Primera reforma del Reglamento IA de la UE: Digital Omnibus on AI
Primera reforma del Reglamento IA de la UE: Digital Omnibus on AI
I. Introducción
La IA ha dejado de ser una tecnología emergente para convertirse en una infraestructura transversal presente en prácticamente todos los sectores económicos, administrativos y sociales. Su incorporación a procesos de decisión, actividades industriales, servicios públicos, sanidad, educación, transporte o servicios financieros ha transformado el contexto regulatorio europeo y ha obligado al legislador de la Unión a afrontar uno de los mayores desafíos jurídicos de las últimas décadas: fomentar la innovación sin comprometer la protección de los derechos fundamentales, la seguridad de las personas y el correcto funcionamiento del mercado interior.
La respuesta europea se materializó en el AI Act, que adoptó una aproximación horizontal basada en la clasificación de los sistemas según su nivel de riesgo para los derechos fundamentales, la salud, la seguridad y demás intereses públicos. Su arquitectura descansa sobre el principio esencial de que, cuanto mayor sea el riesgo, mayores serán las obligaciones impuestas a quienes lo desarrollan, comercializan o utilizan. Esa lógica permitió conciliar dos objetivos a menudo contrapuestos, de un lado, garantizar un elevado nivel de protección y, de otro, preservar la competitividad, la innovación y el desarrollo tecnológico, evitando cargas desproporcionadas sobre tecnologías de impacto limitado. Su objeto, alcance y complejidad técnica hicieron previsible desde un primer momento que ciertas cuestiones precisarían ajustes incluso antes de la plena aplicación de sus disposiciones, conforme a la experiencia de otros instrumentos de extraordinaria complejidad, como el Reglamento General de Protección de Datos, la normativa financiera o la legislación sobre seguridad de productos.
La finalidad del Digital Omnibus on AI no consiste en sustituir el modelo del AI Act ni en modificar los pilares de la regulación europea de la IA, ni en reducir el nivel de protección de los derechos fundamentales, sino en mejorar la aplicabilidad del Reglamento mediante ajustes técnicos, organizativos y procedimentales. El legislador vincula expresamente el aplazamiento de algunas de sus disposiciones, no solo a la falta de normas armonizadas, sino también al retraso en la implantación de las estructuras nacionales de gobernanza y evaluación de la conformidad, sin perjuicio de que las consultas a los interesados evidenciaron la necesidad de medidas adicionales de clarificación.
La adopción por el Parlamento de su posición en primera lectura constituye, así, la primera revisión legislativa del AI Act, cuya relevancia no deriva del número de disposiciones modificadas, sino de ofrecer una primera oportunidad para valorar cómo concibe el legislador la evolución futura del Reglamento. No se trata de un mero ajuste técnico carente de relevancia jurídica, pero tampoco una revisión sustancial del modelo. El análisis revela un propósito intermedio, orientado a preservar íntegramente los principios estructurales del AI Act perfeccionando los mecanismos de su aplicación, si bien, algunas modificaciones, especialmente las que afectan al calendario y al artículo 5, poseen un alcance que trasciende lo puramente procedimental.
Supone, además, una oportunidad para ampliar las prohibiciones de sistemas que debieron calificarse de riesgo inadmisible desde un inicio. A la vista del texto, considero, no obstante, que nos hallamos ante una nueva oportunidad perdida, en la medida que ni siquiera se valoró contemplar realidades desbordantes como la IA agéntica, ni incorporar unos principios generales mínimos exigibles a cualquier sistema inteligente, cualquiera que sea su nivel de riesgo, incluidos los agentes más autónomos, con origen en los marcos éticos de mayor consenso internacional. Tales principios llegaron a incorporarse al proyecto del AI Act en su última fase de tramitación como artículo 4 bis, pero finalmente fueron obviados, quedando de nuevo en el ámbito de lo dispositivo y no vinculante.
