jueves, 16 de julio de 2026

PROPUESTA DE SIMPLIFICACIÓN DE LA APLICACIÓN DE NORMAS ARMONIZADAS EN MATERIA DE INTELIGENCIA ARTIFICIAL - DICTAMEN DEL COMITE ECONOMICO Y SOCIAL EUROPEO.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

El Dictamen C/2026/3225 del Comité Económico y Social Europeo centra en dos propuestas “ómnibus” simplificar el marco digital de la UE: la COM (2025) 836 sobre simplificación de la aplicación de normas armonizadas en materia de IA, y la COM (2025) 837 sobre simplificación del marco legislativo digital y derogaciones selectivas: una específica sobre IA y otra de alcance digital general.

En términos prácticos, el texto propone una revisión del Reglamento de la Inteligencia Artificial, IA para reducir cargas, esclarecer la gobernanza, reforzar la aplicabilidad, al mismo tiempo que reordenar varias normas del acervo digital, incluidos el Reglamento General de Protección de Datos de la Unión Europea, RGPD, el marco sobre la Identificación Electrónica y Servicios de Confianza, eIDAS, y la Pasarela Digital Única de la Unión Europea, datos y ciberseguridad.

En la parte de IA, el texto parlamentario propone una mayor coherencia entre el Reglamento de IA y la normativa sectorial sobre productos, así como un tratamiento más proporcionado para Pymes y pequeñas empresas de mediana capitalización.
Además, aparecen enmiendas relevantes en materia de privacidad y datos personales, al ampliar la base jurídica para tratar categorías especiales de datos cuando sea necesario para detectar y corregir sesgos.

En el marco del alcance digital general, la lógica es reducir duplicidades y simplificar obligaciones en el ecosistema normativo digital de la UE, sin eliminar los objetivos de protección y rendición de cuentas. La propuesta afecta al RGPD, al régimen de servicios de intermediación y plataformas, a la gobernanza de datos, a la reutilización de datos del sector público, a la ciberseguridad y a la ventanilla única digital, con derogación de varios reglamentos y de la Directiva (UE) 2019/1024.

Este Dictamen se conecta de manera indirecta con la normativa latinoamericana sobre el tema aunque sí puede servir como referencia técnica y regulatoria para reformas o armonizaciones en la región.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

________________________________________________________



Diario Oficial
de la Unión Europea

ES

Serie C


C/2026/3225

2.7.2026

Dictamen del Comité Económico y Social Europeo

a) Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2024/1689 y (UE) 2018/1139 en lo que respecta a la simplificación de la aplicación de normas armonizadas en materia de inteligencia artificial (Reglamento ómnibus digital sobre IA)

[COM(2025) 836 final – 2025/0359 (COD)]

y

b) Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican los Reglamentos (UE) 2016/679, (UE) 2018/1724, (UE) 2018/1725, (UE) 2023/2854 y las Directivas 2002/58/CE, (UE) 2022/2555 y (UE) 2022/2557 en lo que respecta a la simplificación del marco legislativo digital y se derogan los Reglamentos (UE) 2018/1807, (UE) 2019/1150, (UE) 2022/868 y la Directiva (UE) 2019/1024 (Ómnibus Digital)

[COM(2025) 837 final – 2025/0360(COD)]

(C/2026/3225)

Ponente:

Heiko WILLEMS

Coponente:

Angelo PAGLIARA

Asesoras

Polina KHUBBEEVA (por el ponente)

 

Silvia BORELLI (por el coponente)

Procedimientos legislativos

a)

EU Law Tracker

b)

EU Law Tracker

Consulta

a)

Parlamento Europeo, 5.12.2025

Consejo de la Unión Europea, 3.2.2026

b)

Parlamento Europeo, 18.3.2026

Consejo de la Unión Europea, 3.2.2026

Base jurídica

a)

Artículo 114 del Tratado de Funcionamiento de la Unión Europea

b)

Artículo 114 del Tratado de Funcionamiento de la Unión Europea

Documentos de la Comisión Europea

a)

COM(2025) 836 final — 2025/0359 (COD)

b)

COM(2025) 837 final — 2025/0360 (COD)

Objetivos de Desarrollo Sostenible (ODS) pertinentes

ODS 8 y 9

Sección competente

Mercado Único, Producción y Consumo

Aprobado en sección

11.2.2026

Aprobado en el pleno

18.3.2026

Pleno n.o

604

Resultado de la votación

(a favor/en contra/abstenciones)

