Inteligencia artificial – ENATIC

Entradas

Representación conceptual de una inteligencia artificial fragmentada y reconstruida mediante datos y sistemas digitales, simbolizando la evolución regulatoria del AI Act y los nuevos desafíos de gobernanza de la inteligencia artificial en Europa.

Primera reforma del Reglamento IA de la UE: Digital Omnibus on AI

19 junio, 2026/0 Comentarios/en Publicaciones/por Enatic Abogacía Digital

Primera reforma del Reglamento IA de la UE: Digital Omnibus on AI

I. Introducción

La IA ha dejado de ser una tecnología emergente para convertirse en una infraestructura transversal presente en prácticamente todos los sectores económicos, administrativos y sociales. Su incorporación a procesos de decisión, actividades industriales, servicios públicos, sanidad, educación, transporte o servicios financieros ha transformado el contexto regulatorio europeo y ha obligado al legislador de la Unión a afrontar uno de los mayores desafíos jurídicos de las últimas décadas: fomentar la innovación sin comprometer la protección de los derechos fundamentales, la seguridad de las personas y el correcto funcionamiento del mercado interior.

La respuesta europea se materializó en el AI Act, que adoptó una aproximación horizontal basada en la clasificación de los sistemas según su nivel de riesgo para los derechos fundamentales, la salud, la seguridad y demás intereses públicos. Su arquitectura descansa sobre el principio esencial de que, cuanto mayor sea el riesgo, mayores serán las obligaciones impuestas a quienes lo desarrollan, comercializan o utilizan. Esa lógica permitió conciliar dos objetivos a menudo contrapuestos, de un lado, garantizar un elevado nivel de protección y, de otro, preservar la competitividad, la innovación y el desarrollo tecnológico, evitando cargas desproporcionadas sobre tecnologías de impacto limitado. Su objeto, alcance y complejidad técnica hicieron previsible desde un primer momento que ciertas cuestiones precisarían ajustes incluso antes de la plena aplicación de sus disposiciones, conforme a la experiencia de otros instrumentos de extraordinaria complejidad, como el Reglamento General de Protección de Datos, la normativa financiera o la legislación sobre seguridad de productos.

La finalidad del Digital Omnibus on AI no consiste en sustituir el modelo del AI Act ni en modificar los pilares de la regulación europea de la IA, ni en reducir el nivel de protección de los derechos fundamentales, sino en mejorar la aplicabilidad del Reglamento mediante ajustes técnicos, organizativos y procedimentales. El legislador vincula expresamente el aplazamiento de algunas de sus disposiciones, no solo a la falta de normas armonizadas, sino también al retraso en la implantación de las estructuras nacionales de gobernanza y evaluación de la conformidad, sin perjuicio de que las consultas a los interesados evidenciaron la necesidad de medidas adicionales de clarificación.

La adopción por el Parlamento de su posición en primera lectura constituye, así, la primera revisión legislativa del AI Act, cuya relevancia no deriva del número de disposiciones modificadas, sino de ofrecer una primera oportunidad para valorar cómo concibe el legislador la evolución futura del Reglamento. No se trata de un mero ajuste técnico carente de relevancia jurídica, pero tampoco una revisión sustancial del modelo. El análisis revela un propósito intermedio, orientado a preservar íntegramente los principios estructurales del AI Act perfeccionando los mecanismos de su aplicación, si bien, algunas modificaciones, especialmente las que afectan al calendario y al artículo 5, poseen un alcance que trasciende lo puramente procedimental.

Supone, además, una oportunidad para ampliar las prohibiciones de sistemas que debieron calificarse de riesgo inadmisible desde un inicio. A la vista del texto, considero, no obstante, que nos hallamos ante una nueva oportunidad perdida, en la medida que ni siquiera se valoró contemplar realidades desbordantes como la IA agéntica, ni incorporar unos principios generales mínimos exigibles a cualquier sistema inteligente, cualquiera que sea su nivel de riesgo, incluidos los agentes más autónomos, con origen en los marcos éticos de mayor consenso internacional. Tales principios llegaron a incorporarse al proyecto del AI Act en su última fase de tramitación como artículo 4 bis, pero finalmente fueron obviados, quedando de nuevo en el ámbito de lo dispositivo y no vinculante.

II. El contexto jurídico y político de la primera reforma

La primera modificación no se comprende al margen del contexto político, económico y regulatorio en que se produce. A diferencia de otras reformas impulsadas tras largos periodos de aplicación, el Ómnibus se adopta cuando una parte significativa de las obligaciones del AI Act todavía no es exigible. Esta circunstancia podría sugerir una revisión prematura, sin embargo, un examen más contextual evidencia que la finalidad no es corregir un eventual fracaso del Reglamento, sino adaptar determinados mecanismos a la realidad económica y tecnológica existente en el momento de su exigencia.

