Digital Omnibus sobre IA: qué cambia en Europa y qué implica para tu empresa

TL;DR. El Digital Omnibus sobre IA no elimina el Reglamento europeo de IA ni deja a las empresas sin obligaciones. Lo que hace es ajustar plazos, reducir duplicidades y aclarar varios puntos que estaban generando incertidumbre: formación interna, sistemas de alto riesgo, documentación técnica, pymes, pruebas en entornos reales, contenido sintético y supervisión de la Oficina de IA. Para una empresa española, la lectura práctica es sencilla: hay más margen para prepararse, pero no conviene esperar a 2027 o 2028 para ordenar inventario, proveedores, datos y reglas internas de uso.
Europa ha cerrado el texto del Digital Omnibus sobre IA, un reglamento de simplificación que modificará el Reglamento (UE) 2024/1689, más conocido como Reglamento europeo de IA o AI Act. El documento PE-CONS 30/26 está acordado por Parlamento y Consejo y, a la fecha de este análisis, pendiente de publicación en el Diario Oficial de la Unión Europea. Entrará en vigor tres días después de esa publicación.
El titular fácil sería decir que Bruselas “rebaja” la regulación. Pero esa lectura se queda corta. El texto no desmonta el Reglamento de IA. Lo retoca para que sea más aplicable: cambia algunas fechas, evita solapamientos con normativa sectorial, introduce formularios simplificados para pymes y aclara obligaciones que podían acabar siendo demasiado rígidas para empresas pequeñas.
La parte importante no es el debate político. Es qué significa esto para una pyme, una consultora, una empresa que usa modelos generativos en su día a día o un proveedor que empieza a construir soluciones con inteligencia artificial. No es asesoramiento jurídico: es una lectura práctica para ayudarte a decidir qué deberías revisar en tu empresa.
Qué es el Digital Omnibus sobre IA
El Digital Omnibus sobre IA es un reglamento modificativo. Su objetivo declarado es simplificar la aplicación de normas armonizadas en materia de inteligencia artificial sin rebajar el nivel de protección de la salud, la seguridad y los derechos fundamentales.
El propio texto explica el motivo: la aplicación del Reglamento de IA se estaba encontrando con retrasos en normas técnicas, marcos de gobernanza, evaluación de conformidad y autoridades nacionales. Si las obligaciones entraban en vigor sin esos apoyos, la carga para empresas y administraciones podía ser mayor de la prevista.
Por eso el Omnibus toca tres normas principales:
- Reglamento (UE) 2024/1689, el Reglamento de IA.
- Reglamento (UE) 2018/1139, sobre seguridad aérea.
- Reglamento (UE) 2023/1230, sobre máquinas.
La idea de fondo es clara: cuando un sistema de IA ya entra en una normativa sectorial exigente, la UE quiere evitar que la empresa tenga que cumplir dos veces obligaciones equivalentes. A la vez, mantiene controles para los usos de alto riesgo, contenido sintético y prácticas prohibidas.
Las fechas que cambian
La parte más visible del texto es el calendario. Ojo con un matiz: el reglamento entra en vigor tres días después de su publicación en el Diario Oficial de la Unión Europea. Algunas fechas son fijas y otras dependen de esa publicación.
| Fecha | Qué pasa | Lectura práctica |
|---|---|---|
| 3 días tras publicación en DOUE | Entrada en vigor del Digital Omnibus. También pasan a aplicarse los artículos 102 a 110 del Reglamento de IA. | No esperes a tener todo cerrado: empieza inventario y revisión de proveedores. |
| 2 de diciembre de 2026 | Aplican las nuevas prohibiciones sobre determinados contenidos íntimos no consentidos y material de abuso sexual infantil generado o manipulado con IA. Los sistemas ya en mercado antes del 2 de agosto de 2026 que generen contenido sintético de audio, imagen, vídeo o texto deben cumplir el marcado del artículo 50.2. | Si generas o integras contenido sintético, revisa marcado, filtros, consentimiento y mecanismos de abuso. |
| 2 de agosto de 2027 | Los Estados miembros deben tener operativo al menos un espacio controlado de pruebas para IA. La Comisión debe adoptar actos delegados sobre limitaciones de duplicidades para ciertos sistemas de alto riesgo. | Puede abrirse una vía útil para pilotos regulados, especialmente para pymes y startups. |
| 2 de septiembre de 2027 | La Comisión debe publicar orientaciones y un modelo sobre el plan de vigilancia poscomercialización. | Los proveedores de alto riesgo tendrán más guía para documentar seguimiento tras el despliegue. |
| 2 de diciembre de 2027 | Aplican las obligaciones de alto riesgo del capítulo III, secciones 1, 2 y 3, para sistemas clasificados por el artículo 6.2 y el anexo III. | Afecta a usos como empleo, educación, acceso a servicios esenciales, ciertos usos biométricos o justicia, según el caso. |
| 2 de agosto de 2028 | Aplican las obligaciones equivalentes para sistemas de alto riesgo ligados al artículo 6.1 y anexo I, es decir, productos regulados por normativa sectorial. | Más margen para productos regulados, máquinas, seguridad y sectores con evaluación de conformidad. |
| 2 de agosto de 2030 | Fecha límite para que proveedores y responsables del despliegue cumplan requisitos en sistemas de alto riesgo destinados a autoridades públicas, cuando entran en el régimen transitorio previsto. | Importante para administraciones y proveedores del sector público. |
La consecuencia práctica es que muchas obligaciones de alto riesgo se desplazan respecto al calendario inicial. Pero esto no significa “barra libre” hasta 2027 o 2028. Significa que hay más tiempo para prepararse bien.