194/0/0

1.   RECOMENDACIONES

1.   RECOMENDACIONES

EL COMITÉ ECONÓMICO Y SOCIAL EUROPEO (CESE)

      1.1.            El Comité Económico y Social Europeo (CESE) toma nota del objetivo de la Comisión de simplificar el código normativo digital con el fin de «proporcionar un alivio inmediato a empresas, administraciones públicas y ciudadanos por igual». El paquete Ómnibus Digital y el Reglamento ómnibus digital sobre inteligencia artificial (IA) deben fomentar una economía digital dinámica, justa y sostenible que redunde en beneficio de las empresas, los trabajadores, los consumidores y la sociedad en general. Europa debe reforzar su capacidad de innovación y su competitividad a escala mundial racionalizando los procesos administrativos, eliminando las obligaciones duplicadas o, cuando proceda, los requisitos nacionales adicionales que socaven el mercado único y garantizando una interpretación coherente de la normativa digital en todos los Estados miembros. Al mismo tiempo, debe mantener los marcos esenciales y pertinentes del Reglamento General de Protección de Datos (RGPD) y del Reglamento de Inteligencia Artificial, a fin de garantizar un nivel elevado de protección de los derechos y libertades fundamentales de las personas físicas y, en particular, de su derecho a la vida privada respecto del tratamiento de los datos personales, en consonancia con lo dispuesto en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea.

 

      1.2.            Las simplificaciones propuestas constituyen un primer paso en la dirección adecuada, si bien deberá estudiarse la adopción de nuevas medidas durante el próximo «control de adecuación digital». Todas las medidas de simplificación deben desarrollarse y aplicarse en colaboración con las empresas, los trabajadores, los consumidores, la comunidad científica, las ONG y la sociedad civil, respetando los principios de mejora de la legislación y, en particular, las evaluaciones de impacto, cuando proceda. Dichas medidas deben reducir la inseguridad jurídica y las cargas administrativas, reforzar la competitividad y la soberanía de Europa, garantizar unas condiciones de competencia equitativas y velar por unas normas estrictas de carácter social, medioambiental y de protección de los consumidores para garantizar un mercado único justo e inclusivo.

 

      1.3.            Es posible derogar la normativa que ha quedado obsoleta y que se solapa sin rebajar los estándares. Una normativa más clara brindaría a todas las partes seguridad jurídica y reduciría el riesgo de procesos contenciosos prolongados y onerosos. En concreto, el CESE pide definiciones claras para los términos «datos personales», «tenedor de datos», «usuario», «servicio de tratamiento de datos» e «introducción en el mercado» en todos los actos pertinentes. Además, en el supuesto de que surjan conflictos, la legislación en materia de seguridad y protección debe prevalecer, en su caso, sobre las obligaciones de intercambio de datos.

• Reglamento ómnibus digital sobre IA — Propuesta 2025/0359(COD)

      1.4.            La IA y la robótica inteligente impulsan la innovación en Europa. Ahora bien, deben velar por la seguridad, la ética y los derechos fundamentales, especialmente por la protección de los trabajadores y la protección de los datos de todos los usuarios. El CESE apoya una regulación proporcionada y basada en el riesgo, que debe ser más ligera para los usos industriales y las operaciones entre empresas, siempre que se mantengan las salvaguardias. En el supuesto de que surjan riesgos específicos, deben elaborarse normas sectoriales —en particular, en el ámbito de los servicios profesionales de gran confianza— en colaboración con los interlocutores sociales y la sociedad civil, a fin de garantizar un enfoque de «control humano», explicabilidad cuando proceda y la confidencialidad profesional.

 

      1.5.            El marco regulador debe garantizar la coherencia entre todos los actos horizontales de la UE en el ámbito digital y la legislación sectorial (como el Reglamento relativo a las máquinas, el Reglamento sobre los productos sanitarios y otras normas de seguridad de los productos). Asimismo, debe aclarar las bases jurídicas, evitar disposiciones que se solapen o contradigan (en particular en relación con la evaluación de riesgos, la conformidad y la responsabilidad) y evitar procesos contenciosos onerosos y perjudiciales para la sociedad, las empresas, los trabajadores y los consumidores. Un principio de «simplicidad desde la concepción», acompañado del correspondiente enfoque de «derechos desde el diseño», debe guiar todos los actos de ejecución, actos delegados y directrices para fomentar una regulación previsible, justa y favorable a la innovación en todos los sectores. En particular, las directrices relativas a tales actos deben evaluar el impacto de las tecnologías digitales y de los sistemas de IA en los procesos de producción, las condiciones de trabajo, la salud y la seguridad y la calidad de vida.