II. El contexto jurídico y político de la primera reforma
La primera modificación no se comprende al margen del contexto político, económico y regulatorio en que se produce. A diferencia de otras reformas impulsadas tras largos periodos de aplicación, el Ómnibus se adopta cuando una parte significativa de las obligaciones del AI Act todavía no es exigible. Esta circunstancia podría sugerir una revisión prematura, sin embargo, un examen más contextual evidencia que la finalidad no es corregir un eventual fracaso del Reglamento, sino adaptar determinados mecanismos a la realidad económica y tecnológica existente en el momento de su exigencia.
La reforma se inserta en una estrategia más amplia de simplificación normativa impulsada por la Comisión. La agenda de competitividad parte de la premisa de que la acumulación progresiva de obligaciones derivadas de los distintos instrumentos del Derecho Digital de la Unión -protección de datos, ciberseguridad, servicios y mercados digitales, resiliencia operativa, gobernanza de datos o IA- puede generar costes de cumplimiento especialmente gravosos para pymes, empresas emergentes y, según incorpora ahora el Reglamento, las denominadas pequeñas empresas de mediana capitalización («small mid-cap enterprises» o SMC), categoría definida por remisión a la Recomendación (UE) 2025/1099 y a la que se extienden diversas medidas de apoyo antes reservadas a las pymes. De este modo, la simplificación deja de concebirse como una reducción del nivel de protección para convertirse en una técnica orientada a alcanzar los mismos objetivos mediante mecanismos menos complejos y administrativamente más eficientes.
Lejos de cuestionar el enfoque basado en el riesgo, la reforma pretende reforzarlo eliminando cargas de utilidad limitada o de aplicación desproporcionada, sin reducir las obligaciones esenciales ni alterar la naturaleza del AI Act como Reglamento directamente aplicable, su fundamento competencial o su arquitectura. El enfoque basado en el riesgo, la clasificación de sistemas, la estructura de obligaciones, el régimen de los modelos de propósito general, la función coordinadora del AI Office y la vigilancia del mercado permanecen inalterados. La mayor parte de las modificaciones son de naturaleza organizativa o procedimental, de modo que no alteran los deberes materiales de los operadores, sino la forma de cumplirlos, acreditarlos o supervisarlos.
El rasgo que mejor caracteriza esta primera revisión es el desplazamiento del foco desde la creación de nuevas obligaciones hacia la mejora de los mecanismos que garantizan el cumplimiento efectivo de las existentes, en la medida que el legislador asume que la eficacia del AI Act dependerá tanto de la calidad de las obligaciones como de la posibilidad real de integrarlas en los procesos de gestión y cumplimiento de empresas y Administraciones.
III. Las principales modificaciones introducidas
El texto adoptado permite agrupar las modificaciones en varios bloques con el objetivo de posibilitar la aplicabilidad práctica del AI Act sin alterar los elementos esenciales de su arquitectura. Conviene, no obstante, distinguir las de carácter estrictamente técnico u organizativo de aquellas que, por su contenido, presentan una dimensión material que merece tratamiento singular.
1. El aplazamiento del calendario de aplicación
La modificación de mayor calado práctico afecta al calendario del artículo 113. El legislador considera que la indisponibilidad de normas armonizadas, especificaciones comunes y orientaciones, unida al retraso en la constitución de las autoridades nacionales competentes, comprometía la entrada en aplicación efectiva de las obligaciones sobre sistemas de alto riesgo y amenazaba con un incremento injustificado de los costes de implementación. En consecuencia, la fecha de aplicación de las secciones 1, 2 y 3 del capítulo III se difiere hasta el 2 de diciembre de 2027 para los sistemas de alto riesgo del artículo 6.2 y el anexo III, y hasta el 2 de agosto de 2028 para los del artículo 6.1 y el anexo I. La distinción reproduce la diferencia de plazos ya prevista en el AI Act y condiciona la efectividad del nuevo calendario a que la Comisión asegure la disponibilidad oportuna de los instrumentos de apoyo al cumplimiento.
