Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
RESUMEN
El
Dictamen C/2026/3225 del Comité Económico y Social Europeo centra en dos
propuestas “ómnibus” simplificar el marco digital de la UE: la COM (2025) 836
sobre simplificación de la aplicación de normas armonizadas en materia de IA, y
la COM (2025) 837 sobre simplificación del marco legislativo digital y
derogaciones selectivas: una específica sobre IA y otra de alcance digital
general.
En
términos prácticos, el texto propone una revisión del Reglamento de la Inteligencia
Artificial, IA para reducir cargas, esclarecer la gobernanza, reforzar la
aplicabilidad, al mismo tiempo que reordenar varias normas del acervo digital,
incluidos el Reglamento General de Protección de Datos de la Unión Europea, RGPD,
el marco sobre la Identificación Electrónica y Servicios de Confianza, eIDAS, y
la Pasarela Digital Única de la Unión Europea, datos y ciberseguridad.
En
la parte de IA, el texto parlamentario propone una mayor coherencia entre el
Reglamento de IA y la normativa sectorial sobre productos, así como un
tratamiento más proporcionado para Pymes y pequeñas empresas de mediana
capitalización.
Además, aparecen enmiendas relevantes en materia de privacidad y datos
personales, al ampliar la base jurídica para tratar categorías especiales de
datos cuando sea necesario para detectar y corregir sesgos.
En
el marco del alcance digital general, la lógica es reducir duplicidades y
simplificar obligaciones en el ecosistema normativo digital de la UE, sin
eliminar los objetivos de protección y rendición de cuentas. La propuesta
afecta al RGPD, al régimen de servicios de intermediación y plataformas, a la
gobernanza de datos, a la reutilización de datos del sector público, a la
ciberseguridad y a la ventanilla única digital, con derogación de varios
reglamentos y de la Directiva (UE) 2019/1024.
Este
Dictamen se conecta de manera indirecta con la normativa latinoamericana sobre
el tema aunque sí puede servir como referencia técnica y regulatoria para
reformas o armonizaciones en la región.
A fin de acceder a normas similares y estándares europeos, las empresas,
organizaciones públicas y privadas interesadas en asesorías, consultorías,
capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse
comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com
________________________________________________________
Diario Oficial | ES Serie C |
C/2026/3225 | 2.7.2026 |
Dictamen del Comité Económico y Social Europeo
a) Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2024/1689 y (UE) 2018/1139 en lo que respecta a la simplificación de la aplicación de normas armonizadas en materia de inteligencia artificial (Reglamento ómnibus digital sobre IA)
[COM(2025) 836 final – 2025/0359 (COD)]
y
b) Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 y las Directivas 2002/58/CE, (UE) 2022/2555 y (UE) 2022/2557 en lo que respecta a la simplificación del marco legislativo digital y se derogan los Reglamentos (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 y la Directiva (UE) 2019/1024 (Ómnibus Digital)
[COM(2025) 837 final – 2025/0360(COD)]
(C/2026/3225)
Ponente:
Heiko WILLEMSCoponente:
Angelo PAGLIARAAsesoras | Polina KHUBBEEVA (por el ponente) | ||||
| Silvia BORELLI (por el coponente) | ||||
Procedimientos legislativos |
| ||||
Consulta |
| ||||
Base jurídica |
| ||||
Documentos de la Comisión Europea |
| ||||
Objetivos de Desarrollo Sostenible (ODS) pertinentes | |||||
Sección competente | Mercado Único, Producción y Consumo | ||||
Aprobado en sección | 11.2.2026 | ||||
Aprobado en el pleno | 18.3.2026 | ||||
Pleno n.o | 604 | ||||
Resultado de la votación (a favor/en contra/abstenciones) | 194/0/0 |
1. RECOMENDACIONES
1. RECOMENDACIONES
EL COMITÉ ECONÓMICO Y SOCIAL EUROPEO (CESE)
1.1. El Comité Económico y Social Europeo
(CESE) toma nota del objetivo de la Comisión de simplificar el código normativo
digital con el fin de «proporcionar un alivio inmediato a empresas,
administraciones públicas y ciudadanos por igual». El paquete Ómnibus Digital y
el Reglamento ómnibus digital sobre inteligencia artificial (IA) deben fomentar
una economía digital dinámica, justa y sostenible que redunde en beneficio de
las empresas, los trabajadores, los consumidores y la sociedad en general.