Qué se simplifica y qué no
El Digital Omnibus no cambia la filosofía del Reglamento de IA. Sigue habiendo una lógica basada en riesgo: usos prohibidos, sistemas de alto riesgo, obligaciones de transparencia, obligaciones para modelos de uso general y reglas de gobernanza.
Lo que sí cambia es el modo de aterrizar algunas obligaciones. La UE reconoce que, sin normas armonizadas, guías y autoridades listas, exigir todo a la vez podía producir tres problemas:
- Duplicidad: empresas cumpliendo requisitos parecidos bajo dos marcos distintos.
- Incertidumbre: proveedores sin saber cómo demostrar cumplimiento de forma aceptable.
- Carga desproporcionada: pymes con obligaciones diseñadas en la práctica para estructuras mucho más grandes.
El mensaje útil para empresas es este: no tienes que montar un departamento jurídico de una multinacional para empezar a usar IA con criterio, pero sí necesitas una base mínima de control.
1. Alfabetización en IA: obligación más realista
El artículo 4 del Reglamento de IA ya obligaba a proveedores y responsables del despliegue a garantizar alfabetización en materia de IA. El Omnibus suaviza esa redacción.
Ahora el texto dice que proveedores y responsables del despliegue deben adoptar medidas para apoyar el desarrollo de la alfabetización en IA de su personal y de las personas que usen sistemas en su nombre. Además, aclara que esta obligación no exige garantizar un nivel específico de alfabetización en una persona concreta.
Traducido a empresa: no basta con decir “cada uno que use ChatGPT como pueda”, pero tampoco se exige que todo el equipo tenga una certificación avanzada. Lo razonable es tener:
- normas internas claras sobre qué herramientas se pueden usar;
- formación básica adaptada a cada rol;
- criterios sobre datos que no deben introducirse en sistemas no aprobados;
- supervisión humana cuando se generen textos, decisiones o automatizaciones sensibles;
- un canal claro para reportar errores, dudas o usos no previstos.
Para muchas pymes, este punto es el más urgente y el más fácil de resolver. No requiere comprar una plataforma nueva. Requiere orden, formación y una política de uso que el equipo entienda. Si el bloqueo está en capacitar al equipo, puede encajar una formación práctica de IA para empresas.
2. Sistemas de alto riesgo: menos automatismo y menos duplicidad
Uno de los cambios más relevantes está en la clasificación de sistemas de alto riesgo, especialmente cuando una IA está integrada en productos regulados.
El texto aclara que no todo sistema integrado en un producto regulado se convierte automáticamente en un componente de seguridad. Si una IA se usa solo para aspectos no relacionados con la seguridad, como asistencia al usuario, optimización del rendimiento, eficiencia del servicio, automatización, comodidad o control de calidad, no se considerará componente de seguridad por ese único motivo.
La frase clave es el matiz: si el fallo o defecto de funcionamiento puede poner en peligro la salud y la seguridad, entonces sí puede considerarse componente de seguridad.
Esto importa mucho para fabricantes, software industrial, máquinas, productos conectados y soluciones que se integran en sectores regulados. La UE intenta evitar que una función de apoyo quede sobrerregulada, pero mantiene el foco cuando hay impacto real en seguridad.
También se abre la puerta a limitar requisitos del Reglamento de IA cuando la normativa sectorial ya ofrece una protección equivalente o superior. La Comisión deberá concretar esos casos mediante actos delegados antes del 2 de agosto de 2027.