La reforma precisa, además, el alcance del periodo transitorio del artículo 111.2, en la medida que bastará que una sola unidad de un tipo y modelo de sistema de alto riesgo se haya comercializado o puesto en servicio antes de la fecha relevante para que las restantes unidades de ese mismo tipo y modelo puedan seguir ofreciéndose sin obligaciones adicionales, siempre que el diseño permanezca inalterado. Cualquier modificación sustancial posterior reactivará la plena exigibilidad de los requisitos. Se introduce asimismo un periodo transitorio de cuatro meses para los proveedores de sistemas de IA generativa sujetos a las obligaciones de marcado del artículo 50.2 comercializados antes del 2 de agosto de 2026, que dispondrán hasta el 2 de diciembre de 2026 para etiquetar sus contenidos sintéticos. Tales precisiones, lejos de relajar el régimen, dotan de seguridad jurídica a la transición y evitan que determinadas exigencias resulten formalmente aplicables antes de que existan los medios técnicos para satisfacerlas.
2. Las nuevas prohibiciones del artículo 5. Material íntimo no consentido y material de abuso sexual infantil
La reforma incorpora al catálogo de prácticas prohibidas del artículo 5 la comercialización, puesta en servicio o uso de sistemas de IA destinados a generar o manipular material íntimo no consentido -fenómeno asociado a las aplicaciones de “nudificación”- y material de abuso sexual infantil, incluido el total o parcialmente sintético. Es la modificación de mayor trascendencia desde la perspectiva de los principios que inspiran la reforma, pues no perfecciona un mecanismo de aplicación, sino que amplía el núcleo de lo prohibido en atención a desarrollos tecnológicos y sociales sobrevenidos.
El legislador delimita cuidadosamente su alcance. Respecto de los proveedores, la prohibición no impide desarrollar las capacidades técnicas de generación o manipulación de imágenes, vídeos o audio, sino que se proyecta sobre dos supuestos. De un lado, los sistemas concebidos para producir ese material y aquellos en que tal resultado sea razonablemente previsible y reproducible y no se hayan implantado medidas técnicas de seguridad adecuadas -por ejemplo, depuración de datos, entrenamiento orientado al rechazo, filtros y clasificadores de contenido, restricciones de uso o mecanismos de detección de abusos- conformes al estado de la técnica. La responsabilidad del proveedor no se limita, así, al diseño intencionado, sino que alcanza los resultados previsibles cuando faltan tales salvaguardas.
La prohibición relativa al material íntimo se circunscribe a representaciones realistas de partes íntimas de personas identificables o de actividad sexual explícita, y excluye expresamente los usos legítimos -aplicaciones médicas, obras artísticas no realistas, supuestos amparados por el consentimiento libre, específico, informado e inequívoco de la persona representada o, tratándose de material de abuso sexual infantil, las actividades cubiertas por una excepción del Derecho nacional y las tareas de evaluación y “red-teaming”-. El uso de un sistema de IA que genere o manipule el material o las actuaciones precitadas solo estará prohibido cuando el responsable del despliegue utilice el sistema con el fin de generar o manipular dicho material o dicha actuación.
El propio texto justifica la proporcionalidad de la medida y precisa que respeta el contenido esencial de la libertad de expresión y de la libertad de empresa (artículos 11 y 16 de la Carta), a la vez que la sustenta en la protección de los derechos reconocidos en los artículos 1, 3.1, 4, 7, 8, 21, 23 y 24 de la propia Carta y a la coherencia con la Directiva 2011/93/UE y la Directiva (UE) 2024/1385, recordando la vigencia del principio “ne bis in idem”» cuando la misma conducta resulte sancionable en vía penal. La incorporación de estas prohibiciones confirma que el modelo europeo no es un sistema cerrado, sino un marco llamado a actualizar su umbral de lo inaceptable a medida que la tecnología habilita nuevas formas de lesión de la dignidad y de los derechos fundamentales, singularmente de mujeres y menores.
