Impacto del Ómnibus digital sobre IA y encaje con el Proyecto de Ley Orgánica español.
- hace 1 día
- 9 min de lectura

1. Resumen del documento definitivo aprobado del Ómnibus digital sobre IA
1.1. Finalidad y alcance
El Ómnibus digital sobre IA modifica el Reglamento (UE) 2024/1689 de Inteligencia Artificial y otros reglamentos sectoriales con una finalidad principal: simplificar la aplicación del marco europeo de IA, reducir cargas administrativas y evitar solapamientos con legislación sectorial.
El propio texto se presenta como un reglamento “por el que se modifican” el Reglamento de IA, el Reglamento (UE) 2018/1139 y el Reglamento (UE) 2023/1230, “en lo que respecta a la simplificación de la aplicación de normas armonizadas en materia de inteligencia artificial”.
El cambio no deroga el Reglamento de IA, simplemente lo ajusta y lo concreta en algunos términos. En particular, introduce modificaciones sobre alfabetización en IA, datos para detección y corrección de sesgos, prácticas prohibidas, sistemas de alto riesgo, documentación técnica, gobernanza, espacios controlados de pruebas, organismos notificados, transparencia, poderes de la Oficina de IA y coordinación con legislación sectorial.
1.2. Cambios principales introducidos por el Ómnibus
Los cambios más relevantes para una empresa que desarrolla, integra, adquiere o utiliza sistemas de IA son los siguientes:
1. Diferimiento de obligaciones de alto riesgo. Las obligaciones principales del capítulo III, secciones 1, 2 y 3 del Reglamento de IA (esto es, requisitos, obligaciones y procedimientos de conformidad de sistemas de alto riesgo) dejan de tener una única fecha práctica de aplicación y pasan a dos hitos:
· 2 de diciembre de 2027 para sistemas de alto riesgo del artículo 6.2 y anexo III.
· 2 de agosto de 2028 para sistemas de alto riesgo del artículo 6.1 y anexo I, vinculados a productos regulados por legislación sectorial.
2. Nueva prohibición específica sobre contenidos íntimos y sexuales no consentidos. El Ómnibus añade al artículo 5 del Reglamento de IA prohibiciones relativas a sistemas que generen o manipulen imágenes, vídeos, audios o materiales realistas de partes íntimas de personas identificables o material de abusos sexuales de menores. Estas nuevas prohibiciones se aplicarán a partir del 2 de diciembre de 2026.
3. Transparencia en contenidos sintéticos. Los proveedores de sistemas de IA (incluidos sistemas de uso general) que generen contenido sintético de audio, imagen, vídeo o texto y que ya estuvieran introducidos en el mercado antes del 2 de agosto de 2026 deberán adaptar sus medidas de marcado y transparencia a más tardar el 2 de diciembre de 2026.
4. Alfabetización en IA más flexible. El Ómnibus sustituye la lógica de “garantizar” alfabetización por una obligación más proporcionada de adoptar medidas para apoyar la promoción de la alfabetización en IA del personal y de quienes intervengan en la operación y utilización de los sistemas. Esta obligación sigue siendo relevante, pero el estándar se formula de forma menos rígida.
5. Simplificación para pymes y pequeñas empresas de mediana capitalización. Se introducen facilidades en documentación técnica, sistema de gestión de calidad y acceso a sandboxes. En particular, las pymes y pequeñas empresas de mediana capitalización podrán presentar elementos de documentación técnica de manera simplificada.
6. Coordinación con legislación sectorial. El Ómnibus reconoce que determinados productos (máquinas, aviación, productos sometidos a armonización sectorial) pueden quedar sometidos a regímenes paralelos. Por eso permite limitar requisitos del Reglamento de IA cuando la legislación sectorial ofrezca una protección equivalente o superior, y desplaza parte del cumplimiento al marco sectorial correspondiente.