La reforma se inserta en una estrategia más amplia de simplificación normativa impulsada por la Comisión. La agenda de competitividad parte de la premisa de que la acumulación progresiva de obligaciones derivadas de los distintos instrumentos del Derecho Digital de la Unión -protección de datos, ciberseguridad, servicios y mercados digitales, resiliencia operativa, gobernanza de datos o IA- puede generar costes de cumplimiento especialmente gravosos para pymes, empresas emergentes y, según incorpora ahora el Reglamento, las denominadas pequeñas empresas de mediana capitalización («small mid-cap enterprises» o SMC), categoría definida por remisión a la Recomendación (UE) 2025/1099 y a la que se extienden diversas medidas de apoyo antes reservadas a las pymes. De este modo, la simplificación deja de concebirse como una reducción del nivel de protección para convertirse en una técnica orientada a alcanzar los mismos objetivos mediante mecanismos menos complejos y administrativamente más eficientes.

Lejos de cuestionar el enfoque basado en el riesgo, la reforma pretende reforzarlo eliminando cargas de utilidad limitada o de aplicación desproporcionada, sin reducir las obligaciones esenciales ni alterar la naturaleza del AI Act como Reglamento directamente aplicable, su fundamento competencial o su arquitectura. El enfoque basado en el riesgo, la clasificación de sistemas, la estructura de obligaciones, el régimen de los modelos de propósito general, la función coordinadora del AI Office y la vigilancia del mercado permanecen inalterados. La mayor parte de las modificaciones son de naturaleza organizativa o procedimental, de modo que no alteran los deberes materiales de los operadores, sino la forma de cumplirlos, acreditarlos o supervisarlos.

El rasgo que mejor caracteriza esta primera revisión es el desplazamiento del foco desde la creación de nuevas obligaciones hacia la mejora de los mecanismos que garantizan el cumplimiento efectivo de las existentes, en la medida que el legislador asume que la eficacia del AI Act dependerá tanto de la calidad de las obligaciones como de la posibilidad real de integrarlas en los procesos de gestión y cumplimiento de empresas y Administraciones.

III. Las principales modificaciones introducidas

El texto adoptado permite agrupar las modificaciones en varios bloques con el objetivo de posibilitar la aplicabilidad práctica del AI Act sin alterar los elementos esenciales de su arquitectura. Conviene, no obstante, distinguir las de carácter estrictamente técnico u organizativo de aquellas que, por su contenido, presentan una dimensión material que merece tratamiento singular.

1. El aplazamiento del calendario de aplicación

La modificación de mayor calado práctico afecta al calendario del artículo 113. El legislador considera que la indisponibilidad de normas armonizadas, especificaciones comunes y orientaciones, unida al retraso en la constitución de las autoridades nacionales competentes, comprometía la entrada en aplicación efectiva de las obligaciones sobre sistemas de alto riesgo y amenazaba con un incremento injustificado de los costes de implementación. En consecuencia, la fecha de aplicación de las secciones 1, 2 y 3 del capítulo III se difiere hasta el 2 de diciembre de 2027 para los sistemas de alto riesgo del artículo 6.2 y el anexo III, y hasta el 2 de agosto de 2028 para los del artículo 6.1 y el anexo I. La distinción reproduce la diferencia de plazos ya prevista en el AI Act y condiciona la efectividad del nuevo calendario a que la Comisión asegure la disponibilidad oportuna de los instrumentos de apoyo al cumplimiento.

La reforma precisa, además, el alcance del periodo transitorio del artículo 111.2, en la medida que bastará que una sola unidad de un tipo y modelo de sistema de alto riesgo se haya comercializado o puesto en servicio antes de la fecha relevante para que las restantes unidades de ese mismo tipo y modelo puedan seguir ofreciéndose sin obligaciones adicionales, siempre que el diseño permanezca inalterado. Cualquier modificación sustancial posterior reactivará la plena exigibilidad de los requisitos. Se introduce asimismo un periodo transitorio de cuatro meses para los proveedores de sistemas de IA generativa sujetos a las obligaciones de marcado del artículo 50.2 comercializados antes del 2 de agosto de 2026, que dispondrán hasta el 2 de diciembre de 2026 para etiquetar sus contenidos sintéticos. Tales precisiones, lejos de relajar el régimen, dotan de seguridad jurídica a la transición y evitan que determinadas exigencias resulten formalmente aplicables antes de que existan los medios técnicos para satisfacerlas.