Europa debe reforzar su capacidad de innovación y su competitividad a escala
mundial racionalizando los procesos administrativos, eliminando las
obligaciones duplicadas o, cuando proceda, los requisitos nacionales adicionales
que socaven el mercado único y garantizando una interpretación coherente de la
normativa digital en todos los Estados miembros. Al mismo tiempo, debe mantener
los marcos esenciales y pertinentes del Reglamento General de Protección de
Datos (RGPD) y del Reglamento de Inteligencia Artificial, a fin de garantizar
un nivel elevado de protección de los derechos y libertades fundamentales de
las personas físicas y, en particular, de su derecho a la vida privada respecto
del tratamiento de los datos personales, en consonancia con lo dispuesto en el
artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de
la Unión Europea y en el artículo 16, apartado 1, del Tratado de
Funcionamiento de la Unión Europea.
1.2. Las simplificaciones propuestas
constituyen un primer paso en la dirección adecuada, si bien deberá estudiarse
la adopción de nuevas medidas durante el próximo «control de adecuación
digital». Todas las medidas de simplificación deben desarrollarse y aplicarse
en colaboración con las empresas, los trabajadores, los consumidores, la
comunidad científica, las ONG y la sociedad civil, respetando los principios de
mejora de la legislación y, en particular, las evaluaciones de impacto, cuando
proceda. Dichas medidas deben reducir la inseguridad jurídica y las cargas
administrativas, reforzar la competitividad y la soberanía de Europa,
garantizar unas condiciones de competencia equitativas y velar por unas normas
estrictas de carácter social, medioambiental y de protección de los
consumidores para garantizar un mercado único justo e inclusivo.
1.3. Es posible derogar la normativa que
ha quedado obsoleta y que se solapa sin rebajar los estándares. Una normativa
más clara brindaría a todas las partes seguridad jurídica y reduciría el riesgo
de procesos contenciosos prolongados y onerosos. En concreto, el CESE pide
definiciones claras para los términos «datos personales», «tenedor de datos»,
«usuario», «servicio de tratamiento de datos» e «introducción en el mercado» en
todos los actos pertinentes. Además, en el supuesto de que surjan conflictos,
la legislación en materia de seguridad y protección debe prevalecer, en su
caso, sobre las obligaciones de intercambio de datos.
• Reglamento ómnibus
digital sobre IA — Propuesta 2025/0359(COD)
1.4. La IA y la robótica inteligente
impulsan la innovación en Europa. Ahora bien, deben velar por la seguridad, la
ética y los derechos fundamentales, especialmente por la protección de los
trabajadores y la protección de los datos de todos los usuarios. El CESE apoya
una regulación proporcionada y basada en el riesgo, que debe ser más ligera
para los usos industriales y las operaciones entre empresas, siempre que se
mantengan las salvaguardias. En el supuesto de que surjan riesgos específicos,
deben elaborarse normas sectoriales —en particular, en el ámbito de los
servicios profesionales de gran confianza— en colaboración con los
interlocutores sociales y la sociedad civil, a fin de garantizar un enfoque de
«control humano», explicabilidad cuando proceda y la confidencialidad
profesional.
1.5. El marco regulador debe garantizar
la coherencia entre todos los actos horizontales de la UE en el ámbito digital
y la legislación sectorial (como el Reglamento relativo a las máquinas, el
Reglamento sobre los productos sanitarios y otras normas de seguridad de los
productos). Asimismo, debe aclarar las bases jurídicas, evitar disposiciones
que se solapen o contradigan (en particular en relación con la evaluación de
riesgos, la conformidad y la responsabilidad) y evitar procesos contenciosos
onerosos y perjudiciales para la sociedad, las empresas, los trabajadores y los
consumidores. Un principio de «simplicidad desde la concepción», acompañado del
correspondiente enfoque de «derechos desde el diseño», debe guiar todos los
actos de ejecución, actos delegados y directrices para fomentar una regulación
previsible, justa y favorable a la innovación en todos los sectores. En
particular, las directrices relativas a tales actos deben evaluar el impacto de
las tecnologías digitales y de los sistemas de IA en los procesos de
producción, las condiciones de trabajo, la salud y la seguridad y la calidad de
vida.