1.3. Entrada en vigor del Ómnibus
El comunicado del Consejo indica que el acto legislativo se publicará en breve en el Diario Oficial de la Unión Europea y entrará en vigor a los tres días de su publicación. Por tanto, para fijar una fecha exacta de entrada en vigor deberá comprobarse la fecha efectiva de publicación en el DOUE. En cambio, las fechas materiales de cumplimiento más relevantes sí aparecen ya en el texto analizado: 2 de diciembre de 2026, 2 de diciembre de 2027 y 2 de agosto de 2028. Se incluye a continuación una tabla con un calendario más específico.
2. Impacto por niveles de riesgo de los sistemas de IA
2.1. Sistemas prohibidos o de riesgo inaceptable
¿Qué cambia?
El Reglamento de IA ya prohibía determinadas prácticas de IA consideradas incompatibles con los derechos fundamentales y los valores de la Unión. El Ómnibus añade prohibiciones específicas relativas a la generación o manipulación de contenidos íntimos o sexuales no consentidos y material de abuso sexual de menores.
¿Cómo afecta al cliente?
Si el cliente desarrolla, integra, comercializa, despliega o permite el uso de herramientas capaces de generar imágenes, vídeos, audios o materiales realistas de contenido íntimo, sexual o similar, debe revisar de inmediato:
· funcionalidades de generación de imagen, vídeo, audio o avatares;
· herramientas de edición, “nudificación”, sustitución facial o manipulación corporal;
· filtros de seguridad, moderación y bloqueo;
· condiciones de uso y controles frente a usuarios finales;
· trazabilidad de prompts y outputs cuando sea legalmente posible;
· coordinación con medidas de protección de menores, prevención de delitos y protección de datos.
¿Cuándo debe cumplir?
Las prohibiciones generales del Reglamento de IA ya tenían un calendario propio. En lo que respecta a las nuevas prohibiciones introducidas por el Ómnibus sobre contenido íntimo no consentido y material de abuso sexual de menores, la fecha clave es el 2 de diciembre de 2026.
2.2. Sistemas de alto riesgo del artículo 6.2 y anexo III
¿Qué sistemas entran aquí?
Son sistemas de IA utilizados en ámbitos especialmente sensibles por su impacto en derechos fundamentales, salud, seguridad o acceso a oportunidades: biometría, infraestructuras críticas, educación, empleo, acceso a servicios esenciales, aplicación de la ley, migración, justicia y procesos democráticos. El Reglamento de IA clasifica como de alto riesgo los sistemas que formen parte de los ámbitos del anexo III. Muchos de los sistemas de RRHH pueden estar dentro de esta categoría.
Si el cliente es proveedor de un sistema de alto riesgo, deberá preparar, entre otros elementos:
· sistema de gestión de riesgos;
· gobernanza y calidad de datos;
· documentación técnica;
· registros automáticos/logs;
· transparencia e instrucciones de uso;
· supervisión humana;
· precisión, robustez y ciberseguridad;
· sistema de gestión de calidad;
· evaluación de conformidad;
· vigilancia poscomercialización;
· comunicación de incidentes graves;
· registro en la base de datos europea cuando proceda.
Si el cliente es responsable del despliegue, deberá usar el sistema conforme a instrucciones, garantizar supervisión humana, vigilar su funcionamiento, conservar registros cuando estén bajo su control, informar cuando proceda y, en determinados casos, realizar evaluación de impacto sobre derechos fundamentales.
¿Cuándo debe cumplir?
Tras el Ómnibus, las obligaciones principales del capítulo III, secciones 1, 2 y 3 serán aplicables a estos sistemas a partir del 2 de diciembre de 2027.
Esto no significa que pueda esperarse hasta esa fecha para actuar. En la práctica, si el sistema está en desarrollo o contratación, deben iniciarse ya las tareas de clasificación, inventario, documentación técnica, DPIA/RGPD, evaluación de derechos fundamentales, ciberseguridad y evidencias de cumplimiento, porque muchas obligaciones requieren diseño previo.
2.3. Sistemas de alto riesgo del artículo 6.1 y anexo I: productos regulados sectorialmente
¿Qué sistemas entran aquí?
Son sistemas de IA que son productos o componentes de seguridad de productos regulados por legislación de armonización de la UE, como determinados productos sanitarios, maquinaria, aviación, vehículos u otros sectores técnicos.
