El 19 de noviembre de 2025, la Comisión Europea presentó la propuesta COM(2025) 836, conocida como “Digital Omnibus on AI”, que modifica los Reglamentos (UE) 2024/1689 (Reglamento de Inteligencia Artificial) y (UE) 2018/1139 (aviación civil) con el objetivo de simplificar la aplicación de las normas armonizadas sobre inteligencia artificial.
Contexto y justificación
La propuesta responde a los desafíos identificados durante la implementación del Reglamento de IA, cuyas disposiciones entran en vigor de manera escalonada hasta agosto de 2027. Entre las dificultades detectadas figuran el retraso en la elaboración de normas armonizadas, la tardanza en la designación de autoridades nacionales competentes y organismos de evaluación de la conformidad, así como la ausencia de orientaciones y herramientas de cumplimiento suficientes.
Las consultas realizadas a las partes interesadas —incluyendo una consulta pública, una convocatoria de pruebas, un ejercicio de contraste con la realidad y un panel específico para PYME— han puesto de manifiesto que estas circunstancias generan una carga de cumplimiento superior a la prevista inicialmente, con el consiguiente riesgo de ralentización de la innovación.
Principales modificaciones
Extensión de privilegios regulatorios a las pequeñas empresas de mediana capitalización (SMC)
Se amplían a las SMC determinadas simplificaciones previstas para las PYME, incluyendo requisitos de documentación técnica simplificada, consideración especial en la aplicación de sanciones y la posibilidad de cumplir determinados elementos del sistema de gestión de la calidad de manera simplificada. La propuesta introduce definiciones específicas para PYME y SMC, remitiéndose a las Recomendaciones de la Comisión 2003/361/CE y 2025/1099, respectivamente.
Reformulación de la obligación de alfabetización en IA
Se transforma la obligación impuesta a proveedores y responsables del despliegue en materia de alfabetización en IA (artículo 4) en un mandato dirigido a la Comisión y los Estados miembros para fomentar dicha formación mediante iniciativas no vinculantes, oferta de oportunidades formativas, recursos informativos e intercambio de buenas prácticas. Esta modificación responde a la constatación de que una solución única no resulta adecuada para todos los tipos de proveedores y responsables del despliegue, y de que la obligación genera una carga de cumplimiento desproporcionada, especialmente para las empresas de menor tamaño. Las obligaciones formativas específicas para responsables del despliegue de sistemas de alto riesgo permanecen inalteradas.
Tratamiento de categorías especiales de datos personales para la detección y mitigación de sesgos
Se introduce un nuevo artículo 4 bis en el Capítulo I del Reglamento que establece una base jurídica para el tratamiento excepcional de categorías especiales de datos personales con fines de detección y corrección de sesgos.
La propuesta reconoce que la detección y corrección de sesgos constituye un interés público sustancial, dado que protege a las personas físicas de los efectos adversos de los sesgos, incluida la discriminación. El Reglamento de IA ya contemplaba una base jurídica para este tratamiento respecto de los sistemas de alto riesgo (artículo 10, apartado 5, que se suprime), pero la discriminación puede derivarse también de otros sistemas y modelos de IA no clasificados como de alto riesgo.
El apartado 1 del nuevo artículo habilita a los proveedores de sistemas de IA de alto riesgo para tratar excepcionalmente estas categorías de datos en la medida necesaria para garantizar la detección y corrección de sesgos, de conformidad con el artículo 10, apartado 2, letras f) y g). Este tratamiento queda sujeto a las salvaguardias establecidas en el RGPD, el Reglamento (UE) 2018/1725 y la Directiva (UE) 2016/680, según proceda, debiendo cumplirse además condiciones acumulativas relativas a la necesidad y subsidiariedad del tratamiento, limitaciones técnicas a la reutilización de datos, medidas de seguridad conformes al estado de la técnica (incluida la seudonimización), control de acceso reforzado con documentación, prohibición de transferencia a terceros, supresión obligatoria tras la corrección del sesgo o el fin del período de conservación, y documentación justificativa en el registro de actividades de tratamiento.
El apartado 2 extiende esta habilitación, cuando resulte necesario y proporcionado, a proveedores y responsables del despliegue de otros sistemas de IA no clasificados como de alto riesgo, proveedores de modelos de IA y responsables del despliegue de sistemas de alto riesgo, siempre que se cumplan las salvaguardias del apartado 1.
Esta disposición se fundamenta en el artículo 9, apartado 2, letra g), del RGPD (tratamiento necesario por razones de interés público esencial), el artículo 10, apartado 2, letra g), del Reglamento (UE) 2018/1725 y el artículo 10, letra a), de la Directiva (UE) 2016/680.
Flexibilización del calendario de aplicación
Se vincula la entrada en vigor de las obligaciones relativas a sistemas de IA de alto riesgo (Capítulo III, Secciones 1, 2 y 3) a la disponibilidad de medidas de apoyo al cumplimiento, tales como normas armonizadas, especificaciones comunes y directrices de la Comisión. Dicha disponibilidad será confirmada mediante decisión de la Comisión, tras la cual las obligaciones comenzarán a aplicarse en los siguientes plazos:
- Seis meses después de la adopción de la decisión para sistemas clasificados como de alto riesgo conforme al artículo 6, apartado 2, y el Anexo III.
- Doce meses después de la adopción de la decisión para sistemas clasificados como de alto riesgo conforme al artículo 6, apartado 1, y el Anexo I.