1.6. Es necesario proporcionar una
solución sencilla que permita el uso de la IA en un entorno corporativo
interno. Las medidas de salvaguardia exigidas por el Reglamento de Inteligencia
Artificial están concebidas principalmente para abordar los riesgos asociados a
los servicios públicos y a los servicios orientados al consumidor. Por ejemplo,
podría introducirse un privilegio para las empresas, de modo que el Reglamento
de Inteligencia Artificial se aplique exclusivamente en determinados supuestos
intragrupo en los que se vean afectados los derechos fundamentales o los
derechos de los trabajadores, siempre que ello no cree lagunas en materia de
responsabilidad o de reparación y que la atribución de las responsabilidades
entre proveedores, desarrolladores y responsables del despliegue o usuarios
siga siendo clara.
1.7. Todo régimen simplificado debe
supeditarse a la plena participación de los interlocutores sociales. En
particular, antes de introducir o modificar sustancialmente los sistemas de IA
en el lugar de trabajo, es necesario informar y consultar a los trabajadores y
a sus representantes, de conformidad con el Derecho y las prácticas nacionales
y de la Unión. En este contexto, el diálogo social en el lugar de trabajo
desempeña un papel central a la hora de garantizar un uso de la IA responsable,
fiable y respetuoso con los derechos.
1.8. El CESE reconoce la necesidad de
simplificar el marco regulador aplicable a las pymes y a las pequeñas empresas
de mediana capitalización, con el fin de reducir las cargas administrativas y
de favorecer la innovación y la competitividad. No obstante, subraya que estos
regímenes simplificados deben aplicarse exclusivamente a las empresas que no
sean empresas asociadas ni estén vinculadas a otras empresas, de conformidad
con las Recomendaciones 2003/361/CE y 2025/1099/UE de la Comisión.
1.9. El CESE recomienda vincular el
calendario de aplicación de las obligaciones en materia de IA de alto riesgo a
la disponibilidad de normas armonizadas elaboradas por el Comité Europeo de
Normalización (CEN) o el Comité Europeo de Normalización Electrotécnica
(Cenelec), con la participación —cuando sea necesario— de los interlocutores
sociales, así como a las capacidades de los organismos notificados.
1.10. El CESE apoya que la Oficina de IA cree
—con una estrecha cooperación transfronteriza entre las autoridades nacionales—
espacios controlados de pruebas que comprendan, cuando proceda, vías
específicas para los servicios de gran confianza (por ejemplo, las profesiones
liberales). Cuando estén implicados los derechos de los trabajadores o de los
ciudadanos, dichos espacios controlados de pruebas deben desarrollarse en
estrecha consulta con las partes interesadas pertinentes, en particular, con
los interlocutores sociales.
1.11. El CESE recomienda que, en el caso de
los sistemas de IA de alto riesgo, se exija un control ex ante a
lo largo de todo el proceso de introducción en el mercado, por ejemplo, a
través de espacios controlados de pruebas bajo la supervisión de las
autoridades nacionales competentes o de la Oficina de IA, con el fin de
garantizar el cumplimiento de los requisitos reglamentarios y la protección de
los derechos fundamentales y de los derechos de los trabajadores, mediante un
seguimiento y una notificación de resultados transparentes y basados en
indicadores clave de rendimiento.
1.12. El CESE apoya el desarrollo, la
aplicación y el entrenamiento de la IA en Europa, siempre que se garantice un
uso responsable de los datos que se empleen para esta última actividad (en
particular cuando se utilicen datos que sean sensibles para la mitigación de
los sesgos), se establezcan estrictas salvaguardias que protejan los derechos
fundamentales, los valores sociales y la privacidad, y se mitiguen los riesgos
mediante un control de las responsabilidades, la acción y supervisión humanas,
la solidez y seguridad técnicas, la gestión de los datos y la privacidad, la
transparencia, la diversidad y la equidad.
1.13. El CESE reconoce que el uso de datos es
necesario para desarrollar sistemas de IA. Sin embargo, los proveedores y los
responsables de su despliegue deben garantizar que dichos sistemas sean tan
transparentes como sea técnicamente viable para que las autoridades nacionales
competentes puedan supervisarlos eficazmente y los interlocutores sociales
tengan la participación que les corresponde, en particular cuando la IA se
utilice en el lugar de trabajo.