El Ómnibus es especialmente relevante para estos sistemas porque reconoce solapamientos entre el Reglamento de IA y la legislación sectorial, y prevé que determinados requisitos se integren o coordinen con el régimen sectorial.
¿Qué cambia?
Para los sistemas de alto riesgo vinculados a productos regulados, el Ómnibus permite limitar requisitos del Reglamento de IA si la legislación sectorial ofrece protección equivalente o superior. Además, en el caso de máquinas, el texto reconoce expresamente el riesgo de solapamiento entre el Reglamento de máquinas y el Reglamento de IA.
¿Cuándo debe cumplir?
Las obligaciones principales se desplazan al 2 de agosto de 2028 para sistemas clasificados como de alto riesgo en virtud del artículo 6.1 y anexo I.
Para clientes de sectores regulados, la recomendación práctica es no analizar el Reglamento de IA de forma aislada, debe hacerse una matriz conjunta IA-producto-sector, porque puede haber normas de seguridad, marcado CE, evaluación de conformidad, documentación técnica, ciberseguridad y vigilancia poscomercialización ya existentes.
2.4. Sistemas de riesgo limitado: transparencia
¿Qué sistemas entran aquí?
Son sistemas que no necesariamente son de alto riesgo, pero sí generan riesgos de opacidad o engaño. Incluyen, entre otros:
· sistemas que interactúan directamente con personas físicas, como chatbots;
· sistemas que generan contenido sintético de audio, imagen, vídeo o texto;
· sistemas que generan o manipulan deepfakes;
· sistemas de reconocimiento de emociones o categorización biométrica en determinados supuestos.
El Reglamento exige, por ejemplo, informar cuando una persona está interactuando con un sistema de IA y marcar contenidos generados o manipulados artificialmente en determinados casos.
¿Cuándo debe cumplir?
Para sistemas de IA generativa ya introducidos en el mercado antes del 2 de agosto de 2026, el Ómnibus fija el 2 de diciembre de 2026 como fecha límite para cumplir las obligaciones de marcado del artículo 50.2.
2.5. Sistemas de riesgo mínimo
Los sistemas de riesgo mínimo no quedan sometidos a las obligaciones estrictas de alto riesgo ni necesariamente a obligaciones específicas de transparencia. No obstante, siguen sujetos a normativa general: protección de datos, consumidores, propiedad intelectual, secreto empresarial, ciberseguridad contractual, responsabilidad civil, normativa laboral si se usan en recursos humanos, y obligaciones de seguridad de la información cuando proceda.
La recomendación es mantener un inventario mínimo, una política interna de uso responsable y controles de proveedores, aunque el sistema no sea alto riesgo.
2.6. Modelos de IA de uso general y modelos con riesgo sistémico
Si el cliente desarrolla o pone en el mercado modelos de IA de uso general o integra modelos de terceros en productos propios debe distinguir entre:
· proveedor del modelo de IA de uso general;
· proveedor de un sistema que integra un modelo de uso general;
· responsable del despliegue que utiliza una solución basada en esos modelos.
El Reglamento impone a los proveedores de modelos de uso general obligaciones de documentación técnica, información para integradores, cumplimiento de derechos de autor y publicación de resúmenes de contenidos de entrenamiento. Los modelos con riesgo sistémico añaden obligaciones reforzadas de evaluación y mitigación de riesgos, ciberseguridad y comunicación de incidentes.
El Ómnibus clarifica competencias de supervisión cuando el sistema se basa en un modelo de uso general desarrollado por el mismo proveedor, con papel relevante de la Oficina de IA y excepciones para autoridades nacionales en determinados sectores.
3. Otras obligaciones generales que pueden afectar al cliente
3.1. Inventario y clasificación de sistemas de IA
La primera obligación práctica no es solo jurídica, sino operativa: todas las empresas deben identificar qué sistemas de IA existen en la organización, para qué se usan, quién los provee, qué datos tratan, si producen decisiones o recomendaciones relevantes y si encajan en una categoría de riesgo.
Sin inventario no es posible determinar si el sistema está prohibido, es alto riesgo, riesgo limitado o riesgo mínimo. Tampoco es posible saber si el cliente actúa como proveedor, importador, distribuidor, representante autorizado o responsable del despliegue.