En ausencia de decisión de la Comisión, o cuando las fechas resultantes sean posteriores a los límites máximos establecidos, las normas se aplicarán como máximo el 2 de diciembre de 2027 para sistemas del Anexo III y el 2 de agosto de 2028 para los cubiertos por el Anexo I.
Centralización de la supervisión en la Oficina de IA
Se refuerza la competencia exclusiva de la Oficina de IA para la supervisión y ejecución respecto de sistemas de IA basados en modelos de IA de propósito general cuando el modelo y el sistema sean desarrollados por el mismo proveedor, excluyendo los sistemas relacionados con productos cubiertos por la legislación de armonización de la Unión del Anexo I. Asimismo, la Oficina de IA asume competencia exclusiva sobre los sistemas de IA que constituyan o estén integrados en plataformas en línea de muy gran tamaño o motores de búsqueda de muy gran tamaño en el sentido del Reglamento (UE) 2022/2065 (Reglamento de Servicios Digitales).
La propuesta habilita a la Comisión para adoptar un acto de ejecución que defina los poderes de ejecución y los procedimientos de la Oficina de IA, incluida la capacidad de imponer sanciones conforme a los límites del artículo 99. Las garantías procedimentales del artículo 18 del Reglamento (UE) 2019/1020 se aplicarán mutatis mutandis.
Sandboxes regulatorios y pruebas en condiciones reales
Se habilita a la Oficina de IA para establecer un sandbox regulatorio a escala de la Unión para sistemas de IA comprendidos en el ámbito del artículo 75, apartado 1, que deberá implementarse en estrecha cooperación con las autoridades competentes pertinentes y proporcionar acceso prioritario a las PYME.
Se amplía el ámbito de las pruebas en condiciones reales fuera de los sandboxes regulatorios, actualmente aplicable solo a sistemas de alto riesgo del Anexo III, para incluir también los sistemas cubiertos por la legislación de armonización de la Unión del Anexo I, Sección A. Para los sistemas cubiertos por la Sección B del Anexo I, se introduce la posibilidad de celebrar acuerdos voluntarios entre los Estados miembros interesados y la Comisión.
Simplificación procedimental
Se eliminan determinadas habilitaciones a la Comisión para adoptar actos de ejecución en los artículos 50, apartado 7 (códigos de práctica sobre marcado de contenidos generados por IA), 56, apartado 6 (códigos de práctica para modelos de IA de propósito general) y 72, apartado 3 (plan de vigilancia poscomercialización), sustituyéndose por orientaciones. La supresión del modelo armonizado de plan de vigilancia poscomercialización pretende ofrecer mayor flexibilidad a los proveedores para adaptar dicho sistema a su organización.
Se simplifican los procedimientos de designación de organismos notificados, estableciéndose la posibilidad de presentar una solicitud única y someterse a un procedimiento de evaluación único para organismos que soliciten la designación tanto conforme al Reglamento de IA como a la legislación de armonización de la Unión del Anexo I, Sección A.
Se suprime la obligación de registro en la base de datos de la UE para sistemas de IA respecto de los cuales el proveedor haya concluido, conforme al artículo 6, apartado 3, que no son de alto riesgo por utilizarse únicamente para tareas limitadas o procedimentales.
Se introduce un nuevo Anexo XIV que establece códigos, categorías y tipos correspondientes de sistemas de IA para el sistema NANDO de la Comisión, a efectos de especificar el alcance de la designación de los organismos notificados.
Disposiciones transitorias
Se introduce un período transitorio de seis meses para que los proveedores de sistemas de IA generativa que hubieran comercializado sus sistemas antes del 2 de agosto de 2026 adapten sus prácticas a las obligaciones de marcado del artículo 50, apartado 2.
Se clarifica la aplicación del período de gracia del artículo 111, apartado 2, estableciendo que si al menos una unidad individual de un tipo y modelo de sistema de IA de alto riesgo fue comercializada lícitamente antes de la fecha de aplicación, otras unidades del mismo tipo y modelo podrán seguir comercializándose sin obligaciones adicionales mientras el diseño permanezca inalterado.
Modificaciones al Reglamento de aviación civil
Se introducen correcciones técnicas en el Reglamento (UE) 2018/1139 para garantizar que los requisitos obligatorios para sistemas de IA de alto riesgo del Reglamento de IA sean plenamente considerados en la adopción de actos delegados y de ejecución relativos a sistemas de IA que constituyan componentes de seguridad en el ámbito de la aviación civil.
Directrices complementarias anunciadas
Junto a las medidas legislativas, la Comisión anuncia la elaboración de diversas directrices, entre las que figuran orientaciones sobre la aplicación práctica de la clasificación de alto riesgo, los requisitos de transparencia del artículo 50, la notificación de incidentes graves, los requisitos para sistemas de alto riesgo, las obligaciones de proveedores y responsables del despliegue, la evaluación de impacto en derechos fundamentales, las responsabilidades a lo largo de la cadena de valor, la modificación sustancial, la vigilancia poscomercialización, los elementos del sistema de gestión de la calidad simplificable para PYME y SMC, y la interacción del Reglamento de IA con otras normas de la Unión (protección de datos, ciberresiliencia, maquinaria).
Tramitación
La propuesta sigue el procedimiento legislativo ordinario conforme al artículo 114 del TFUE y entrará en vigor a los tres días de su publicación en el Diario Oficial de la Unión Europea.
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-ai-regulation-proposal