1.14. El CESE valora positivamente que se dote
a la Oficina de IA de recursos y equipos suficientes en su calidad de organismo
central de coordinación para la aplicación y la supervisión del Reglamento de
Inteligencia Artificial. Entre otras funciones, debe facilitar la cooperación
transfronteriza, proporcionar directrices claras y accesibles a las empresas,
los entes públicos y los interlocutores sociales, apoyar a las pymes y a las
pequeñas empresas de mediana capitalización, y garantizar una interpretación y
una aplicación coherentes de la normativa sobre la IA en todos los Estados
miembros, en consulta con todas las partes interesadas pertinentes.
1.15. A juicio del CESE, conviene garantizar
que, cuando un proveedor considere que un sistema de IA no es de alto riesgo
con arreglo a lo dispuesto en el artículo 6, apartado 4, del Reglamento de
Inteligencia Artificial, se mantengan mecanismos de transparencia adecuados
para que las autoridades nacionales competentes puedan valorar la evaluación
del proveedor. Dichos mecanismos deberán integrar, cuando sea necesario,
procedimientos de registro o de notificación que permitan una supervisión
eficaz, así como verificar la evaluación del proveedor y prevenir posibles
riesgos para los derechos fundamentales, en particular para los derechos de los
trabajadores.
1.16. Por lo que se refiere al artículo 4 del Reglamento de
Inteligencia Artificial, el CESE propone mantener la obligación explícita de
que los proveedores y responsables del despliegue de sistemas de IA garanticen
que su personal, así como cualquier persona responsable del funcionamiento y el
uso de los sistemas de IA en su nombre, cuente con un nivel suficiente de
alfabetización en materia de IA; no obstante, también deben diseñarse programas
sobre esta materia dirigidos a todas las personas.
1.17. El CESE insta a la Comisión Europea, al Parlamento y al Consejo a
que den prioridad a la conclusión oportuna de las negociaciones tripartitas
relacionadas con el Reglamento ómnibus digital sobre IA, a fin de que todas las
partes interesadas tengan claridad y tiempo suficiente para adaptarse antes de
que las obligaciones de IA de alto riesgo adquieran carácter vinculante.
Además, recomienda coordinar estrechamente el Reglamento objeto de análisis con
la propuesta legislativa relativa a la creación de las carteras europeas para
empresas (1), ya que estas dos iniciativas comparten los objetivos de
simplificación administrativa, interoperabilidad y coherencia en el seno del
mercado único digital.
• Paquete Ómnibus
Digital — Propuesta 2025/0360(COD)
1.18. El CESE apoya firmemente un «punto de
entrada único» de la UE verdaderamente interoperable que abarque la Directiva
SRI 2, el RGPD, el Reglamento sobre Resiliencia Operativa Digital, el
Reglamento eIDAS y el sistema de informes de la Directiva relativa a la
resiliencia de las entidades críticas. Dicho punto de entrada debe admitir la
presentación de solicitudes no solo en la lengua del Estado miembro de que se
trate, sino también en inglés, y la reutilización de la información presentada
previamente; además, debe aplicar estrictos controles de acceso para las
autoridades en función del principio de «necesidad de conocer»; deberán
diseñarse proyectos piloto en colaboración con la industria y los
interlocutores sociales.
1.19. El CESE subraya que la definición de
«datos personales» establecida en el artículo 4, apartado 1, del RGPD
es decisiva para determinar el ámbito de aplicación de dicho Reglamento y, en
consecuencia, el alcance de las normas que salvaguardan el derecho fundamental
a la protección de datos de carácter personal consagrado en el artículo 8
de la Carta de los Derechos Fundamentales de la Unión Europea. En vista de
ello, el CESE considera esencial que esta definición se formule de manera
objetiva y suficientemente amplia, brinde seguridad jurídica, evite
interpretaciones subjetivas o evasivas y garantice un nivel elevado y efectivo
de protección de los derechos fundamentales, permitiendo al mismo tiempo un uso
razonable de los datos.
1.20. El CESE pide a la Comisión Europea que
adopte actos de ejecución que aclaren y especifiquen los medios y criterios
para determinar cuándo los datos seudonimizados pueden considerarse
anonimizados para otras entidades. El uso de datos anonimizados es un instrumento
de gran importancia para la industria, en particular a los efectos del
entrenamiento de la IA, a la par que proporciona un mecanismo para equilibrar
la innovación con sólidas salvaguardias en materia de protección de datos y
privacidad.