 

      1.6.            Es necesario proporcionar una solución sencilla que permita el uso de la IA en un entorno corporativo interno. Las medidas de salvaguardia exigidas por el Reglamento de Inteligencia Artificial están concebidas principalmente para abordar los riesgos asociados a los servicios públicos y a los servicios orientados al consumidor. Por ejemplo, podría introducirse un privilegio para las empresas, de modo que el Reglamento de Inteligencia Artificial se aplique exclusivamente en determinados supuestos intragrupo en los que se vean afectados los derechos fundamentales o los derechos de los trabajadores, siempre que ello no cree lagunas en materia de responsabilidad o de reparación y que la atribución de las responsabilidades entre proveedores, desarrolladores y responsables del despliegue o usuarios siga siendo clara.

 

      1.7.            Todo régimen simplificado debe supeditarse a la plena participación de los interlocutores sociales. En particular, antes de introducir o modificar sustancialmente los sistemas de IA en el lugar de trabajo, es necesario informar y consultar a los trabajadores y a sus representantes, de conformidad con el Derecho y las prácticas nacionales y de la Unión. En este contexto, el diálogo social en el lugar de trabajo desempeña un papel central a la hora de garantizar un uso de la IA responsable, fiable y respetuoso con los derechos.

 

      1.8.            El CESE reconoce la necesidad de simplificar el marco regulador aplicable a las pymes y a las pequeñas empresas de mediana capitalización, con el fin de reducir las cargas administrativas y de favorecer la innovación y la competitividad. No obstante, subraya que estos regímenes simplificados deben aplicarse exclusivamente a las empresas que no sean empresas asociadas ni estén vinculadas a otras empresas, de conformidad con las Recomendaciones 2003/361/CE y 2025/1099/UE de la Comisión.

 

      1.9.            El CESE recomienda vincular el calendario de aplicación de las obligaciones en materia de IA de alto riesgo a la disponibilidad de normas armonizadas elaboradas por el Comité Europeo de Normalización (CEN) o el Comité Europeo de Normalización Electrotécnica (Cenelec), con la participación —cuando sea necesario— de los interlocutores sociales, así como a las capacidades de los organismos notificados.

 

        1.10.        El CESE apoya que la Oficina de IA cree —con una estrecha cooperación transfronteriza entre las autoridades nacionales— espacios controlados de pruebas que comprendan, cuando proceda, vías específicas para los servicios de gran confianza (por ejemplo, las profesiones liberales). Cuando estén implicados los derechos de los trabajadores o de los ciudadanos, dichos espacios controlados de pruebas deben desarrollarse en estrecha consulta con las partes interesadas pertinentes, en particular, con los interlocutores sociales.

 

        1.11.        El CESE recomienda que, en el caso de los sistemas de IA de alto riesgo, se exija un control ex ante a lo largo de todo el proceso de introducción en el mercado, por ejemplo, a través de espacios controlados de pruebas bajo la supervisión de las autoridades nacionales competentes o de la Oficina de IA, con el fin de garantizar el cumplimiento de los requisitos reglamentarios y la protección de los derechos fundamentales y de los derechos de los trabajadores, mediante un seguimiento y una notificación de resultados transparentes y basados en indicadores clave de rendimiento.

 

        1.12.        El CESE apoya el desarrollo, la aplicación y el entrenamiento de la IA en Europa, siempre que se garantice un uso responsable de los datos que se empleen para esta última actividad (en particular cuando se utilicen datos que sean sensibles para la mitigación de los sesgos), se establezcan estrictas salvaguardias que protejan los derechos fundamentales, los valores sociales y la privacidad, y se mitiguen los riesgos mediante un control de las responsabilidades, la acción y supervisión humanas, la solidez y seguridad técnicas, la gestión de los datos y la privacidad, la transparencia, la diversidad y la equidad.