3. Proporcionalidad, alfabetización en IA y simplificación documental
Diversas modificaciones refuerzan la proporcionalidad de las obligaciones administrativas, sin contemplar un régimen privilegiado por razón del tamaño, en la medida que el nivel de obligaciones sigue respondiendo al riesgo del sistema. Así, la evaluación de la conformidad simplificada para el sistema de gestión de la calidad, antes reservada a las microempresas, se extiende ahora a todas las pymes, incluidas las empresas emergentes. El instrumento reformula además el artículo 4, sustituyendo la obligación de garantizar la alfabetización en IA del personal por un deber de adoptar medidas que fomenten su desarrollo, atendiendo al conocimiento técnico, la formación y el contexto de uso, sin exigir un nivel concreto de competencia individual. De este modo transforma una obligación de resultado en un deber de medios, que la Comisión y los Estados miembros deberán facilitar, especialmente a pymes. Racionaliza también las obligaciones documentales y de registro, simplificando el contenido exigible para la inscripción de los sistemas del artículo 6.3 en la base de datos de la UE conforme al anexo VIII, sin merma de las exigencias esenciales de documentación, trazabilidad y gestión del riesgo. Por último, el nuevo artículo 4 bis habilita el tratamiento excepcional de categorías especiales de datos personales, con estrictas salvaguardias, para la detección y corrección de sesgos, y extiende esa base jurídica -antes circunscrita a los proveedores de alto riesgo- a proveedores y desplegadores de otros sistemas y modelos, reconociendo que el sesgo discriminatorio no es exclusivo de los sistemas de alto riesgo y reforzando la articulación con el RGPD.
4. Normalización, evaluación de la conformidad e interacción con la legislación sectorial
El recurso a normas armonizadas y especificaciones comunes es inherente al modelo europeo de regulación tecnológica. La reforma no lo altera, pero refuerza su operatividad y la coordinación con la legislación sectorial. Cuando la legislación de armonización de la sección A del anexo I garantice un nivel de protección equivalente o superior, la Comisión podrá limitar mediante actos delegados la aplicación de determinados requisitos del Reglamento para evitar duplicidades. Se prevé una solicitud y un procedimiento únicos de evaluación para los organismos notificados ya designados conforme a aquella -como los Reglamentos (UE) 2017/745 y (UE) 2017/746 sobre productos sanitarios- y se precisa que la clasificación como alto riesgo no impone automáticamente evaluación por tercero cuando quepa acudir a normas armonizadas. En la misma línea se traslada el Reglamento (UE) 2023/1230 sobre máquinas de la sección A a la sección B del anexo I y se incorpora la regla del artículo 12 del Reglamento (UE) 2024/2847 (Cyber Resilience Act), de modo que el cumplimiento de sus requisitos esenciales de ciberseguridad se reputa cumplimiento del artículo 15 del AI Act. Del mismo modo, la reforma redefine el concepto “componente de seguridad” del artículo 3.14 -que ahora exige una función de seguridad determinada por la finalidad prevista-, evitando una expansión de la clasificación de alto riesgo más allá de lo justificado por el enfoque de riesgo. La disponibilidad de los futuros estándares técnicos incrementará la seguridad jurídica y favorecerá una interpretación homogénea de las obligaciones.
5. Gobernanza, competencias del AI Office y espacios de pruebas
La reforma incrementa la coherencia de la supervisión sin centralizar más la aplicación ni alterar el reparto competencial. Se especifica la competencia exclusiva del AI Office sobre los sistemas construidos a partir de modelos de propósito general, que alcanza no solo a los supuestos en que sistema y modelo proceden del mismo proveedor, sino también a aquellos en que ambos son desarrollados por proveedores integrados en una misma empresa, y se atribuye a la Comisión la condición de autoridad de vigilancia del mercado cuando el sistema de IA constituya o se integre en una plataforma o motor de búsqueda de muy gran tamaño en el sentido del Reglamento (UE) 2022/2065 (Digital Services Act), con coordinación entre ambos regímenes conforme a los principios de cooperación leal, proporcionalidad y “non bis in idem”. En materia de innovación, se habilita al AI Office para establecer un espacio de pruebas o sandbox regulatorio a escala de la Unión, con acceso prioritario a pymes, empresas emergentes y SMC, y se amplían las pruebas en condiciones reales fuera de los sandboxes a los sistemas de alto riesgo cubiertos por la legislación sectorial del anexo I. No se crean nuevas estructuras ni se redistribuyen las competencias, sino que se pretende mejorar el funcionamiento de las instituciones ya previstas, favoreciendo la consolidación progresiva del modelo.