1.21. El CESE subraya que el derecho de acceso
a los datos personales constituye un derecho habilitante y, por tanto, un
requisito previo para el ejercicio efectivo de otros derechos fundamentales.
Por consiguiente, recomienda que se garantice plenamente el derecho de acceso
siempre que el interesado persiga un fin legítimo, en particular la protección
de los derechos de los trabajadores o la salvaguardia de la salud y la
seguridad en el trabajo. Además, la carga de la prueba en relación con la
existencia de un abuso de derecho por parte del interesado seguirá recayendo en
el responsable del tratamiento.
1.22. El CESE recomienda que la definición de
«investigación científica» se mantenga en su sentido comúnmente aceptado, pero
que permita la innovación a través de la investigación industrial. El CESE se
remite a la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE),
según la cual cualquier limitación —amplia, desequilibrada o absoluta— de los
derechos consagrados en los artículos 7 y 8 de la Carta de los
Derechos Fundamentales de la Unión Europea no puede considerarse compatible con
la Carta (2), para pedir un enfoque justo respecto del alcance de la
investigación científica.
1.23. Por lo que se refiere al
artículo 22, apartado 1, del RGPD, el CESE subraya la necesidad de
respetar plenamente el principio de minimización de datos consagrado en el
artículo 5, apartado 1, de dicho Reglamento (3). Es necesario implantar sistemas automatizados de toma de
decisiones, cuando ofrezcan un claro valor añadido y eficiencia, y garantizar
que su uso siga siendo necesario y proporcionado a la tarea. Cuando sea posible
tomar decisiones razonables por medios no automatizados o alternativas menos
intrusivas, debe priorizarse la toma de decisiones humana.
1.24. Por lo que se refiere a la Directiva
sobre la privacidad y las comunicaciones electrónicas, el CESE anima a los
colegisladores a que estudien vías para simplificar los requisitos de
consentimiento en contextos de bajo riesgo. Una solución proporcionada y basada
en el riesgo preservaría la capacidad de innovación de las tecnologías que
ofrecen claros beneficios para la sociedad, manteniendo al mismo tiempo sólidas
salvaguardias para la privacidad.
1.25. El CESE apoya que se extienda la simplificación
de la documentación, la notificación y los procedimientos a las pequeñas
empresas de mediana capitalización (así como a las pymes y las empresas
emergentes), a cuya disposición deben ponerse plantillas, ejemplos y procesos
racionalizados, que deben ser obligatorios cuando no se traten datos
personales. Todas las medidas de simplificación deben desarrollarse en consulta
con los interlocutores sociales y la sociedad civil.
1.26. El CESE reconoce la necesidad de
simplificar el marco regulador aplicable a las pymes y a las pequeñas empresas
de mediana capitalización, con el fin de reducir las cargas administrativas y
de favorecer la innovación y la competitividad. No obstante, subraya que estos
regímenes simplificados deben aplicarse exclusivamente a las empresas que no
sean empresas asociadas ni estén vinculadas a otras empresas, de conformidad
con las Recomendaciones 2003/361/CE y 2025/1099/UE de la Comisión.
1.27. Los requisitos obligatorios de
intercambio de datos establecidos en el Reglamento de Datos deben limitarse a
los casos estrictamente necesarios, como emergencias públicas, o a la
protección de los derechos fundamentales y de los trabajadores.
1.28. El CESE anima a la Comisión a que se
centre en incentivos para el intercambio voluntario de datos, refuerce el
Comité Europeo de Innovación en materia de Datos y fomente la implantación de
espacios comunes europeos de datos para velar por la transparencia, la
confianza y el beneficio público.
2. NOTAS
EXPLICATIVAS
Argumentos a favor de
las recomendaciones 1.1 a 1.3
2.1. La competitividad mundial y la
soberanía tecnológica de Europa dependen de una innovación y una adaptabilidad
ágiles. La burocracia excesiva y la fragmentación de las normas obstaculizan el
progreso digital y ponen a Europa en riesgo de quedarse rezagada. Racionalizar
la normativa y reducir las cargas administrativas, respetando al mismo tiempo
los derechos fundamentales y las normas sociales, libera recursos para la
investigación, las capacidades y el crecimiento sostenible.