 

        1.13.        El CESE reconoce que el uso de datos es necesario para desarrollar sistemas de IA. Sin embargo, los proveedores y los responsables de su despliegue deben garantizar que dichos sistemas sean tan transparentes como sea técnicamente viable para que las autoridades nacionales competentes puedan supervisarlos eficazmente y los interlocutores sociales tengan la participación que les corresponde, en particular cuando la IA se utilice en el lugar de trabajo.

 

        1.14.        El CESE valora positivamente que se dote a la Oficina de IA de recursos y equipos suficientes en su calidad de organismo central de coordinación para la aplicación y la supervisión del Reglamento de Inteligencia Artificial. Entre otras funciones, debe facilitar la cooperación transfronteriza, proporcionar directrices claras y accesibles a las empresas, los entes públicos y los interlocutores sociales, apoyar a las pymes y a las pequeñas empresas de mediana capitalización, y garantizar una interpretación y una aplicación coherentes de la normativa sobre la IA en todos los Estados miembros, en consulta con todas las partes interesadas pertinentes.

 

        1.15.        A juicio del CESE, conviene garantizar que, cuando un proveedor considere que un sistema de IA no es de alto riesgo con arreglo a lo dispuesto en el artículo 6, apartado 4, del Reglamento de Inteligencia Artificial, se mantengan mecanismos de transparencia adecuados para que las autoridades nacionales competentes puedan valorar la evaluación del proveedor. Dichos mecanismos deberán integrar, cuando sea necesario, procedimientos de registro o de notificación que permitan una supervisión eficaz, así como verificar la evaluación del proveedor y prevenir posibles riesgos para los derechos fundamentales, en particular para los derechos de los trabajadores.

 

1.16.    Por lo que se refiere al artículo 4 del Reglamento de Inteligencia Artificial, el CESE propone mantener la obligación explícita de que los proveedores y responsables del despliegue de sistemas de IA garanticen que su personal, así como cualquier persona responsable del funcionamiento y el uso de los sistemas de IA en su nombre, cuente con un nivel suficiente de alfabetización en materia de IA; no obstante, también deben diseñarse programas sobre esta materia dirigidos a todas las personas.

 

1.17.    El CESE insta a la Comisión Europea, al Parlamento y al Consejo a que den prioridad a la conclusión oportuna de las negociaciones tripartitas relacionadas con el Reglamento ómnibus digital sobre IA, a fin de que todas las partes interesadas tengan claridad y tiempo suficiente para adaptarse antes de que las obligaciones de IA de alto riesgo adquieran carácter vinculante. Además, recomienda coordinar estrechamente el Reglamento objeto de análisis con la propuesta legislativa relativa a la creación de las carteras europeas para empresas (1), ya que estas dos iniciativas comparten los objetivos de simplificación administrativa, interoperabilidad y coherencia en el seno del mercado único digital.

• Paquete Ómnibus Digital — Propuesta 2025/0360(COD)

        1.18.        El CESE apoya firmemente un «punto de entrada único» de la UE verdaderamente interoperable que abarque la Directiva SRI 2, el RGPD, el Reglamento sobre Resiliencia Operativa Digital, el Reglamento eIDAS y el sistema de informes de la Directiva relativa a la resiliencia de las entidades críticas. Dicho punto de entrada debe admitir la presentación de solicitudes no solo en la lengua del Estado miembro de que se trate, sino también en inglés, y la reutilización de la información presentada previamente; además, debe aplicar estrictos controles de acceso para las autoridades en función del principio de «necesidad de conocer»; deberán diseñarse proyectos piloto en colaboración con la industria y los interlocutores sociales.

 

        1.19.        El CESE subraya que la definición de «datos personales» establecida en el artículo 4, apartado 1, del RGPD es decisiva para determinar el ámbito de aplicación de dicho Reglamento y, en consecuencia, el alcance de las normas que salvaguardan el derecho fundamental a la protección de datos de carácter personal consagrado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea. En vista de ello, el CESE considera esencial que esta definición se formule de manera objetiva y suficientemente amplia, brinde seguridad jurídica, evite interpretaciones subjetivas o evasivas y garantice un nivel elevado y efectivo de protección de los derechos fundamentales, permitiendo al mismo tiempo un uso razonable de los datos.