2. Las nuevas prohibiciones del artículo 5. Material íntimo no consentido y material de abuso sexual infantil

La reforma incorpora al catálogo de prácticas prohibidas del artículo 5 la comercialización, puesta en servicio o uso de sistemas de IA destinados a generar o manipular material íntimo no consentido -fenómeno asociado a las aplicaciones de “nudificación”- y material de abuso sexual infantil, incluido el total o parcialmente sintético. Es la modificación de mayor trascendencia desde la perspectiva de los principios que inspiran la reforma, pues no perfecciona un mecanismo de aplicación, sino que amplía el núcleo de lo prohibido en atención a desarrollos tecnológicos y sociales sobrevenidos.

El legislador delimita cuidadosamente su alcance. Respecto de los proveedores, la prohibición no impide desarrollar las capacidades técnicas de generación o manipulación de imágenes, vídeos o audio, sino que se proyecta sobre dos supuestos. De un lado, los sistemas concebidos para producir ese material y aquellos en que tal resultado sea razonablemente previsible y reproducible y no se hayan implantado medidas técnicas de seguridad adecuadas -por ejemplo, depuración de datos, entrenamiento orientado al rechazo, filtros y clasificadores de contenido, restricciones de uso o mecanismos de detección de abusos- conformes al estado de la técnica. La responsabilidad del proveedor no se limita, así, al diseño intencionado, sino que alcanza los resultados previsibles cuando faltan tales salvaguardas.

La prohibición relativa al material íntimo se circunscribe a representaciones realistas de partes íntimas de personas identificables o de actividad sexual explícita, y excluye expresamente los usos legítimos -aplicaciones médicas, obras artísticas no realistas, supuestos amparados por el consentimiento libre, específico, informado e inequívoco de la persona representada o, tratándose de material de abuso sexual infantil, las actividades cubiertas por una excepción del Derecho nacional y las tareas de evaluación y “red-teaming”-. El uso de un sistema de IA que genere o manipule el material o las actuaciones precitadas solo estará prohibido cuando el responsable del despliegue utilice el sistema con el fin de generar o manipular dicho material o dicha actuación.

El propio texto justifica la proporcionalidad de la medida y precisa que respeta el contenido esencial de la libertad de expresión y de la libertad de empresa (artículos 11 y 16 de la Carta), a la vez que la sustenta en la protección de los derechos reconocidos en los artículos 1, 3.1, 4, 7, 8, 21, 23 y 24 de la propia Carta y a la coherencia con la Directiva 2011/93/UE y la Directiva (UE) 2024/1385, recordando la vigencia del principio “ne bis in idem”» cuando la misma conducta resulte sancionable en vía penal. La incorporación de estas prohibiciones confirma que el modelo europeo no es un sistema cerrado, sino un marco llamado a actualizar su umbral de lo inaceptable a medida que la tecnología habilita nuevas formas de lesión de la dignidad y de los derechos fundamentales, singularmente de mujeres y menores.

3. Proporcionalidad, alfabetización en IA y simplificación documental

Diversas modificaciones refuerzan la proporcionalidad de las obligaciones administrativas, sin contemplar un régimen privilegiado por razón del tamaño, en la medida que el nivel de obligaciones sigue respondiendo al riesgo del sistema. Así, la evaluación de la conformidad simplificada para el sistema de gestión de la calidad, antes reservada a las microempresas, se extiende ahora a todas las pymes, incluidas las empresas emergentes. El instrumento reformula además el artículo 4, sustituyendo la obligación de garantizar la alfabetización en IA del personal por un deber de adoptar medidas que fomenten su desarrollo, atendiendo al conocimiento técnico, la formación y el contexto de uso, sin exigir un nivel concreto de competencia individual. De este modo transforma una obligación de resultado en un deber de medios, que la Comisión y los Estados miembros deberán facilitar, especialmente a pymes. Racionaliza también las obligaciones documentales y de registro, simplificando el contenido exigible para la inscripción de los sistemas del artículo 6.3 en la base de datos de la UE conforme al anexo VIII, sin merma de las exigencias esenciales de documentación, trazabilidad y gestión del riesgo. Por último, el nuevo artículo 4 bis habilita el tratamiento excepcional de categorías especiales de datos personales, con estrictas salvaguardias, para la detección y corrección de sesgos, y extiende esa base jurídica -antes circunscrita a los proveedores de alto riesgo- a proveedores y desplegadores de otros sistemas y modelos, reconociendo que el sesgo discriminatorio no es exclusivo de los sistemas de alto riesgo y reforzando la articulación con el RGPD.