2.2. Garantizar una interacción coherente
entre la IA, los datos, la privacidad y las normas en materia de ciberseguridad
reducirá los riesgos de procesos contenciosos y los costes de cumplimiento,
preservando al mismo tiempo unas estrictas normas sociales. Si se reduce la
fragmentación de los requisitos de notificación, se liberarán recursos para la
innovación, se mejorará el cumplimiento y se permitirá a las empresas,
especialmente a las pymes y a las pequeñas empresas de mediana capitalización,
centrarse en sus actividades esenciales.
2.3. La claridad y armonización jurídicas
son esenciales para el funcionamiento del mercado único y la autonomía
estratégica de Europa. Las definiciones ambiguas y las normas contradictorias
generan incertidumbre, aumentan los costes de cumplimiento y pueden propiciar
procesos contenciosos que socavan la confianza y ralentizan la cooperación
transfronteriza. Unas definiciones claras y armonizadas contribuyen a
garantizar una competencia leal, proteger los derechos fundamentales y permitir
una aplicación efectiva con el fin de garantizar plenamente los derechos
fundamentales, en particular los consagrados en los artículos 7 y 8 de
la Carta de los Derechos Fundamentales de la Unión Europea.
Argumentos a favor de
las recomendaciones 1.4 a 1.17
2.4. Un enfoque regulador basado en el
riesgo es esencial para equilibrar la innovación con la protección de los
derechos fundamentales. Al adaptar las obligaciones a los riesgos reales, la UE
puede fomentar una innovación responsable, apoyar a las pymes y a las pequeñas
empresas de mediana capitalización, y garantizar que la seguridad y los
derechos fundamentales no se vean comprometidos.
2.5. El Reglamento de Inteligencia
Artificial se concibió deliberadamente como un marco horizontal diseñado para
funcionar en armonía con las normas sectoriales de seguridad vigentes, como el
Reglamento (UE) 2023/1230, relativo a las máquinas, el Reglamento sobre
los productos sanitarios y el Reglamento sobre los productos sanitarios para
diagnóstico in vitro. Sin embargo, el solapamiento de las
obligaciones de cumplimiento, como las evaluaciones de la conformidad
duplicadas o las definiciones de riesgos no sincronizadas, puede dar lugar a
incoherencias, costes y retrasos en la certificación de productos y sistemas
innovadores con IA integrada.
2.6. La carrera mundial por el liderazgo
en el ámbito de la IA se está intensificando, y Europa debe garantizar que sus
plazos reglamentarios sean realistas e inclusivos. Unos plazos ajustados,
especialmente en el caso de la IA de alto riesgo, podrían excluir del mercado a
las pymes y las pequeñas empresas de mediana capitalización y ralentizar la
innovación.
2.7. Los espacios controlados de pruebas
son una herramienta de eficacia demostrada para fomentar una innovación
responsable y poner a prueba nuevas tecnologías en condiciones reales. Al
permitir una cooperación transfronteriza y una participación inclusiva, que
comprendan, cuando proceda, vías específicas para los servicios de gran
confianza (por ejemplo, las profesiones liberales), los espacios controlados de
pruebas ayudan a Europa a adaptarse a los rápidos cambios tecnológicos, apoyan
a las pymes y garantizan que las nuevas soluciones cumplan estrictas normas
sociales, éticas y de seguridad.
2.8. Pese a la importancia de los datos
para el entrenamiento, los ensayos y la mejora de los sistemas de IA, el CESE
subraya que la IA basada en datos debe encontrar un equilibrio entre innovación
y responsabilidad. Los proveedores y los responsables del despliegue deben
garantizar, en la medida de lo posible, la transparencia sobre el
funcionamiento de estos sistemas, los datos en los que se basan y la manera en
que se toman las decisiones o se generan los resultados. Esta transparencia es
una condición esencial para una autoevaluación eficaz y para que las
autoridades nacionales competentes efectúen una supervisión adecuada. También
es fundamental garantizar la participación significativa de los interlocutores
sociales, especialmente cuando se introduce la IA en el lugar de trabajo.
2.9. La seguridad jurídica es un pilar
fundamental para el éxito de la transformación digital y la soberanía
tecnológica. Las demoras en el proceso legislativo pueden hacer que las
empresas, en particular las pymes, no estén preparadas para adaptarse a los nuevos
requisitos de cumplimiento. Según el calendario de aplicación de los sistemas
de alto riesgo, las obligaciones al respecto entrarán en vigor en agosto de
2026. Si se concluye el diálogo tripartito con suficiente antelación respecto
de dicha fecha, la UE puede garantizar que la transición hacia una regulación
de la IA de alto riesgo sea inclusiva y operativa para las empresas, los
servicios públicos y la sociedad civil.