IV. Impacto sobre los distintos operadores
Los efectos de la reforma no se proyectan de manera uniforme. La estructura subjetiva del AI Act -proveedores, desplegadores, importadores, distribuidores, representantes autorizados y operadores de modelos de propósito general- permanece intacta, pero la intensidad con que cada categoría experimentará las consecuencias difiere según la naturaleza de las modificaciones. Para los proveedores de sistemas de alto riesgo, no se modifica el contenido de las obligaciones esenciales -gestión del riesgo, gobernanza de los datos, documentación técnica, registros, transparencia, supervisión humana, robustez, precisión, ciberseguridad y vigilancia poscomercialización-, pero se mejora la forma de acreditarlas y se concede, sobre todo, un margen temporal adicional de adaptación derivado del nuevo calendario. La principal dificultad de muchas organizaciones no residía en comprender las obligaciones, sino en integrarlas en procesos existentes, integración que la reforma facilita sin rebajar el estándar de diligencia. Las relativas a los modelos de propósito general aportan mayor previsibilidad mediante la clarificación del reparto competencial entre el AI Office y las autoridades nacionales, relevante para operadores de dimensión transfronteriza.
Las pymes y las empresas emergentes figuran entre los principales beneficiarios. La extensión a todas ellas del sistema de gestión de la calidad simplificado y el acceso prioritario a los sandboxes favorecen la entrada de nuevos operadores, y la categoría de las SMC evita que el tránsito de pyme a gran empresa se traduzca en un salto regulatorio abrupto. Las Administraciones Públicas, autoridades supervisoras y a la vez usuarias de sistemas de IA, se beneficiarán de una aplicación más homogénea derivada de la mejor coordinación institucional, debiendo a la par adaptar sus procedimientos internos. Y los desplegadores y usuarios profesionales verán facilitada la identificación de las responsabilidades de cada operador dentro de cadenas de suministro complejas, cuestión creciente cuando las soluciones se basan en modelos de terceros integrados mediante múltiples relaciones contractuales.
V. Valoración jurídica
Un análisis conjunto, tras esta primera aproximación, permite formular varias conclusiones preliminares, al margen de la valoración profunda que el instrumento requerirá una vez aprobado y publicado en los idiomas oficiales. La primera es que la reforma responde a una lógica de continuidad y no de ruptura. El legislador no cuestiona ninguno de los principios estructurales precitados del AI Act -enfoque basado en el riesgo, régimen de prohibiciones, clasificación de sistemas, régimen de los de alto riesgo, obligaciones de los modelos de propósito general, vigilancia del mercado y arquitectura institucional-. La segunda concierne a la simplificación, que no constituye necesariamente una técnica de desregulación. Su objetivo es reforzar la eficacia del sistema eliminando obstáculos de utilidad limitada, de modo que opera al servicio del cumplimiento.
