento de ciertas obligaciones.
El Ejecutivo comunitario defiende que la propuesta busca «aligerar radicalmente la carga regulatoria» para ciudadanos y empresas a la vez que se mantienen los estándares en la promoción de los valores de la Unión. En realidad, lo que abarca es un amplio espectro de legislación digital concentrando las medidas en tres áreas principales: la legislación sobre la IA, la consolidación de las normas sobre datos y ciberseguridad, y la simplificación de los procesos de notificación.
Reglamento de IA (AI Act)
Según fuentes consultadas por Demócrata, se pretende garantizar una implementación proporcionada del Reglamento sobre Inteligencia Artificial, abordando desafíos como el lento nombramiento de autoridades nacionales y la falta de estándares armonizados.
Pequeñas y medianas capitalizaciones. Se extienden los privilegios regulatorios ya otorgados a las Pequeñas y Medianas Empresas (PYME) a las SMCs, incluyendo requisitos simplificados de documentación técnica y una consideración especial en la aplicación de sanciones.
Procesamiento de Datos Sensibles para Corrección de Sesgos. Se permitirá a los proveedores y usuarios de todos los sistemas y modelos de IA procesar excepcionalmente categorías especiales de datos personales (como datos sobre salud u origen étnico) cuando sea necesario para la detección y corrección de sesgos (con salvaguardas apropiadas).
Literacidad en IA. La Comisión y los Estados miembros fomentarán la literacidad en IA, en lugar de imponer una obligación sin especificar a los operadores.
Pruebas en el Mundo Real y Entornos de Pruebas (Sandboxes). El documento apuesta por facilitar un uso más amplio de los entornos de pruebas regulatorios de IA (sandboxes) y las pruebas en el mundo real, incluyendo la facilitación de un sandbox regulatorio de IA a nivel de la UE.
Oversight Centralizada. Con la nueva legislación, se centraliza la supervisión de la IA integrada en plataformas en línea y motores de búsqueda muy grandes (VLOPs y VLOSEs) en la Oficina de IA (AI Office) de la Comisión.
Reducción de Cargas de Registro. Se reduce la carga de registro para los sistemas de IA utilizados en áreas de alto riesgo, pero que el proveedor ha concluido que no son de alto riesgo porque se utilizan solo para tareas limitadas o de procedimiento.
Períodos de Gracia. Como novedad, se introducirá de un período de gracia transitorio de un año para la obligación de «marca de agua» (watermarking) para los sistemas de IA que generan contenido sintético (audio, imagen, video o texto) que fueron comercializados antes de que estas obligaciones fueran aplicables (hasta el 2 de agosto de 2027).
Tratamiento de datos
La Comisión quiere Derogar el Reglamento de Libre Flujo de Datos No Personales, la Ley de Gobernanza de Datos y la Directiva de Datos Abiertos con el objetivo de armonizar normas. En cuanto a la gobernanza de estos datos y los servicios de intermediación se porpondrá:
Servicios de Intermediación de Datos. El régimen obligatorio de notificación para los proveedores de servicios de intermediación de datos se transforma en un régimen de registro voluntario que fomenta la confianza. Se quiere reemplazar el requisito de separación legal por una separación funcional, permitiendo modelos de negocio más sostenibles.
Reutilización de Datos del Sector Público. Se permitirá a los organismos del sector público establecer cargos más altos o condiciones especiales para la reutilización de datos por parte de empresas muy grandes (en particular, los gatekeepers designados bajo el DMA), con el fin de proteger la competencia y las oportunidades para las empresas más pequeñas.
Además, se pretenden añadir clarificaciones sobre el Reglamento General de Protección de Datos. Se prevé que se incluya la clarificación de la definición de dato personal, estableciendo que la información no se considera personal para una entidad determinada si esta no dispone de medios que sea razonablemente probable que utilice para identificar a la persona física.
Esto incluirá fortalecer las salvaguardias contra la divulgación de secretos comerciales a terceros países con marcos legales más débiles, permitiendo al titular del dato negarse a compartirlo si existe un alto riesgo demostrable de adquisición o divulgación ilícita.
Junto con esto, se pretende restringir el ámbito de aplicación de la prohibición de procesamiento de categorías especiales de datos (Art. 9 GDPR) a aquellos datos que revelan directamente información sensible (excepto datos genéticos y biométricos que mantienen su protección específica.
«Cookie banners»
En lo que respecta a la notificación de violaciones de Datos, se alineará el umbral de notificación de violación de datos a la autoridad de control con el umbral de notificación al interesado: solo se requiere si es probable que resulte en un alto riesgo para los derechos del interesado. Además, se ampliará el plazo de notificación a 96 horas.
Así, el Ejecutivo comunitario valora establecer la obligación de que las interfaces en línea respeten las indicaciones automatizadas y legibles por máquina de las elecciones individuales (como la negativa al consentimiento) que los usuarios establezcan a través de estándares (ej. configuración del navegador), aunque se prevén excepciones para los proveedores de servicios de medios de comunicación.
Notificación de incidentes
La idea de la Comisión es introducir un punto de entrada único (SEP) para que las entidades puedan cumplir con sus obligaciones de notificación de incidentes en virtud de múltiples actos legales, bajo el principio de «notificar una vez, compartir con muchos«. Esto reducirá la carga administrativa.
De esta forma, se implementará la Agencia de la UE para Ciberseguridad que desarrollará y mantendrá el punto de entrada único. Este será obligatorio para la notificación de incidentes bajo la Directiva NIS2, el GDPR (violaciones de datos), DORA, el Reglamento eIDAS (identidad digital), y la Directiva CER (Servicios Esenciales).
En el seno del Ejecutivo se trabaja con estimaciones que revén posibles ahorros de al menos 1.000 millones de euros anuales para las empresas afectadas, con un ahorro adicional de 1.000 millones de euros en costes únicos, lo que asciende a un total de al menos 4.000 millones de euros en 3 años (para 2029).