2.10. Para la aplicación eficaz y armonizada
del Reglamento de Inteligencia Artificial en toda la UE, es esencial contar con
una Oficina de IA consolidada que cuente con los recursos suficientes, pues una
supervisión fragmentada y una aplicación incoherente de las normas podrían
socavar tanto la innovación como los derechos fundamentales. Al funcionar como
un eje central, la Oficina de IA puede colmar las brechas entre las autoridades
nacionales, la industria y la sociedad civil.
2.11. El CESE pide mecanismos eficaces para
verificar el cumplimiento de las salvaguardias, entre las que se incluyen una
sólida seudonimización o técnicas equivalentes de mejora de la privacidad, una
limitación estricta de la finalidad del tratamiento de datos y la supresión de los
datos sensibles una vez que se haya satisfecho la finalidad prevista. Los
representantes de los trabajadores deben participar, cuando proceda, en las
estructuras de supervisión o de gestión de los conjuntos de datos, a fin de
garantizar transparencia y confianza.
Argumentos a favor de
las recomendaciones 1.18 a 1.28
2.12. La ciberseguridad y la resiliencia son
fundamentales para la soberanía tecnológica de Europa. Un «punto de entrada
único» verdaderamente interoperable para la notificación de incidentes reducirá
la duplicación, mejorará el conocimiento de la situación y permitirá respuestas
más ágiles y coordinadas a las amenazas.
2.13. Según una sentencia del TJUE, «negar» la
calificación de «datos personales» a una información determinada supondría
eludir por completo las obligaciones, los principios y las garantías que
establece la legislación en materia de protección de datos personales (4). En tal supuesto, el interesado no podría ejercer sus
derechos (por ejemplo, de acceso) ni presentar una reclamación para impugnar la
decisión, y las autoridades nacionales no podrían llevar a cabo ninguna
supervisión. Por estas razones, el TJUE ha afirmado reiteradamente que el
concepto de «datos personales» debe interpretarse en sentido amplio (5) y que la probabilidad de identificación debe
evaluarse a la luz de «todos los factores objetivos» (6).
2.14. La capacidad de tratar y utilizar los
datos de manera responsable es un pilar fundamental de la innovación digital y
del interés público. Aclarar cuándo los datos seudonimizados pueden
considerarse anonimizados es fundamental para la seguridad jurídica y la
innovación. Los datos anonimizados permiten a las empresas entrenar los
sistemas de IA sin tratar datos personales, reduciendo así los riesgos de
cumplimiento y manteniendo al mismo tiempo sólidas salvaguardias para la
privacidad.
2.15. Cuando los actos de ejecución se
refieran al uso de datos o sistemas de IA en contextos laborales o tengan
implicaciones para las condiciones de trabajo o los derechos de los
trabajadores, el CESE subraya la necesidad de que se redacten y adopten en estrecha
consulta con los interlocutores sociales, de conformidad con el Derecho de la
Unión y las prácticas consolidadas de diálogo social.
2.16. El TJUE ha aclarado que el derecho de
acceso debe permitir a los interesados verificar que sus datos personales son
exactos y que son tratados lícitamente (7). Además, la innecesariedad de invocar un motivo
específico que justifique la solicitud de acceso ayuda a los interesados a
ejercer sus derechos con mayor facilidad (8). En consecuencia, toda posibilidad de que un responsable
del tratamiento se niegue a actuar respecto de una solicitud de acceso debe
interpretarse de modo estricto (9) y, cuando se niegue a ello alegando el carácter
excesivo de la solicitud, debe demostrar —a la luz de todas las circunstancias
pertinentes— la intención abusiva del interesado (10).
2.17. Según el Comité Europeo de Protección de
Datos (CEPD), en lo que respecta al término «investigación científica», su
significado «no puede ir más allá de su acepción común» (11). Esta afirmación coincide con la
jurisprudencia consolidada del TJUE, según la cual «la protección del derecho
fundamental a la intimidad exige que las excepciones a la protección de los
datos personales y las restricciones a dicha protección se establezcan sin
sobrepasar los límites de lo estrictamente necesario» (12).
