Paquete "Omnibus" del AI Act: alcance, riesgos y consecuencias para la protección de derechos

 




Paquete "Omnibus" del AI Act: alcance, riesgos y consecuencias para la protección de derechos

Santiago Carretero Sanchez, Profesor Titular de Filosofía del Derecho, Universidad Rey Juan Carlos 

Resumen. Exposición analítica y crítica del paquete de simplificación normativa (denominado en la presente entrada “paquete omnibus”) que propone la Comisión Europea para modular la aplicación del AI Act y reglas conexas —especialmente en materia de tratamiento de datos personales—. Se describen las modificaciones más relevantes, su efecto sobre los sistemas clasificados como de alto riesgo, las implicaciones para el cumplimiento en España y los riesgos para derechos fundamentales; se concluye con propuestas doctrinales de ajuste normativo y operativo.

1. Contexto normativo y objetivo del análisis

El presente análisis parte de las comunicaciones y propuestas hechas públicas por la Comisión Europea en noviembre de 2025 relativas a un paquete de simplificación regulatoria que afecta el AI Act y, subsidiariamente, el régimen de protección de datos (GDPR). El objetivo es: (i) identificar las modificaciones concretas propuestas; (ii) evaluar su incidencia jurídica sobre los sistemas de alto riesgo; (iii) valorar los riesgos de erosión de las garantías de derechos fundamentales; y (iv) formular propuestas doctrinales y operativas orientadas a limitar efectos adversos sin negar la necesidad de competitividad tecnológica.

2. Descripción técnica del paquete "omnibus"

Resumen de medidas relevantes:

  • Propuesta de diferir la aplicación de determinadas obligaciones para sistemas de alto riesgo hasta diciembre de 2027.
  • Iniciativas para permitir, en determinados supuestos, el uso de datos personales para entrenar modelos de IA sobre la base del interés legítimo, con criterios simplificados de evaluación de impacto.
  • Conversión de ciertas obligaciones prescriptivas en requisitos más flexibles o en medidas de carácter voluntario para determinados actores.
  • Propuestas de simplificación procedimental para certificaciones y evaluación de conformidad, mediante una mayor delegación a autoridades y organismos de certificación privados.

Técnicamente, el paquete no implica la supresión del AI Act, sino la modificación de su calendario de aplicación y de los requisitos operativos para la mitigación de riesgos. Desde la perspectiva del Derecho administrativo y del Derecho de la Unión, estas medidas pueden articularse mediante actos delegados o reglamentarios que modifiquen anexos o plazos del texto base.

3. Efectos jurídicos directos sobre los sistemas de “alto riesgo”

Los sistemas catalogados como “alto riesgo” según el AI Act (por ejemplo: sistemas de selección de personal automatizada, sistemas de valoración crediticia automatizada que condicionan acceso a servicios, sistemas de identificación biométrica en espacios públicos) quedarían afectados en dos vectores claves:

  1. Temporalidad: el aplazamiento de obligaciones operativas (como la obligación de realizar pruebas de evaluación de impacto específicas, requisitos de documentación técnica y medidas de gobernanza) reduce el margen temporal para que organismos y operadores implementen controles efectivos.
  2. Materialidad: la flexibilización de bases legales para tratamiento de datos implica que conjuntos de datos personales pueden incorporarse a procesos de entrenamiento sin un consentimiento explícito cuando exista un interés legítimo declarado, atenuando el estándar de protección.

En términos prácticos, esto puede provocar que el cumplimiento real sea diferido y que las medidas de mitigación de sesgos, transparencia y trazabilidad técnicas se aplacen o reduzcan en su robustez documental y operativa.

4. Relación con el GDPR y la base jurídica del tratamiento

La propuesta de permitir entrenamientos sobre la base del interés legítimo contiene, desde la óptica jurídico-técnica, dos problemas:

  • Evaluación de proporcionalidad y ponderación: el interés legítimo exige una ponderación entre el interés del responsable y los derechos del interesado; convertirlo en una norma de uso genérico para entrenamiento de modelos corre el riesgo de reducir la exigencia probatoria y de documentación.
  • Transparencia y expectativas razonables: los interesados difícilmente pueden comprender usos secundarios complejos como el entrenamiento de modelos generativos; sin medidas de transparencia reforzada, la base legítima podría convertirse en una puerta trasera para el uso masivo de datos.

Legalmente, la solución requiere criterios operativos y exigibles de evaluación de impacto (DPIA) y limitaciones técnicas (por ejemplo: minimización, seudonimización robusta, retención limitada) integrados en el AI Act como requisitos de cumplimiento vinculante.

5. Impacto en España: administración, empresas y jurisdicción

En España, la Agencia Española de Protección de Datos (AEPD) y otros órganos sectoriales deberán articular guías concretas y, eventualmente, procedimientos sancionadores. Dos escenarios son plausibles:

  • Si la UE insiste en diferenciación de plazos, la AEPD podría emitir criterios nacionales que exijan a los responsables medidas compensatorias inmediatas (p. ej., registros técnicos de decisiones automatizadas) con carácter preceptivo.
  • Si el paquete permite mayor discrecionalidad a sujetos privados, España verá un aumento de litigios estratégicos (actio popularis, recursos contencioso-administrativos) y reclamaciones individuales por vulneraciones de derechos.

Los tribunales españoles y europeos tendrán que interpretar la nueva relación normativa entre AI Act y GDPR cuando casos concretos lleguen a instancia judicial, con especial atención al principio de eficacia del Derecho de la Unión.