Esta lectura debe, sin embargo, matizarse. El aplazamiento del calendario y la ampliación del artículo 5 demuestran que la reforma no se agota en la dimensión procedimental, en la medida que el primero incide sobre la exigibilidad temporal de obligaciones nucleares y la segunda amplía el perímetro de lo prohibido. Ambas son coherentes con los fines del Reglamento, la primera, al supeditar la efectividad de las obligaciones a la disponibilidad real de instrumentos de apoyo y, la segunda, al extender la protección a bienes jurídicos de primer orden, pero advierten frente a su caracterización como mero ajuste técnico. La tercera conclusión es que dicho aplazamiento comporta necesariamente la extensión de un período de menor seguridad consecuente a la inexigibilidad de sus obligaciones, al margen de quienes ya invirtieron importantes esfuerzos en prepararse para dicha exigencia en las fechas primigenias. La cuarta conclusión es la importancia creciente de los mecanismos de coordinación institucional, de los que depende la aplicación uniforme del AI Act. Y la quinta, que la primera revisión pone de manifiesto la capacidad de adaptación del modelo europeo frente a quienes lo consideraban excesivamente rígido. El Ómnibus demuestra que el legislador dispone de mecanismos suficientemente flexibles para introducir ajustes cuando la experiencia lo aconseja o exige, preservando la estabilidad de los principios fundamentales. El texto adoptado deberá aún ser aprobado formalmente por el Consejo de la Unión Europea.
VI. Conclusiones
La primera reforma del Reglamento (UE) 2024/1689 constituye un hito en la evolución del marco regulador europeo de la IA, no por alterar los principios esenciales del AI Act, sino por confirmar la voluntad de las instituciones de perfeccionar progresivamente un instrumento central en la transformación digital de la Unión. La adopción por el Parlamento de su posición en primera lectura el 16 de junio de 2026 deja la reforma a falta únicamente de su adopción formal y publicación, y permite ya valorar su contenido previsiblemente definitivo. Los mecanismos organizativos adquieren un papel decisivo, pues la efectividad del Reglamento dependerá tanto de la calidad técnica de las obligaciones como de la organización institucional encargada de su aplicación homogénea, y el nuevo calendario concede a los operadores el tiempo de adaptación que la indisponibilidad de estándares e instituciones hacía necesario. Al mismo tiempo, la incorporación al artículo 5 de las prohibiciones frente al material íntimo no consentido y al material de abuso sexual infantil revela que el modelo europeo conserva la capacidad de actualizar su umbral de lo inaceptable a medida que la tecnología habilita nuevas formas de lesión de la dignidad humana.
La primera revisión consolida, en definitiva, un aprendizaje metodológico necesario en la regulación tecnológica, ya que la complejidad de las tecnologías reguladas exige marcos capaces de evolucionar mediante ajustes puntuales, técnicamente fundamentados y cuidadosamente delimitados, evitando tanto la rigidez excesiva como la inestabilidad legislativa permanente. El verdadero alcance de la reforma no debe medirse por el número de artículos modificados, sino por su contribución a hacer posible la aplicación efectiva de uno de los instrumentos normativos más complejos y relevantes aprobados por la Unión en la transformación digital. El AI Act continúa siendo el eje de la estrategia regulatoria europea, mientras que el Digital Omnibus on AI perfecciona los mecanismos necesarios para una aplicación más eficaz, proporcionada y homogénea de sus disposiciones. La reforma no altera el modelo europeo de regulación de la IA, sino que constituye, más bien, una manifestación de madurez regulatoria.
Referencias normativas
– Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act).
– Resolución legislativa del Parlamento Europeo, de 16 de junio de 2026, sobre la propuesta de Reglamento por el que se modifican los Reglamentos (UE) 2024/1689, (UE) 2018/1139 y (UE) 2023/1230 en lo relativo a la simplificación de la aplicación de las normas armonizadas en materia de inteligencia artificial (Digital Omnibus on AI) [P10_TA (2026)0198; procedimiento 2025/0359(COD); COM (2025) 836]. Posición del Parlamento adoptada en primera lectura con vistas a la adopción del Reglamento (UE) 2026/… [texto consolidado P10_TC1-COD (2025)0359].
– Tratado de la Unión Europea y Tratado de Funcionamiento de la Unión Europea.
– Carta de los Derechos Fundamentales de la Unión Europea.
– Directiva 2011/93/UE y Directiva (UE) 2024/1385, sobre lucha contra el abuso sexual de menores y contra la violencia sobre la mujer, respectivamente.