 

        1.20.        El CESE pide a la Comisión Europea que adopte actos de ejecución que aclaren y especifiquen los medios y criterios para determinar cuándo los datos seudonimizados pueden considerarse anonimizados para otras entidades. El uso de datos anonimizados es un instrumento de gran importancia para la industria, en particular a los efectos del entrenamiento de la IA, a la par que proporciona un mecanismo para equilibrar la innovación con sólidas salvaguardias en materia de protección de datos y privacidad.

 

        1.21.        El CESE subraya que el derecho de acceso a los datos personales constituye un derecho habilitante y, por tanto, un requisito previo para el ejercicio efectivo de otros derechos fundamentales. Por consiguiente, recomienda que se garantice plenamente el derecho de acceso siempre que el interesado persiga un fin legítimo, en particular la protección de los derechos de los trabajadores o la salvaguardia de la salud y la seguridad en el trabajo. Además, la carga de la prueba en relación con la existencia de un abuso de derecho por parte del interesado seguirá recayendo en el responsable del tratamiento.

 

        1.22.        El CESE recomienda que la definición de «investigación científica» se mantenga en su sentido comúnmente aceptado, pero que permita la innovación a través de la investigación industrial. El CESE se remite a la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), según la cual cualquier limitación —amplia, desequilibrada o absoluta— de los derechos consagrados en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea no puede considerarse compatible con la Carta (2), para pedir un enfoque justo respecto del alcance de la investigación científica.

 

        1.23.        Por lo que se refiere al artículo 22, apartado 1, del RGPD, el CESE subraya la necesidad de respetar plenamente el principio de minimización de datos consagrado en el artículo 5, apartado 1, de dicho Reglamento (3). Es necesario implantar sistemas automatizados de toma de decisiones, cuando ofrezcan un claro valor añadido y eficiencia, y garantizar que su uso siga siendo necesario y proporcionado a la tarea. Cuando sea posible tomar decisiones razonables por medios no automatizados o alternativas menos intrusivas, debe priorizarse la toma de decisiones humana.

 

        1.24.        Por lo que se refiere a la Directiva sobre la privacidad y las comunicaciones electrónicas, el CESE anima a los colegisladores a que estudien vías para simplificar los requisitos de consentimiento en contextos de bajo riesgo. Una solución proporcionada y basada en el riesgo preservaría la capacidad de innovación de las tecnologías que ofrecen claros beneficios para la sociedad, manteniendo al mismo tiempo sólidas salvaguardias para la privacidad.

 

        1.25.        El CESE apoya que se extienda la simplificación de la documentación, la notificación y los procedimientos a las pequeñas empresas de mediana capitalización (así como a las pymes y las empresas emergentes), a cuya disposición deben ponerse plantillas, ejemplos y procesos racionalizados, que deben ser obligatorios cuando no se traten datos personales. Todas las medidas de simplificación deben desarrollarse en consulta con los interlocutores sociales y la sociedad civil.

 

        1.26.        El CESE reconoce la necesidad de simplificar el marco regulador aplicable a las pymes y a las pequeñas empresas de mediana capitalización, con el fin de reducir las cargas administrativas y de favorecer la innovación y la competitividad. No obstante, subraya que estos regímenes simplificados deben aplicarse exclusivamente a las empresas que no sean empresas asociadas ni estén vinculadas a otras empresas, de conformidad con las Recomendaciones 2003/361/CE y 2025/1099/UE de la Comisión.

 

        1.27.        Los requisitos obligatorios de intercambio de datos establecidos en el Reglamento de Datos deben limitarse a los casos estrictamente necesarios, como emergencias públicas, o a la protección de los derechos fundamentales y de los trabajadores.

 

        1.28.        El CESE anima a la Comisión a que se centre en incentivos para el intercambio voluntario de datos, refuerce el Comité Europeo de Innovación en materia de Datos y fomente la implantación de espacios comunes europeos de datos para velar por la transparencia, la confianza y el beneficio público.

2.   NOTAS EXPLICATIVAS

Argumentos a favor de las recomendaciones 1.1 a 1.3

      2.1.            La competitividad mundial y la soberanía tecnológica de Europa dependen de una innovación y una adaptabilidad ágiles. La burocracia excesiva y la fragmentación de las normas obstaculizan el progreso digital y ponen a Europa en riesgo de quedarse rezagada. Racionalizar la normativa y reducir las cargas administrativas, respetando al mismo tiempo los derechos fundamentales y las normas sociales, libera recursos para la investigación, las capacidades y el crecimiento sostenible.