6. Riesgos para derechos fundamentales y litigios predecibles

Desde la perspectiva del Derecho fundamental, se identifican riesgos en:

  • Privacidad y protección de datos: ampliación de tratamientos sin consentimiento explícito.
  • Igualdad y no discriminación: aplazamiento de evaluaciones de sesgo puede incrementar decisiones algorítmicas injustas.
  • Transparencia y tutela judicial efectiva: reducción de obligaciones de documentación técnica afectará la posibilidad de control judicial y de ex post auditabilidad.

Predecimos un incremento de litigios estratégicos ante tribunales nacionales y del TJUE, centrados en la interpretación del alcance del interés legítimo, la obligación de DPIA y la compatibilidad de medidas nacionales con la normativa europea modificada.

7. Propuestas doctrinales (redactadas en párrafos continuos)

Es imprescindible que cualquier medida de flexibilización vaya acompañada de criterios operativos concretos y obligatorios: las bases legales basadas en interés legítimo para el entrenamiento de IA deben exigirse mediante una lista cerrada de supuestos y una obligación de justificación pública y específica del balance de intereses; sin esa documentación pública y verificable, la flexibilidad normativa se traducirá en inseguridad jurídica y pérdida de protección efectiva.

Las disposiciones aplazadas respecto de sistemas de alto riesgo deberían reemplazarse por obligaciones transitorias y proporcionales: en vez de aplazar, imponer medidas mínimas inmediatas (por ejemplo, pruebas de mitigación de sesgos, registro técnico de decisiones y conservación de logs) que permitan una gobernanza preventiva y una trazabilidad suficiente para la supervisión administrativa y judicial.

Se recomienda la creación, a nivel de la UE, de un panel técnico-jurídico permanente (combinado por expertos en ingeniería de datos, compliance y Derecho fundamental) encargado de emitir guías vinculantes sobre la aplicación del interés legítimo en contextos de IA y de validar metodologías de DPIA específicas para modelos de aprendizaje automático.

Finalmente, propongo que España promueva una estrategia normativa de “seguridad jurídica reforzada”: normas nacionales que exijan requisitos mínimos de transparencia y medidas técnicas (seudonimización, limitación de retención, auditorías independientes) aunque la UE flexibilice plazos, de manera que el derecho de los ciudadanos a la protección de datos y a la no discriminación quede preservado en la práctica.

8. Conclusión

El paquete "omnibus" del AI Act abre una etapa de tensión entre la necesidad de competitividad y la protección de derechos. La clave jurídica es convertir la flexibilización en un marco operativo con salvaguardias obligatorias y transparentes. Si no se exige documentación pública, criterios de proporcionalidad y medidas transitorias obligatorias, la llamada simplificación normativa podría convertirse en una reducción efectiva de garantías, con consecuencias regulatorias y judiciales previsibles.

Fuentes y lectura recomendada (selección):
  • Documentos oficiales de la Comisión Europea (comunicaciones y propuestas, noviembre 2025).
  • Reglamento (UE) 2021/0106 (AI Act) y Reglamento (UE) 2016/679 (GDPR).
  • Informes y análisis doctrinales sobre evaluación de impacto de la AEPD y del Comité Europeo de Protección de Datos.

Contacto: carreteroabogados111@gmail.com — Blog: blogdelaiaactual.blogspot.com

Comentarios

Publicar un comentario

Entradas populares de este blog

ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS)

  🧷 ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS) Por Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado       1. Encabezamiento Órgano judicial : Ilmo./a. Sr./Sra. Letrado/a de la Administración de Justicia del Juzgado de [Primera Instancia] nº ___ de [localidad]. Parte compareciente : D./D.ª [Nombre del letrado/a del solicitante], en nombre y representación de [cliente], conforme a poder/apoderamiento (notarial o apud acta) que se acompaña/se encuentra ya incorporado. Procedimiento : Indicar si es escrito autónomo previo a demanda o subsanación de requerimiento judicial (art. 438.1 LEC). 2. Exposición de antecedentes y hechos relevantes Breve reseña del conflicto : Detallar la controversia con hechos jurídicamente relevantes. Indicación de la voluntad de acudir a MASC : Expresar que, antes de iniciar/reanudar el procedimiento jud...
Leer más

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

Resumen de la Ley Orgánica 1/2025: mi nuevo resumen para comprender lo que va a pasar ( si es posible)

  Autor: Santiago Carretero Sánchez, Profesor Titular de la URJC El 3 de abril de 2025 entró en vigor la Ley Orgánica 1/2025, que establece la obligatoriedad de intentar un Mecanismo Alternativo de Solución de Conflictos (MASC) antes de interponer una demanda en el ámbito civil o mercantil. El Consejo General de la Abogacía Española (CGAE) ha publicado una guía para facilitar la comprensión y aplicación de esta nueva exigencia legal. ¿Qué son los MASC? La Ley Orgánica 1/2025 define los MASC de forma abierta como cualquier actividad negociadora para resolver un conflicto. Entre los MASC reconocidos se incluyen: - Mediación - Conciliación (pública o privada) - Negociación directa entre las partes - Oferta vinculante confidencial - Opinión de persona experta independiente - Derecho Colaborativo o Abogacía Colaborativa Ámbitos de aplicación y exclusiones La obligación de intentar una solución extrajudicial se aplica a todos los procesos declarativos y especiales regula...
Leer más