2.18. El principio de minimización de datos
del artículo 5, apartado 1, letra c), del RGPD exige que los
responsables del tratamiento traten únicamente los datos personales que sean
adecuados, pertinentes y limitados a lo necesario en relación con los fines
para los que son tratados. Si es posible tomar una decisión razonable por
medios no automatizados, el despliegue de un sistema automatizado suele
implicar la recopilación, inferencia o conservación de datos adicionales y la
creación de nuevos riesgos (por ejemplo, elaboración de perfiles, opacidad,
sesgo y merma de la disputabilidad). Por este motivo, el uso de los sistemas
automatizados de toma de decisiones debe limitarse a las situaciones en las que
resulte necesario.
2.19. En el marco actual de la Directiva sobre
la privacidad y las comunicaciones electrónicas, el acceso a los datos en los
equipos terminales, incluso en contextos de bajo riesgo, a menudo requiere el
consentimiento del usuario. Si bien la protección de la privacidad es esencial,
unos requisitos de consentimiento excesivamente rígidos pueden obstaculizar
inconscientemente la innovación en ámbitos que aportan beneficios sociales
significativos, como la seguridad de los vehículos y la conducción autónoma. En
estos casos, la imposibilidad de acceder a datos pertinentes puede comprometer
los avances en las tecnologías que mejoran la seguridad vial y reducen los
accidentes.
2.20. Reducir la burocracia y extender las
simplificaciones a las pequeñas empresas de mediana capitalización es vital
para la columna vertebral industrial de Europa. Estas empresas y las pymes
impulsan la innovación, la creación de empleo y el desarrollo regional, pero
suelen verse afectadas de manera desproporcionada por complejos requisitos de
cumplimiento.
2.21. El intercambio voluntario de datos,
respaldado por incentivos y un sólido Comité Europeo de Innovación en materia
de Datos, es fundamental para construir una economía de los datos próspera y
reforzar la soberanía tecnológica de Europa. Los espacios comunes europeos de
datos permiten la colaboración, la innovación y el uso responsable de los datos
de manera transfronteriza e intersectorial.
Bruselas, 18 de marzo
de 2026.
El Presidente
del Comité Económico y Social Europeo
Séamus BOLAND
(2) Sentencia de 8 de abril de 2014, Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources y otros (C-293/12), y Kärntner Landesregierung y otros (C-594/12), asuntos acumulados C-293/12 y C-594/12, EU:C:2014:238, apartado 38.
(3) Sentencia de 4 de julio de 2023, Meta Platforms Inc. y otros/Bundeskartellamt, asunto C-252/21, EU:C:2023:537, apartado 109.
(4) Sentencia de 20 de diciembre de 2017. Peter Nowak contra Data Protection Commissioner, C-434/16, EU:C:2017:994, apartado 49.
(5) Sentencia de 7 de marzo de 2024, OC contra Comisión Europea, C-479/22 P, EU:C:2024:215, apartado 45.
(6) Sentencia de 7 de marzo de 2024, OC contra Comisión Europea, C-479/22 P, EU:C:2024:215, apartado 79. Sentencia de 4 de septiembre de 2025, Supervisor Europeo de Protección de Datos (SEPD)/Junta Única de Resolución (JUR), C-413/23 P, EU:C:2025:645, apartado 79.
(7) Sentencia de 22 de junio de 2023. Procedimiento incoado por J. M., C-579/21, EU:C:2023:501, apartado 57.
(8) Sentencia de 26 de octubre de 2023. FT contra DW, C-307/22, EU:C:2023:811, apartado 50.
(9) Conclusiones del Abogado General Sr. Maciej Szpunar, presentadas el 18 de septiembre de 2025, Brillen Rottler GmbH & Co. KG/TC, C-526/24, EU:C:2025:723, apartado 30.
(10) Conclusiones del Abogado General Sr. Maciej Szpunar, presentadas el 18 de septiembre de 2025, Brillen Rottler GmbH & Co. KG/TC, C-526/24, EU:C:2025:723, apartado 41.
(11) Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19, p. 5, CEPD.
(12) Sentencia de 7 de noviembre de 2013, Institut professionnel des agents immobiliers (IPI)/Geoffrey Englebert y otros, C-473/12, EU:C:2013:715, apartado 39.
ELI: http://data.europa.eu/eli/C/2026/3225/oj
ISSN 1977-0928 (electronic edition)