4. Normalización, evaluación de la conformidad e interacción con la legislación sectorial

El recurso a normas armonizadas y especificaciones comunes es inherente al modelo europeo de regulación tecnológica. La reforma no lo altera, pero refuerza su operatividad y la coordinación con la legislación sectorial. Cuando la legislación de armonización de la sección A del anexo I garantice un nivel de protección equivalente o superior, la Comisión podrá limitar mediante actos delegados la aplicación de determinados requisitos del Reglamento para evitar duplicidades. Se prevé una solicitud y un procedimiento únicos de evaluación para los organismos notificados ya designados conforme a aquella -como los Reglamentos (UE) 2017/745 y (UE) 2017/746 sobre productos sanitarios- y se precisa que la clasificación como alto riesgo no impone automáticamente evaluación por tercero cuando quepa acudir a normas armonizadas. En la misma línea se traslada el Reglamento (UE) 2023/1230 sobre máquinas de la sección A a la sección B del anexo I y se incorpora la regla del artículo 12 del Reglamento (UE) 2024/2847 (Cyber Resilience Act), de modo que el cumplimiento de sus requisitos esenciales de ciberseguridad se reputa cumplimiento del artículo 15 del AI Act. Del mismo modo, la reforma redefine el concepto “componente de seguridad” del artículo 3.14 -que ahora exige una función de seguridad determinada por la finalidad prevista-, evitando una expansión de la clasificación de alto riesgo más allá de lo justificado por el enfoque de riesgo. La disponibilidad de los futuros estándares técnicos incrementará la seguridad jurídica y favorecerá una interpretación homogénea de las obligaciones.

5. Gobernanza, competencias del AI Office y espacios de pruebas

La reforma incrementa la coherencia de la supervisión sin centralizar más la aplicación ni alterar el reparto competencial. Se especifica la competencia exclusiva del AI Office sobre los sistemas construidos a partir de modelos de propósito general, que alcanza no solo a los supuestos en que sistema y modelo proceden del mismo proveedor, sino también a aquellos en que ambos son desarrollados por proveedores integrados en una misma empresa, y se atribuye a la Comisión la condición de autoridad de vigilancia del mercado cuando el sistema de IA constituya o se integre en una plataforma o motor de búsqueda de muy gran tamaño en el sentido del Reglamento (UE) 2022/2065 (Digital Services Act), con coordinación entre ambos regímenes conforme a los principios de cooperación leal, proporcionalidad y “non bis in idem”. En materia de innovación, se habilita al AI Office para establecer un espacio de pruebas o sandbox regulatorio a escala de la Unión, con acceso prioritario a pymes, empresas emergentes y SMC, y se amplían las pruebas en condiciones reales fuera de los sandboxes a los sistemas de alto riesgo cubiertos por la legislación sectorial del anexo I. No se crean nuevas estructuras ni se redistribuyen las competencias, sino que se pretende mejorar el funcionamiento de las instituciones ya previstas, favoreciendo la consolidación progresiva del modelo.

IV. Impacto sobre los distintos operadores

Los efectos de la reforma no se proyectan de manera uniforme. La estructura subjetiva del AI Act -proveedores, desplegadores, importadores, distribuidores, representantes autorizados y operadores de modelos de propósito general- permanece intacta, pero la intensidad con que cada categoría experimentará las consecuencias difiere según la naturaleza de las modificaciones. Para los proveedores de sistemas de alto riesgo, no se modifica el contenido de las obligaciones esenciales -gestión del riesgo, gobernanza de los datos, documentación técnica, registros, transparencia, supervisión humana, robustez, precisión, ciberseguridad y vigilancia poscomercialización-, pero se mejora la forma de acreditarlas y se concede, sobre todo, un margen temporal adicional de adaptación derivado del nuevo calendario. La principal dificultad de muchas organizaciones no residía en comprender las obligaciones, sino en integrarlas en procesos existentes, integración que la reforma facilita sin rebajar el estándar de diligencia. Las relativas a los modelos de propósito general aportan mayor previsibilidad mediante la clarificación del reparto competencial entre el AI Office y las autoridades nacionales, relevante para operadores de dimensión transfronteriza.

Las pymes y las empresas emergentes figuran entre los principales beneficiarios. La extensión a todas ellas del sistema de gestión de la calidad simplificado y el acceso prioritario a los sandboxes favorecen la entrada de nuevos operadores, y la categoría de las SMC evita que el tránsito de pyme a gran empresa se traduzca en un salto regulatorio abrupto. Las Administraciones Públicas, autoridades supervisoras y a la vez usuarias de sistemas de IA, se beneficiarán de una aplicación más homogénea derivada de la mejor coordinación institucional, debiendo a la par adaptar sus procedimientos internos. Y los desplegadores y usuarios profesionales verán facilitada la identificación de las responsabilidades de cada operador dentro de cadenas de suministro complejas, cuestión creciente cuando las soluciones se basan en modelos de terceros integrados mediante múltiples relaciones contractuales.