 

      2.2.            Garantizar una interacción coherente entre la IA, los datos, la privacidad y las normas en materia de ciberseguridad reducirá los riesgos de procesos contenciosos y los costes de cumplimiento, preservando al mismo tiempo unas estrictas normas sociales. Si se reduce la fragmentación de los requisitos de notificación, se liberarán recursos para la innovación, se mejorará el cumplimiento y se permitirá a las empresas, especialmente a las pymes y a las pequeñas empresas de mediana capitalización, centrarse en sus actividades esenciales.

 

      2.3.            La claridad y armonización jurídicas son esenciales para el funcionamiento del mercado único y la autonomía estratégica de Europa. Las definiciones ambiguas y las normas contradictorias generan incertidumbre, aumentan los costes de cumplimiento y pueden propiciar procesos contenciosos que socavan la confianza y ralentizan la cooperación transfronteriza. Unas definiciones claras y armonizadas contribuyen a garantizar una competencia leal, proteger los derechos fundamentales y permitir una aplicación efectiva con el fin de garantizar plenamente los derechos fundamentales, en particular los consagrados en los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

Argumentos a favor de las recomendaciones 1.4 a 1.17

      2.4.            Un enfoque regulador basado en el riesgo es esencial para equilibrar la innovación con la protección de los derechos fundamentales. Al adaptar las obligaciones a los riesgos reales, la UE puede fomentar una innovación responsable, apoyar a las pymes y a las pequeñas empresas de mediana capitalización, y garantizar que la seguridad y los derechos fundamentales no se vean comprometidos.

 

      2.5.            El Reglamento de Inteligencia Artificial se concibió deliberadamente como un marco horizontal diseñado para funcionar en armonía con las normas sectoriales de seguridad vigentes, como el Reglamento (UE) 2023/1230, relativo a las máquinas, el Reglamento sobre los productos sanitarios y el Reglamento sobre los productos sanitarios para diagnóstico in vitro. Sin embargo, el solapamiento de las obligaciones de cumplimiento, como las evaluaciones de la conformidad duplicadas o las definiciones de riesgos no sincronizadas, puede dar lugar a incoherencias, costes y retrasos en la certificación de productos y sistemas innovadores con IA integrada.

 

      2.6.            La carrera mundial por el liderazgo en el ámbito de la IA se está intensificando, y Europa debe garantizar que sus plazos reglamentarios sean realistas e inclusivos. Unos plazos ajustados, especialmente en el caso de la IA de alto riesgo, podrían excluir del mercado a las pymes y las pequeñas empresas de mediana capitalización y ralentizar la innovación.

 

      2.7.            Los espacios controlados de pruebas son una herramienta de eficacia demostrada para fomentar una innovación responsable y poner a prueba nuevas tecnologías en condiciones reales. Al permitir una cooperación transfronteriza y una participación inclusiva, que comprendan, cuando proceda, vías específicas para los servicios de gran confianza (por ejemplo, las profesiones liberales), los espacios controlados de pruebas ayudan a Europa a adaptarse a los rápidos cambios tecnológicos, apoyan a las pymes y garantizan que las nuevas soluciones cumplan estrictas normas sociales, éticas y de seguridad.

 

      2.8.            Pese a la importancia de los datos para el entrenamiento, los ensayos y la mejora de los sistemas de IA, el CESE subraya que la IA basada en datos debe encontrar un equilibrio entre innovación y responsabilidad. Los proveedores y los responsables del despliegue deben garantizar, en la medida de lo posible, la transparencia sobre el funcionamiento de estos sistemas, los datos en los que se basan y la manera en que se toman las decisiones o se generan los resultados. Esta transparencia es una condición esencial para una autoevaluación eficaz y para que las autoridades nacionales competentes efectúen una supervisión adecuada. También es fundamental garantizar la participación significativa de los interlocutores sociales, especialmente cuando se introduce la IA en el lugar de trabajo.

 

      2.9.            La seguridad jurídica es un pilar fundamental para el éxito de la transformación digital y la soberanía tecnológica. Las demoras en el proceso legislativo pueden hacer que las empresas, en particular las pymes, no estén preparadas para adaptarse a los nuevos requisitos de cumplimiento. Según el calendario de aplicación de los sistemas de alto riesgo, las obligaciones al respecto entrarán en vigor en agosto de 2026. Si se concluye el diálogo tripartito con suficiente antelación respecto de dicha fecha, la UE puede garantizar que la transición hacia una regulación de la IA de alto riesgo sea inclusiva y operativa para las empresas, los servicios públicos y la sociedad civil.