3. Más apoyo para pymes y pequeñas mid-caps
El texto introduce definiciones de pyme y de “pequeña empresa de mediana capitalización”, y extiende varias medidas de proporcionalidad.
Hay tres cambios especialmente prácticos:
- Documentación técnica simplificada. Las pymes, startups y pequeñas mid-caps podrán presentar ciertos elementos de documentación técnica de sistemas de alto riesgo mediante un formulario simplificado que deberá preparar la Comisión.
- Sistema de gestión de calidad simplificado. Las pymes podrán cumplir algunos elementos del sistema de gestión de calidad de forma simplificada, sin rebajar el nivel de protección exigido.
- Sanciones más proporcionales. Al imponer sanciones, los Estados miembros deberán tener en cuenta los intereses, necesidades y viabilidad económica de pymes, startups y pequeñas mid-caps.
Esto no elimina obligaciones. Evita que la forma de cumplirlas sea inviable para una empresa pequeña.
Si eres una pyme que solo usa herramientas de IA para redactar, resumir, atender consultas o automatizar tareas internas, probablemente tu prioridad no sea la documentación de alto riesgo. Tu prioridad será inventario, política de uso, contratos con proveedores y protección de datos. Si además desarrollas o vendes sistemas que puedan entrar en alto riesgo, entonces sí conviene empezar a preparar documentación desde ahora, idealmente con una consultoría de IA que aterrice riesgos, datos y responsabilidades antes de construir.
4. Nuevas prohibiciones: deepfakes íntimos y abuso sexual infantil
El Omnibus añade nuevas prohibiciones al artículo 5 del Reglamento de IA. En concreto, prohíbe introducir en el mercado, poner en servicio o utilizar sistemas de IA que generen o manipulen imágenes, vídeos, audios o material similar realista de partes íntimas o actividades sexualmente explícitas de una persona identificable sin su consentimiento libre, específico, informado, inequívoco y explícito.
También se prohíben sistemas que generen o manipulen material de abuso sexual infantil en el sentido de la Directiva 2011/93/UE.
El texto no se limita al usuario que hace mal uso de una herramienta. También mira al proveedor cuando el sistema está diseñado para ese fin, o cuando esa generación sea razonablemente previsible y reproducible y no existan medidas técnicas razonables para prevenirla o corregir abusos.
Para empresas que crean productos generativos, esto no es un detalle reputacional. Es una obligación de diseño: filtros, medidas antiabuso, reporting, corrección de elusiones conocidas, controles de salida y, cuando proceda, mecanismos fiables para demostrar consentimiento.
5. Contenido sintético: marcado y transparencia
El texto introduce un período transitorio para proveedores de sistemas que generan contenido sintético de audio, imagen, vídeo o texto y que ya estaban en el mercado antes del 2 de agosto de 2026. Esos proveedores deberán cumplir el artículo 50.2 a más tardar el 2 de diciembre de 2026.
En la práctica, hablamos de obligaciones relacionadas con detección, marcado y etiquetado de contenido generado o manipulado artificialmente.
Para una empresa normal que usa IA generativa para marketing, blog, imágenes o vídeos, la pregunta no es solo “¿queda bonito?”. La pregunta es: ¿tenemos una política clara para identificar qué se ha generado con IA, cuándo hay que etiquetarlo, qué materiales no se pueden manipular y quién valida antes de publicar?
En Aimoova lo vemos cada semana con contenido, imágenes y automatizaciones: la transparencia no tiene por qué ser un freno. Bien planteada, evita problemas y aumenta confianza, especialmente en proyectos de marketing con IA o contenidos generados con herramientas visuales.
6. Sandboxes y pruebas en condiciones reales
El Omnibus refuerza los espacios controlados de pruebas para IA. Los Estados miembros deberán tener al menos uno operativo a escala nacional a más tardar el 2 de agosto de 2027, y la Oficina de IA podrá establecer un espacio controlado a escala de la Unión para ciertos sistemas bajo su competencia.
Además, el texto da acceso prioritario a pymes, startups y pequeñas mid-caps en los espacios creados por la Oficina de IA.
Esto es relevante porque muchas soluciones serias no se pueden validar solo en laboratorio. Necesitan pruebas en condiciones reales, con supervisión, garantías y un plan acordado. La novedad no es “probar sin control”, sino probar con un marco más claro.
7. Más poder para la Oficina de IA
El Digital Omnibus también aclara y refuerza el papel de la Oficina Europea de Inteligencia Artificial.