V. Valoración jurídica

Un análisis conjunto, tras esta primera aproximación, permite formular varias conclusiones preliminares, al margen de la valoración profunda que el instrumento requerirá una vez aprobado y publicado en los idiomas oficiales. La primera es que la reforma responde a una lógica de continuidad y no de ruptura. El legislador no cuestiona ninguno de los principios estructurales precitados del AI Act -enfoque basado en el riesgo, régimen de prohibiciones, clasificación de sistemas, régimen de los de alto riesgo, obligaciones de los modelos de propósito general, vigilancia del mercado y arquitectura institucional-. La segunda concierne a la simplificación, que no constituye necesariamente una técnica de desregulación. Su objetivo es reforzar la eficacia del sistema eliminando obstáculos de utilidad limitada, de modo que opera al servicio del cumplimiento.

Esta lectura debe, sin embargo, matizarse. El aplazamiento del calendario y la ampliación del artículo 5 demuestran que la reforma no se agota en la dimensión procedimental, en la medida que el primero incide sobre la exigibilidad temporal de obligaciones nucleares y la segunda amplía el perímetro de lo prohibido. Ambas son coherentes con los fines del Reglamento, la primera, al supeditar la efectividad de las obligaciones a la disponibilidad real de instrumentos de apoyo y, la segunda, al extender la protección a bienes jurídicos de primer orden, pero advierten frente a su caracterización como mero ajuste técnico. La tercera conclusión es que dicho aplazamiento comporta necesariamente la extensión de un período de menor seguridad consecuente a la inexigibilidad de sus obligaciones, al margen de quienes ya invirtieron importantes esfuerzos en prepararse para dicha exigencia en las fechas primigenias. La cuarta conclusión es la importancia creciente de los mecanismos de coordinación institucional, de los que depende la aplicación uniforme del AI Act. Y la quinta, que la primera revisión pone de manifiesto la capacidad de adaptación del modelo europeo frente a quienes lo consideraban excesivamente rígido. El Ómnibus demuestra que el legislador dispone de mecanismos suficientemente flexibles para introducir ajustes cuando la experiencia lo aconseja o exige, preservando la estabilidad de los principios fundamentales. El texto adoptado deberá aún ser aprobado formalmente por el Consejo de la Unión Europea.

VI. Conclusiones

La primera reforma del Reglamento (UE) 2024/1689 constituye un hito en la evolución del marco regulador europeo de la IA, no por alterar los principios esenciales del AI Act, sino por confirmar la voluntad de las instituciones de perfeccionar progresivamente un instrumento central en la transformación digital de la Unión. La adopción por el Parlamento de su posición en primera lectura el 16 de junio de 2026 deja la reforma a falta únicamente de su adopción formal y publicación, y permite ya valorar su contenido previsiblemente definitivo. Los mecanismos organizativos adquieren un papel decisivo, pues la efectividad del Reglamento dependerá tanto de la calidad técnica de las obligaciones como de la organización institucional encargada de su aplicación homogénea, y el nuevo calendario concede a los operadores el tiempo de adaptación que la indisponibilidad de estándares e instituciones hacía necesario. Al mismo tiempo, la incorporación al artículo 5 de las prohibiciones frente al material íntimo no consentido y al material de abuso sexual infantil revela que el modelo europeo conserva la capacidad de actualizar su umbral de lo inaceptable a medida que la tecnología habilita nuevas formas de lesión de la dignidad humana.

La primera revisión consolida, en definitiva, un aprendizaje metodológico necesario en la regulación tecnológica, ya que la complejidad de las tecnologías reguladas exige marcos capaces de evolucionar mediante ajustes puntuales, técnicamente fundamentados y cuidadosamente delimitados, evitando tanto la rigidez excesiva como la inestabilidad legislativa permanente. El verdadero alcance de la reforma no debe medirse por el número de artículos modificados, sino por su contribución a hacer posible la aplicación efectiva de uno de los instrumentos normativos más complejos y relevantes aprobados por la Unión en la transformación digital. El AI Act continúa siendo el eje de la estrategia regulatoria europea, mientras que el Digital Omnibus on AI perfecciona los mecanismos necesarios para una aplicación más eficaz, proporcionada y homogénea de sus disposiciones. La reforma no altera el modelo europeo de regulación de la IA, sino que constituye, más bien, una manifestación de madurez regulatoria.

Referencias normativas

– Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (AI Act).

– Resolución legislativa del Parlamento Europeo, de 16 de junio de 2026, sobre la propuesta de Reglamento por el que se modifican los Reglamentos (UE) 2024/1689, (UE) 2018/1139 y (UE) 2023/1230 en lo relativo a la simplificación de la aplicación de las normas armonizadas en materia de inteligencia artificial (Digital Omnibus on AI) [P10_TA (2026)0198; procedimiento 2025/0359(COD); COM (2025) 836]. Posición del Parlamento adoptada en primera lectura con vistas a la adopción del Reglamento (UE) 2026/… [texto consolidado P10_TC1-COD (2025)0359].

– Tratado de la Unión Europea y Tratado de Funcionamiento de la Unión Europea.

– Carta de los Derechos Fundamentales de la Unión Europea.