 

        2.10.        Para la aplicación eficaz y armonizada del Reglamento de Inteligencia Artificial en toda la UE, es esencial contar con una Oficina de IA consolidada que cuente con los recursos suficientes, pues una supervisión fragmentada y una aplicación incoherente de las normas podrían socavar tanto la innovación como los derechos fundamentales. Al funcionar como un eje central, la Oficina de IA puede colmar las brechas entre las autoridades nacionales, la industria y la sociedad civil.

 

        2.11.        El CESE pide mecanismos eficaces para verificar el cumplimiento de las salvaguardias, entre las que se incluyen una sólida seudonimización o técnicas equivalentes de mejora de la privacidad, una limitación estricta de la finalidad del tratamiento de datos y la supresión de los datos sensibles una vez que se haya satisfecho la finalidad prevista. Los representantes de los trabajadores deben participar, cuando proceda, en las estructuras de supervisión o de gestión de los conjuntos de datos, a fin de garantizar transparencia y confianza.

Argumentos a favor de las recomendaciones 1.18 a 1.28

        2.12.        La ciberseguridad y la resiliencia son fundamentales para la soberanía tecnológica de Europa. Un «punto de entrada único» verdaderamente interoperable para la notificación de incidentes reducirá la duplicación, mejorará el conocimiento de la situación y permitirá respuestas más ágiles y coordinadas a las amenazas.

 

        2.13.        Según una sentencia del TJUE, «negar» la calificación de «datos personales» a una información determinada supondría eludir por completo las obligaciones, los principios y las garantías que establece la legislación en materia de protección de datos personales (4). En tal supuesto, el interesado no podría ejercer sus derechos (por ejemplo, de acceso) ni presentar una reclamación para impugnar la decisión, y las autoridades nacionales no podrían llevar a cabo ninguna supervisión. Por estas razones, el TJUE ha afirmado reiteradamente que el concepto de «datos personales» debe interpretarse en sentido amplio (5) y que la probabilidad de identificación debe evaluarse a la luz de «todos los factores objetivos» (6).

 

        2.14.        La capacidad de tratar y utilizar los datos de manera responsable es un pilar fundamental de la innovación digital y del interés público. Aclarar cuándo los datos seudonimizados pueden considerarse anonimizados es fundamental para la seguridad jurídica y la innovación. Los datos anonimizados permiten a las empresas entrenar los sistemas de IA sin tratar datos personales, reduciendo así los riesgos de cumplimiento y manteniendo al mismo tiempo sólidas salvaguardias para la privacidad.

 

        2.15.        Cuando los actos de ejecución se refieran al uso de datos o sistemas de IA en contextos laborales o tengan implicaciones para las condiciones de trabajo o los derechos de los trabajadores, el CESE subraya la necesidad de que se redacten y adopten en estrecha consulta con los interlocutores sociales, de conformidad con el Derecho de la Unión y las prácticas consolidadas de diálogo social.

 

        2.16.        El TJUE ha aclarado que el derecho de acceso debe permitir a los interesados verificar que sus datos personales son exactos y que son tratados lícitamente (7). Además, la innecesariedad de invocar un motivo específico que justifique la solicitud de acceso ayuda a los interesados a ejercer sus derechos con mayor facilidad (8). En consecuencia, toda posibilidad de que un responsable del tratamiento se niegue a actuar respecto de una solicitud de acceso debe interpretarse de modo estricto (9) y, cuando se niegue a ello alegando el carácter excesivo de la solicitud, debe demostrar —a la luz de todas las circunstancias pertinentes— la intención abusiva del interesado (10).

 

        2.17.        Según el Comité Europeo de Protección de Datos (CEPD), en lo que respecta al término «investigación científica», su significado «no puede ir más allá de su acepción común» (11). Esta afirmación coincide con la jurisprudencia consolidada del TJUE, según la cual «la protección del derecho fundamental a la intimidad exige que las excepciones a la protección de los datos personales y las restricciones a dicha protección se establezcan sin sobrepasar los límites de lo estrictamente necesario» (12).

