Economía Digital, Energía y Medio Ambiente

La propuesta de la Comisión Europea para la simplificación de la normativa digital: un primer ajuste correctivo, pero no un punto de llegada

12 enero, 2026

Fedea publica hoy un completo análisis de Judith Arnal sobre la propuesta de la Comisión Europea para la simplificación de la normativa digital.

Descargar documento

En menos de una década, la Unión Europea ha construido el marco regulatorio digital más ambicioso del mundo, pero también uno de los más complejos. Del Reglamento General de Protección de Datos (GDPR) al Reglamento de Inteligencia Artificial, pasando por la normativa de Mercados Digitales, Servicios Digitales, Datos, Ciberseguridad y Resiliencia Operativa, el acervo regulatorio digital europeo se ha organizado en capas  superpuestas que, en muchos casos, los 27 Estados miembros interpretan y aplican de forma desigual. «El resultado es que una misma actividad queda sujeta a obligaciones procedentes de varias capas, aplicadas bajo instrumentos jurídicos y estructuras de gobernanza distintas», señala el documento.

El Paquete Ómnibus Digital, presentado por la Comisión en noviembre de 2025, es el primer intento visible de frenar esta dinámica. Pero, según el análisis de Arnal, experta en regulación financiera y digital europea, la iniciativa es “simultáneamente necesaria e insuficiente”.

El debate sobre la protección de derechos: ¿codificación o desmantelamiento?

Tras repasar brevemente la situación de partida y los problemas que genera la actual regulación europea en materia digital, el documento ofrece un análisis crítico del llamado Ómnibus Digital, pronunciándose sobre la controversia que la propuesta ha desatado. Para ciertos constitucionalistas europeos y organizaciones de derechos digitales, las reformas constituirían un «desmantelamiento encubierto» del modelo europeo de protección de datos bajo la etiqueta de simplificación administrativa. Sin embargo, la autora sostiene una interpretación distinta, defendiendo que muchas de las modificaciones más controvertidas no suponen un cambio sustantivo en el nivel de protección, sino que codifican o clarifican criterios ya asentados en la jurisprudencia del Tribunal de Justicia y en la práctica del Comité Europeo de Protección de Datos.

La tesis central: el Ómnibus identifica correctamente varios problemas importantes

El análisis reconoce que el Ómnibus aborda disfunciones reales del acervo europeo:

Bloque 1: Desbloquear la IA europea sin sacrificar la privacidad

  • Clarifica el uso del interés legítimo como base jurídica para desarrollar sistemas de IA, poniendo fin a años de inseguridad competitiva
  • Precisa cuándo la información no se considera dato personal (cuando la entidad no dispone de medios razonables de identificación)
  • Reforma la política de cookies integrándola en el GDPR, reduciendo la «fatiga del consentimiento»

Bloque 2: De cuatro normas a una sola

  • Deroga cuatro instrumentos superpuestos (Reglamento de Gobernanza de Datos, Reglamento sobre Libre Flujo de Datos no Personales, Directiva de Datos Abiertos y Reglamento Plataforma-Empresa)
  • Los integra en un único Reglamento de Datos ampliado

Bloque 3: Ajustes pragmáticos al Reglamento de IA

  • Vincula obligaciones sobre sistemas de alto riesgo a la disponibilidad efectiva de normas armonizadas (con fecha límite definitiva)
  • Reduce cargas administrativas: elimina la obligación general de «alfabetización en IA» y el registro de sistemas exentos de clasificación de alto riesgo
  • Refuerza la gobernanza centralizando competencias en la Oficina de IA de la Comisión, especialmente para modelos de propósito general

Bloque 4: Un ciberataque, una sola notificación

  • Crea un punto de entrada único en ENISA: «notificar una vez, compartir múltiples veces»
  • Elimina notificaciones paralelas bajo NIS2, DORA, CER, eIDAS y GDPR

Pero no ataca las causas estructurales de la complejidad

Sin embargo, el análisis identifica siete carencias estratégicas que limitan el impacto duradero del Ómnibus:

1. Persistencia de directivas sin mecanismos de depuración nacional: El Ómnibus no garantiza que las disposiciones derogadas desaparezcan del Derecho nacional, como ilustra la experiencia de NIS2.

2. Oportunidad perdida con ePrivacy: Mantiene vigente la Directiva ePrivacy pese a reconocer sus disfunciones, perpetuando un trato asimétrico entre actores del sector digital, al imponer obligaciones específicas a telecomunicaciones mientras otros operadores quedan sujetos únicamente al GDPR.

3. Capacidad institucional insuficiente: La asignación presupuestaria para que ENISA gestione el punto único de notificaciones es claramente insuficiente. Sin compromiso de los Estados para racionalizar canales nacionales, existe riesgo de que funcione como capa adicional.

4. Consolidación incompleta del marco de datos: El Reglamento de Datos mantiene categorías conceptualmente difusas como ‘datos de producto’ y un sesgo que concentra el control en titulares industriales, frenando mercados de datos competitivos.

5. Desplazamiento de la inseguridad jurídica en IA: Los ajustes al Reglamento de IA prolongan la incertidumbre al desplazar el contenido efectivo de obligaciones hacia instrumentos posteriores de soft law con limitada rendición de cuentas democrática.

6. Ausencia de textos consolidados: El paquete no va acompañado de versiones consolidadas de las normas afectadas, obligando a empresas y autoridades a reconstruir el Derecho aplicable por su cuenta a partir de sucesivas propuestas.

7. Gobernanza fragmentada y dependencia de normativa de desarrollo: El recurso intensivo a actos de ejecución, normas técnicas y directrices constituye un mecanismo compensatorio de una aplicación altamente descentralizada. La simplificación se anuncia en el acto legislativo, pero su efectividad queda condicionada a una normativa de desarrollo posterior, de contenido y calendario inciertos.

Conclusión: un primer ajuste correctivo, no un punto de llegada

El Ómnibus Digital identifica con acierto varios puntos de fricción y propone correcciones concretas y bien orientada. Su valor reside en esta aproximación pragmática: no pretende reescribir la normativa desde cero, sino corregir disfunciones que generaban costes sin beneficios proporcionales.

Sin embargo, al optar por modificaciones legislativas puntuales sin alterar la arquitectura institucional subyacente, el paquete corre el riesgo de convertirse en un ejercicio de simplificación aparente que alivia síntomas sin atacar las causas estructurales: una gobernanza profundamente fragmentada, la persistencia de marcos obsoletos, la falta de mecanismos de depuración coherente del Derecho nacional y la dependencia estructural de instrumentos legislativos de desarrollo.

Trabajo completo

Arnal, J. (2026). “La propuesta de la Comisión Europea para la simplificación de la normativa digital: un primer ajuste correctivo, pero no un punto de llegada.” FEDEA, Colección Apuntes no. 2026-02. Madrid.

Fundación de Estudios de Economía Aplicada
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Política de Privacidad
Política de Cookies