3.2. Alfabetización en IA
El Ómnibus mantiene la alfabetización en IA, pero reformula la obligación en términos de adoptar medidas de apoyo a su promoción. Para el cliente esto implica, como mínimo:
· formación básica al personal que usa IA;
· formación reforzada para equipos técnicos, legales, seguridad, compras, recursos humanos y atención al cliente;
· políticas internas de uso de IA generativa;
· pautas sobre confidencialidad, datos personales, secretos empresariales y verificación humana;
· evidencias documentales de formación y comunicación interna.
3.3. Transparencia frente a usuarios, clientes, trabajadores y afectados
Las obligaciones de transparencia no se limitan a sistemas de alto riesgo. Pueden afectar a chatbots, asistentes virtuales, generadores de contenido, deepfakes, sistemas de atención automatizada, herramientas de scoring, sistemas de selección de personal, sistemas de monitorización y herramientas de reconocimiento de emociones o categorización biométrica.
Conviene distinguir cuatro bloques de transparencia del artículo 50 del Reglamento de IA:
1. Interacción directa con personas físicas.
2. Marcado técnico de contenido sintético.
3. Reconocimiento de emociones y categorización biométrica.
4. Ultrafalsificaciones y contenidos de interés público.
Desde protección de datos, esta transparencia debe coordinarse con el RGPD implementando una serie de medidas entre las que deben estar: base jurídica, destinatarios, transferencias, decisiones automatizadas, medidas de seguridad, etc. En la práctica, el cliente debería implantar una matriz de transparencia de IA.
Conviene revisar con el equipo legal las medidas de cumplimiento.
3.4. Protección de datos
El cumplimiento del Reglamento de IA no sustituye el cumplimiento del RGPD. Si el sistema trata datos personales, el cliente debe revisar:
· base jurídica del tratamiento;
· minimización de datos;
· limitación de finalidad;
· transparencia e información a interesados;
· encargados y subencargados;
· transferencias internacionales;
· evaluación de impacto de protección de datos cuando proceda;
· etc.
3.5. Ciberseguridad, robustez y gestión de incidentes
En sistemas de alto riesgo y modelos de uso general con riesgo sistémico, la ciberseguridad no es accesoria: debe formar parte del cumplimiento regulatorio. El cliente debe poder acreditar controles de:
· seguridad del ciclo de vida de desarrollo;
· control de accesos;
· gestión de vulnerabilidades;
· resiliencia frente a manipulación de inputs y prompts;
· protección frente a extracción de datos, inversión de modelo o ataques adversariales;
· etc.
3.6. Contratación y cadena de suministro
Muchas empresas no desarrollarán modelos propios, pero sí integrarán IA de terceros. En ese caso, el cumplimiento dependerá en gran medida de los contratos. Deben revisarse cláusulas sobre:
· rol regulatorio de cada parte;
· documentación técnica y asistencia al cumplimiento;
· auditoría;
· propiedad intelectual;
· uso de datos del cliente para entrenamiento;
· localización de datos y transferencias;
· etc.
3.7. Sector público, contratación pública y sistemas sensibles
Si el cliente presta servicios al sector público o suministra soluciones de IA a administraciones, debe tener en cuenta el capítulo específico del Proyecto para el sector público estatal y los futuros criterios de inventario, supervisión y gobernanza. No obstante, al no ser ley definitiva, estas obligaciones deben monitorizarse hasta la aprobación final.
Encaje entre Ómnibus, Reglamento de IA y Proyecto español
Hasta que la ley española sea aprobada y publicada, el marco de referencia vinculante es el Reglamento de IA de la UE, en la versión modificada por el Ómnibus. El Proyecto español no es derecho vigente, está en tramitación y deberá ajustarse al Reglamento europeo, por lo que no debe usarse para fijar obligaciones o plazos distintos de los previstos en la normativa europea.
Si deseas impartir formación sobre Inteligencia Artificial en tu empresa o Consultoria Legal sobre tus sistemas no dudes en contactarme.