– Directiva 2011/93/UE y Directiva (UE) 2024/1385, sobre lucha contra el abuso sexual de menores y contra la violencia sobre la mujer, respectivamente.

Bibliografía básica

– MUÑOZ VELA, J. M. (2024). La regulación de la inteligencia artificial. Reto y oportunidad desde una perspectiva global e internacional. Madrid: Aranzadi La Ley.

– MUÑOZ VELA, J. M. (2024). «Aspectos generales del Reglamento de IA» y comentarios a los anexos I, III, IV, V y VI, en BARRIO ANDRÉS, M. (dir.), Comentarios al Reglamento Europeo de Inteligencia Artificial. Madrid: Aranzadi La Ley.

– MUÑOZ VELA, J. M. (2025). «El Reglamento IA de la UE. Cuestiones de actualidad», en GUILLÉN, R. (coord.), Derecho de datos, inteligencia artificial e internet en el sector público y privado. Aranzadi La Ley.

– Comisión Europea, Proposal for a Regulation laying down harmonised rules on Artificial Intelligence, COM (2021) 206 final, y comunicaciones sobre competitividad y simplificación normativa.

– OCDE, Recommendation of the Council on Artificial Intelligence; Consejo de Europa, Framework Convention on Artificial Intelligence, Human Rights, Democracy and the Rule of Law.

Resumen

El Reglamento (UE) 2024/1689 (AI Act) constituyó un hito sin precedentes al erigirse en el primer marco horizontal y vinculante destinado a regular el desarrollo, la comercialización, la puesta en servicio y la utilización de sistemas de IA desde un enfoque basado en el riesgo. Su complejidad técnica, la amplitud subjetiva de sus destinatarios y la acelerada evolución tecnológica y su despliegue aconsejaron introducir ajustes, antes incluso de que buena parte de sus obligaciones resultara plenamente exigible.

En ese contexto se promovió la primera modificación, articulada mediante el denominado Digital Omnibus on AI. El 16 de junio de 2026 el Parlamento Europeo adoptó, en primera lectura, su posición [P10_TC1-COD (2025)0359] sobre la propuesta de la Comisión [COM (2025) 836] de modificación de los Reglamentos (UE) 2024/1689, (UE) 2018/1139 y (UE) 2023/1230, cerrando el acuerdo provisional alcanzado con el Consejo y dejando la reforma a falta únicamente de su adopción formal y publicación. Lejos de constituir una revisión estructural del modelo europeo, persigue simplificar mecanismos de aplicación, reducir cargas administrativas innecesarias, reforzar la proporcionalidad del régimen y clarificar aspectos que habían suscitado dudas interpretativas. Su rasgo más visible y de mayor impacto práctico es el aplazamiento del calendario de aplicación de las obligaciones sobre sistemas de alto riesgo, acompañado de la incorporación al artículo 5 de nuevas prohibiciones frente a la generación de material íntimo no consentido y de material de abuso sexual infantil.

El presente artículo analiza, en una primera aproximación, el texto adoptado desde una perspectiva estrictamente jurídica, identificando las principales modificaciones, su fundamento y sus consecuencias previsibles. La conclusión es que la reforma mantiene intactos los pilares estructurales del AI Act -protección de los derechos fundamentales, enfoque basado en el riesgo, supervisión pública y fomento de la innovación responsable-, pero recalibra diversos instrumentos para una aplicación más eficiente, homogénea y proporcionada.

Sobre el autor

José Manuel Muñoz Vela

Abogado especialista en Derecho Digital e Inteligencia Artificial

Doctor en Derecho (IA). Director Jurídico de Adequa Corporación.

IA aplicada al derecho: ¿qué se está haciendo en 2026?

10 marzo, 2026/0 Comentarios/en Eventos/por Enatic Abogacía Digital

El debate sobre inteligencia artificial en el ámbito jurídico suele centrarse en su potencial, en los riesgos asociados a su uso o en los marcos regulatorios que comienzan a desarrollarse. Sin embargo, una cuestión cada vez más relevante para la profesión es identificar qué aplicaciones concretas de la inteligencia artificial están empezando a integrarse ya en el trabajo jurídico cotidiano.

Con este objetivo, ENATIC organiza el webinar “IA aplicada al Derecho: qué se está haciendo realmente en 2026”, un encuentro orientado a analizar los primeros casos de uso de la inteligencia artificial en la práctica profesional y a reflexionar sobre cómo estas herramientas están transformando determinadas tareas jurídicas.

La sesión se celebrará el 17 de marzo, a las 17h, y contará con la participación de Lucía Carrau y Maitane Valdecantos, integrantes del grupo de trabajo que participó en la elaboración del Libro Blanco Inteligencia Artificial y Abogacía, quienes compartirán su experiencia y ofrecerán una visión actual sobre la incorporación de estas tecnologías en el ejercicio de la profesión.