 

        2.18.        El principio de minimización de datos del artículo 5, apartado 1, letra c), del RGPD exige que los responsables del tratamiento traten únicamente los datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Si es posible tomar una decisión razonable por medios no automatizados, el despliegue de un sistema automatizado suele implicar la recopilación, inferencia o conservación de datos adicionales y la creación de nuevos riesgos (por ejemplo, elaboración de perfiles, opacidad, sesgo y merma de la disputabilidad). Por este motivo, el uso de los sistemas automatizados de toma de decisiones debe limitarse a las situaciones en las que resulte necesario.

 

        2.19.        En el marco actual de la Directiva sobre la privacidad y las comunicaciones electrónicas, el acceso a los datos en los equipos terminales, incluso en contextos de bajo riesgo, a menudo requiere el consentimiento del usuario. Si bien la protección de la privacidad es esencial, unos requisitos de consentimiento excesivamente rígidos pueden obstaculizar inconscientemente la innovación en ámbitos que aportan beneficios sociales significativos, como la seguridad de los vehículos y la conducción autónoma. En estos casos, la imposibilidad de acceder a datos pertinentes puede comprometer los avances en las tecnologías que mejoran la seguridad vial y reducen los accidentes.

 

        2.20.        Reducir la burocracia y extender las simplificaciones a las pequeñas empresas de mediana capitalización es vital para la columna vertebral industrial de Europa. Estas empresas y las pymes impulsan la innovación, la creación de empleo y el desarrollo regional, pero suelen verse afectadas de manera desproporcionada por complejos requisitos de cumplimiento.

 

        2.21.        El intercambio voluntario de datos, respaldado por incentivos y un sólido Comité Europeo de Innovación en materia de Datos, es fundamental para construir una economía de los datos próspera y reforzar la soberanía tecnológica de Europa. Los espacios comunes europeos de datos permiten la colaboración, la innovación y el uso responsable de los datos de manera transfronteriza e intersectorial.

 

Bruselas, 18 de marzo de 2026.

El Presidente

del Comité Económico y Social Europeo

                                                Séamus BOLAND


(1)   COM(2025) 838 final.

(2)   Sentencia de 8 de abril de 2014, Digital Rights Ireland Ltd/Minister for Communications, Marine and Natural Resources y otros (C-293/12), y Kärntner Landesregierung y otros (C-594/12), asuntos acumulados C-293/12 y C-594/12, EU:C:2014:238, apartado 38.

(3)   Sentencia de 4 de julio de 2023, Meta Platforms Inc. y otros/Bundeskartellamt, asunto C-252/21, EU:C:2023:537, apartado 109.

(4)   Sentencia de 20 de diciembre de 2017. Peter Nowak contra Data Protection Commissioner, C-434/16, EU:C:2017:994, apartado 49.

(5)   Sentencia de 7 de marzo de 2024, OC contra Comisión Europea, C-479/22 P, EU:C:2024:215, apartado 45.

(6)   Sentencia de 7 de marzo de 2024, OC contra Comisión Europea, C-479/22 P, EU:C:2024:215, apartado 79. Sentencia de 4 de septiembre de 2025, Supervisor Europeo de Protección de Datos (SEPD)/Junta Única de Resolución (JUR), C-413/23 P, EU:C:2025:645, apartado 79.

(7)   Sentencia de 22 de junio de 2023. Procedimiento incoado por J. M., C-579/21, EU:C:2023:501, apartado 57.

(8)   Sentencia de 26 de octubre de 2023. FT contra DW, C-307/22, EU:C:2023:811, apartado 50.

(9)   Conclusiones del Abogado General Sr. Maciej Szpunar, presentadas el 18 de septiembre de 2025, Brillen Rottler GmbH & Co. KG/TC, C-526/24, EU:C:2025:723, apartado 30.

(10)   Conclusiones del Abogado General Sr. Maciej Szpunar, presentadas el 18 de septiembre de 2025, Brillen Rottler GmbH & Co. KG/TC, C-526/24, EU:C:2025:723, apartado 41.

(11)   Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote de COVID-19, p. 5, CEPD.

(12)   Sentencia de 7 de noviembre de 2013, Institut professionnel des agents immobiliers (IPI)/Geoffrey Englebert y otros, C-473/12, EU:C:2013:715, apartado 39.


ELI: http://data.europa.eu/eli/C/2026/3225/oj

ISSN 1977-0928 (electronic edition)