El 19 de noviembre de 2025, la Comisión Europea presentó su esperado Paquete Digital, cuyo objetivo es hacer que el marco normativo digital de la UE sea más sencillo, coherente y fácil de aplicar para las empresas. El paquete introduce cambios específicos en materia de datos, ciberseguridad e inteligencia artificial, y supone un primer paso hacia un marco digital más racionalizado en Europa.
A continuación se ofrece una visión general del paquete y algunas observaciones preliminares sobre sus principales novedades.
Digital Omnibus(es): primer paso hacia la simplificación
El llamado Digital Omnibus se presenta como un punto de partida para reducir la complejidad del “Rulebook” digital de la UE. Consta de dos propuestas de reglamento: una que aborda el marco legislativo digital en general y otra centrada en la IA.
a. Digital Omnibus sobre el acquis digital (datos, ciberseguridad, privacidad)
El objetivo principal del reglamento propuesto es simplificar la legislación europea en materia de datos y reducir las cargas administrativas, en particular en lo referente a la notificación de incidentes de ciberseguridad.
En cuanto al marco europeo de datos, el Digital Omnibus introduce cambios significativos en las leyes de datos de la UE. Normas obsoletas, como determinadas disposiciones del Reglamento sobre la libre circulación de datos no personales, han sido derogadas e integradas en la Data Act, mientras que se han racionalizado las exigencias solapadas entre la Data Governance Act (DGA), la Data Act y la Directiva de Datos Abiertos (OPP). El objetivo principal de la Comisión es consolidar las normas clave sobre datos en dos grandes leyes: la Data Act, que abarcará los datos no personales e integrará la DGA, la ODD y la FFDR, y el RGPD, que seguirá regulando el tratamiento de datos personales.
Entre las modificaciones específicas de la Data Act introducidas por el Digital Omnibus destacan una ampliación del ámbito de aplicación, definiciones más claras de conceptos como “titular de los datos” y “acceso a los datos”, mayores salvaguardias para los secretos comerciales en el intercambio de datos de IoT y una reducción de las obligaciones “business-to-government” (B2G), limitándolas a situaciones de emergencia pública. Además, se añaden nuevos capítulos sobre servicios de intermediación de datos y altruismo de datos, se fusionan las normas relativas a la reutilización de datos del sector público y se prohíben los requisitos de localización de datos. El RGPD se actualiza con una definición más depurada de “dato personal”, obligaciones simplificadas para responsables y afectados, y un requisito de notificación de brechas de datos más restringido, limitado a incidentes de alto riesgo con un plazo de 96 horas.
En cuanto a las medidas de simplificación en ciberseguridad, se establece la creación de un Punto Único de Entrada para la notificación de incidentes a través de distintos marcos normativos, que será gestionado por ENISA. Esta agencia pilotará el sistema en un plazo de 18 meses, garantizando que los incidentes graves solo deban notificarse una vez cuando exista solapamiento entre distintas normas.
b. Digital Omnibus sobre IA
El Digital Omnibus centrado en IA está diseñado para simplificar la aplicación del Reglamento de IA (AI Act) y abaratar su cumplimiento para las empresas, atendiendo a los retos señalados por las partes interesadas durante las consultas celebradas en 2025.
Introduce varios ajustes importantes al AI Act, comenzando por un nuevo mecanismo de “stop-the-clock” que vincula la aplicación de las obligaciones relativas a la IA de alto riesgo a la disponibilidad de herramientas de apoyo esenciales, como normas armonizadas, especificaciones comunes y directrices de la Comisión. Estas obligaciones solo comenzarán a aplicarse una vez que la Comisión confirme que existen medidas adecuadas, tras lo cual se abrirá un período transitorio; en cualquier caso, deberán aplicarse como máximo 12 meses después de dicha confirmación (para los sistemas de IA de alto riesgo del artículo 6, apartado 1, y del Anexo I del AI Act) y, a falta de decisión, se mantiene flexibilidad hasta el 2 de agosto de 2028.
Más allá de este mecanismo, la propuesta amplía las simplificaciones ya previstas para las pymes a las empresas de pequeña y mediana capitalización (small y mid-cap), introduce nuevas definiciones jurídicas tanto para pymes como para SMCs y desplaza la responsabilidad de promover la capacitación en IA (AI literacy) desde los proveedores y usuarios de sistemas de IA hacia la propia Comisión y los Estados miembros. También elimina determinadas obligaciones de registro para los sistemas de IA del Anexo III que queden exentos de la clasificación de alto riesgo y simplifica el proceso de designación de los organismos de evaluación de la conformidad y organismos notificados mediante un único procedimiento de solicitud y evaluación aplicable tanto al AI Act como a la legislación de armonización pertinente. Además, un nuevo Anexo XIV aclara el alcance de la designación de los organismos notificados y se fija un plazo máximo de 18 meses para que los organismos ya designados presenten su solicitud de designación bajo el AI Act.
Iniciativas complementarias publicadas como parte del Paquete Digital
Junto al Digital Omnibus, varias iniciativas relacionadas forman parte del paquete más amplio de simplificación digital de la Comisión.
El Digital Fitness Check (previsto para principios de 2027) evaluará cómo interactúan en la práctica las normas digitales de la UE, analizando sus efectos acumulados sobre sectores estratégicos y pymes e identificando dónde puede ser necesaria una mayor simplificación. Como complemento, la Estrategia de la Unión de Datos de la UE (EU Data Union Strategy) define medidas para desbloquear datos de alta calidad para la IA y la innovación, al tiempo que consolida el marco de datos de la UE, refuerza los espacios de datos interoperables y los Data Labs y potencia la soberanía europea sobre los datos.
Por último, la propuesta de European Business Wallet introduce una nueva herramienta digital destinada a agilizar y asegurar las interacciones entre empresas y autoridades públicas en toda la UE.
En cuanto a los próximos pasos, las posibles implicaciones del Paquete Digital para nuestro sector se analizarán durante la próxima CECE Technical Week en diciembre, que también ofrecerá una oportunidad para coordinar el enfoque común de CECE ante las recientes propuestas de la Comisión y comenzar a planificar las aportaciones conjuntas de CECE a las consultas en curso.