La sesión será moderada por Pablo Sáez, presidente de la Comisión Joven de ENATIC, y contará con una presentación institucional a cargo de Belén Arribas, presidenta de ENATIC.

Esta actividad abre además un ciclo de sesiones dedicadas a la relación entre inteligencia artificial y profesión jurídica, en el que se abordarán cuestiones como la responsabilidad derivada de errores de sistemas de IA, el diseño de políticas internas de uso de estas herramientas en los despachos y el desarrollo del perfil profesional del abogado especializado en inteligencia artificial.

Ya está abierta la inscripción.

Ilustración conceptual de un mazo judicial rompiendo una interfaz digital de Telegram con la imagen de Pavel Durov y el mapa de España, representando el debate jurídico sobre el uso masivo de datos personales y poder de plataforma.

Cuestiones jurídicas y políticas en torno a un mensaje masivo de Pavel Durov por Telegram

24 febrero, 2026/0 Comentarios/en Publicaciones/por Enatic Abogacía Digital

I. El hecho que origina la reflexión

La noticia llegó sin previo aviso ni solicitud de permiso. Millones de usuarios de Telegram residentes en España encontraron en sus dispositivos un mensaje que no procedía de ningún contacto personal, ni de un canal al que hubieran decidido suscribirse, ni siquiera de una notificación de servicio habitual. El remitente era el propio Pavel Durov, fundador y director ejecutivo de la plataforma, quien había decidido utilizar la infraestructura de mensajería para dirigirse directamente a una audiencia geográficamente segmentada con un contenido que trascendía claramente la mera información técnica o administrativa. El mensaje versaba sobre la propuesta del presidente del Gobierno español, Pedro Sánchez, de limitar el acceso a redes sociales para menores de 16 años, y planteaba argumentos en contra de dicha medida.

Este hecho, aparentemente aislado, abre una serie de cuestiones jurídicas de extraordinaria complejidad que trascienden el caso concreto. No se trata únicamente de determinar si el contenido del mensaje era acertado o equivocado desde una perspectiva política o pedagógica. El verdadero problema reside en el modo de transmisión, en el quién que habla, en el cómo se selecciona la audiencia y en el para qué se movilizan recursos técnicos y datos personales. La reflexión que sigue no pretende tomar partido por ninguna de las posiciones políticas en juego, sino examinar con rigor las implicaciones jurídicas de un fenómeno que ilustra la mutación del poder en la era digital.

II. La naturaleza del mensaje y la arquitectura de la plataforma

Para comprender la gravedad del asunto, conviene detenerse primero en las características técnicas del envío. Telegram no es una red social al uso, diseñada para la publicación de contenidos que el usuario busca activamente o al que se suscribe mediante un acto voluntario de seguimiento. Es, ante todo, un sistema de mensajería directa, concebido para la comunicación interpersonal o la recepción de información en canales optativos. Esta diferencia arquitectónica no es meramente descriptiva; tiene consecuencias jurídicas relevantes. Cuando un ciudadano abre Facebook o Twitter, asume que está entrando en un espacio de exposición pública o semipública, donde los algoritmos seleccionan contenidos y donde la publicidad política está regulada, al menos en teoría. Pero cuando abre Telegram, espera encontrar mensajes de sus contactos, de grupos en los que ha decidido participar o, como mucho, avisos técnicos de la propia plataforma sobre actualizaciones de seguridad o nuevas funcionalidades.

El mensaje de Durov irrumpió en este espacio de comunicación presumiblemente privada o controlada sin mediación de elección alguna por parte del receptor. No hubo opt-in, no hubo suscripción previa, no hubo siquiera la posibilidad de anticipar que el canal oficial de notificaciones de la plataforma —aquella vía que el usuario entiende reservada para comunicaciones de servicio— sería utilizado para la transmisión de argumentación política. Debe tenerse presente que esta intrusión no es comparable a la recepción de un correo publicitario en una cuenta de email, donde el usuario ha facilitado su dirección y donde la publicidad, aunque molesta, se inscribe en una lógica comercial esperada. Aquí estamos ante algo distinto: el uso de datos de geolocalización y de condición de usuario activo en territorio español para la inserción de un contenido ideológico en un canal que el destinatario no puede desactivar sin renunciar a recibir notificaciones esenciales del servicio.

III. El problema del consentimiento y la base jurídica en el Reglamento General de Protección de Datos

El núcleo duro del análisis jurídico reside en la conformidad de esta práctica con el Reglamento General de Protección de Datos. El artículo 6 del Reglamento exige que todo tratamiento de datos personales cuente con una base jurídica que lo legitime, ya sea el consentimiento del interesado, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, la misión de interés público o el interés legítimo del responsable. En el caso que examinamos, la utilización de la ubicación geográfica de los usuarios y de su condición de residentes en España para segmentar el envío del mensaje constituye, indudablemente, un tratamiento de datos personales. La cuestión es determinar sobre qué base jurídica se sustenta.