Bibliografía básica
– MUÑOZ VELA, J. M. (2024). La regulación de la inteligencia artificial. Reto y oportunidad desde una perspectiva global e internacional. Madrid: Aranzadi La Ley.
– MUÑOZ VELA, J. M. (2024). «Aspectos generales del Reglamento de IA» y comentarios a los anexos I, III, IV, V y VI, en BARRIO ANDRÉS, M. (dir.), Comentarios al Reglamento Europeo de Inteligencia Artificial. Madrid: Aranzadi La Ley.
– MUÑOZ VELA, J. M. (2025). «El Reglamento IA de la UE. Cuestiones de actualidad», en GUILLÉN, R. (coord.), Derecho de datos, inteligencia artificial e internet en el sector público y privado. Aranzadi La Ley.
– Comisión Europea, Proposal for a Regulation laying down harmonised rules on Artificial Intelligence, COM (2021) 206 final, y comunicaciones sobre competitividad y simplificación normativa.
– OCDE, Recommendation of the Council on Artificial Intelligence; Consejo de Europa, Framework Convention on Artificial Intelligence, Human Rights, Democracy and the Rule of Law.
Resumen
El Reglamento (UE) 2024/1689 (AI Act) constituyó un hito sin precedentes al erigirse en el primer marco horizontal y vinculante destinado a regular el desarrollo, la comercialización, la puesta en servicio y la utilización de sistemas de IA desde un enfoque basado en el riesgo. Su complejidad técnica, la amplitud subjetiva de sus destinatarios y la acelerada evolución tecnológica y su despliegue aconsejaron introducir ajustes, antes incluso de que buena parte de sus obligaciones resultara plenamente exigible.
En ese contexto se promovió la primera modificación, articulada mediante el denominado Digital Omnibus on AI. El 16 de junio de 2026 el Parlamento Europeo adoptó, en primera lectura, su posición [P10_TC1-COD (2025)0359] sobre la propuesta de la Comisión [COM (2025) 836] de modificación de los Reglamentos (UE) 2024/1689, (UE) 2018/1139 y (UE) 2023/1230, cerrando el acuerdo provisional alcanzado con el Consejo y dejando la reforma a falta únicamente de su adopción formal y publicación. Lejos de constituir una revisión estructural del modelo europeo, persigue simplificar mecanismos de aplicación, reducir cargas administrativas innecesarias, reforzar la proporcionalidad del régimen y clarificar aspectos que habían suscitado dudas interpretativas. Su rasgo más visible y de mayor impacto práctico es el aplazamiento del calendario de aplicación de las obligaciones sobre sistemas de alto riesgo, acompañado de la incorporación al artículo 5 de nuevas prohibiciones frente a la generación de material íntimo no consentido y de material de abuso sexual infantil.
El presente artículo analiza, en una primera aproximación, el texto adoptado desde una perspectiva estrictamente jurídica, identificando las principales modificaciones, su fundamento y sus consecuencias previsibles. La conclusión es que la reforma mantiene intactos los pilares estructurales del AI Act -protección de los derechos fundamentales, enfoque basado en el riesgo, supervisión pública y fomento de la innovación responsable-, pero recalibra diversos instrumentos para una aplicación más eficiente, homogénea y proporcionada.
Sobre el autor
José Manuel Muñoz Vela
Abogado especialista en Derecho Digital e Inteligencia Artificial
Doctor en Derecho (IA). Director Jurídico de Adequa Corporación.
El pasado jueves 21 el BOE nos regalaba el “Código de Derecho de Ciberseguridad”. Un compendio completo de toda la normativa que afecta a todos los diversos aspectos de la ciberseguridad y seguridad de la información en la actualidad desde sus diversos enfoques e implicaciones. Tan actual que su última actualización es justo del propio día 21 de julio con la incorporación de la Directiva (UE) 2016/1148, sobre ciberseguridad.