La Oficina de IA tendrá competencia exclusiva sobre determinados sistemas basados en modelos de IA de uso general cuando el modelo y el sistema sean desarrollados por el mismo proveedor o por proveedores de la misma empresa. También sobre sistemas de IA que constituyan o estén integrados en plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño bajo el Reglamento de Servicios Digitales.
El texto le otorga poderes de supervisión y control del cumplimiento: solicitar información, ordenar acceso a sistemas y explicaciones, realizar inspecciones, aceptar compromisos vinculantes e imponer sanciones o multas coercitivas en los casos previstos.
Para una pyme usuaria, esto queda lejos en el día a día. Para proveedores grandes, plataformas y desarrolladores de sistemas basados en modelos de uso general, no tanto. Y para cualquier empresa que compre soluciones de IA, el mensaje es indirecto pero importante: la trazabilidad y la documentación del proveedor van a pesar más.
Qué debería hacer ahora una empresa española
El error sería leer el aplazamiento de fechas como una excusa para no hacer nada. El mejor momento para ordenar el uso de IA en una empresa es antes de que tengas una incidencia, no después.
Un plan razonable para los próximos 30 días sería este:
- Haz inventario. Lista qué herramientas de IA usa el equipo: ChatGPT, Copilot, Gemini, Claude, herramientas de diseño, transcripción, atención al cliente, automatización o CRM.
- Clasifica usos. Separa usos internos de bajo riesgo, usos con datos personales, usos con decisiones relevantes y usos que podrían acercarse a alto riesgo.
- Revisa datos. Define qué datos no pueden introducirse en herramientas no aprobadas: clientes, salud, menores, nóminas, contratos, datos financieros, expedientes o información confidencial.
- Actualiza proveedores. Comprueba contratos, ubicación del tratamiento, uso de datos para entrenamiento, retención y subencargados.
- Forma al equipo. No hace falta una universidad interna. Sí hace falta una sesión clara, ejemplos reales y una política que se entienda.
- Documenta los pilotos. Si vas a automatizar un proceso, deja por escrito objetivo, datos usados, responsable, supervisión humana y criterio de éxito. Para procesos repetitivos, revisa también el enfoque de automatizaciones con IA.
- Prepara transparencia. Si generas contenido sintético, decide cuándo etiquetarlo y quién aprueba antes de publicar.
La mayoría de empresas no necesita empezar por un proyecto enorme de cumplimiento. Necesita orden operativo. Después ya vendrán las evaluaciones más técnicas si el caso de uso lo exige.
¿Quieres aterrizarlo en tu empresa? En el diagnóstico de IA gratuito de Aimoova revisamos qué usos de IA tienes ya en marcha, cuáles son razonables y qué primeros controles conviene poner sin complicarte la vida.
Preguntas frecuentes
¿El Digital Omnibus elimina obligaciones del Reglamento europeo de IA?
No. Ajusta plazos, simplifica algunos mecanismos y reduce duplicidades, pero mantiene la lógica de riesgo del Reglamento de IA: prácticas prohibidas, obligaciones para alto riesgo, transparencia, gobernanza y supervisión.
¿Significa que las empresas pueden esperar hasta 2027 o 2028?
No conviene. Algunas obligaciones de alto riesgo se desplazan, pero otras reglas siguen avanzando y la preparación interna lleva tiempo: inventario de herramientas, política de uso, proveedores, protección de datos, formación y supervisión humana.
¿Afecta a una pyme que solo usa ChatGPT o herramientas similares?
Puede afectarle de forma indirecta. Si el uso es interno y de bajo riesgo, lo más importante será gestionar datos, proveedores, formación y transparencia. Si la empresa desarrolla o despliega sistemas en sectores sensibles o con impacto en derechos, el análisis debe ser más profundo.
¿Qué cambia para los sistemas de alto riesgo?
Se aplazan ciertas fechas de aplicación y se aclara la clasificación de componentes de seguridad. También se prevén formularios y sistemas de gestión simplificados para pymes, además de menos duplicidades cuando otra normativa sectorial ya ofrezca protección equivalente.
¿Qué debería revisar primero una empresa?
Empieza por inventario y datos. Saber qué herramientas se usan, con qué información, para qué tareas y con qué supervisión es más útil que comprar una herramienta nueva. Después revisa proveedores, política interna, formación y pilotos documentados.
Fuentes: Consejo de la Unión Europea, PE-CONS 30/26, Digital Omnibus sobre IA; Reglamento (UE) 2024/1689, Reglamento de Inteligencia Artificial; Reglamento (UE) 2016/679, RGPD; Reglamento (UE) 2023/1230, máquinas; Reglamento (UE) 2022/2065, Servicios Digitales.
Análisis del equipo de Aimoova.