Telegram podría argumentar que el tratamiento se ampara en la ejecución del contrato de prestación de servicios, entendiendo que la comunicación con los usuarios forma parte de la relación contractual. Sin embargo, esta tesis encuentra un obstáculo insalvable: la finalidad del tratamiento. La ejecución de un contrato no puede servir de cobertura jurídica para finalidades que no guardan relación directa con la prestación del servicio objeto del acuerdo. Cuando un operador de telecomunicaciones envía una factura o una notificación de incidencia técnica, actúa dentro del mar contractual. Pero cuando utiliza la misma infraestructura para influir en un debate legislativo nacional, está dando un salto cualitativo que excede con creces los límites de la prestación de servicios de mensajería.

También podría invocarse el interés legítimo del responsable, reconocido en el artículo 6.1.f del Reglamento. No obstante, este interés debe conciliarse con los derechos y libertades fundamentales de los interesados, y debe ser ponderado mediante un test de tres pasos: la finalidad debe ser legítima, el tratamiento debe ser necesario para dicha finalidad, y debe prevalecer el interés del responsable sobre los derechos del afectado. En nuestro caso, la finalidad —participar en un debate político nacional utilizando la infraestructura propia— es, cuanto menos, discutible como legítima en el contexto de una relación de consumo de servicios digitales. La necesidad del tratamiento es igualmente cuestionable, pues existen medios alternativos para expresar opiniones políticas que no impliquen la utilización de datos personales de millones de usuarios. Y en cuanto a la ponderación, resulta difícil sostener que el interés de un empresario en influir en la legislación española prevalezca sobre el derecho de los usuarios a no ser receptores cautivos de comunicaciones políticas no solicitadas.

El consentimiento, por su parte, parece ausente en su forma más exigente. El Reglamento demanda un consentimiento libre, específico, informado e inequívoco. Los usuarios de Telegram no consintieron expresamente la recepción de mensajes políticos del fundador cuando aceptaron las condiciones de servicio. Las cláusulas contractuales generales que autorizan a la plataforma a enviar «comunicaciones» no pueden interpretarse como un blank check para la utilización de la infraestructura con fines ideológicos. Hay que reseñar que el Tribunal de Justicia de la Unión Europea ha reiterado en múltiples ocasiones que el consentimiento debe entenderse restrictivamente y que no puede confundirse con la mera aceptación de condiciones generales.

IV. La reutilización de datos y la analogía del operador neutral

Para ilustrar la problemática, resulta útil recurrir a una analogía con sectores regulados tradicionalmente. Imaginemos que Correos, empresa pública que gestiona la infraestructura postal, decidiera utilizar su base de datos de destinatarios para enviar a todos los hogares españoles un folleto argumentando en contra de una reforma legislativa que afectara a su sector. Incluso dejando de lado la condición pública de la entidad, la utilización de información de clientes —direcciones postales, hábitos de recepción— para fines de influencia política constituiría una vulneración flagrante de los principios de protección de datos. El ciudadano confía su dirección al operador postal para recibir correspondencia, no para convertirse en destinatario de propaganda política segmentada.

Otra analogía puede servir para clarificar el problema. Consideremos un operador de telecomunicaciones que ofrece servicios de telefonía móvil. Este operador mantiene una posición de «neutralidad de red» en el sentido de que se limita a transmitir las comunicaciones de sus clientes sin interferir en el contenido. Si dicho operador decidiera enviar un mensaje de texto masivo a todos sus usuarios en territorio español para posicionarse en un debate político, estaría traspasando los límites de su función técnica y comercial. Lo anterior me sugiere que las plataformas de mensajería instantánea, aunque no estén sujetas a la regulación de operadores de telecomunicaciones tradicionales, deberían observar estándares similares de neutralidad respecto de los contenidos que no forman parte del servicio contratado.

La comparación con Correos o con un operador de telecomunicaciones que se mantiene «memoryless» —es decir, que no explota la información de tráfico para otros fines— ilustra la idea de que el intermediario no debería utilizar su posición privilegiada para usos diferentes a la mera prestación del servicio, salvo que el usuario lo haya consentido de forma clara y separada. La reutilización de datos de geolocalización y de uso de la plataforma para fines políticos representa precisamente esa transgresión de los límites funcionales del servicio.

V. La frontera entre comunicación corporativa y activación política

Una de las cuestiones más delicadas que plantea este caso es la determinación del momento en que una comunicación de servicio se transforma en activación política. Las empresas, incluidas las plataformas digitales, tienen legítimamente derecho a informar a sus usuarios sobre cuestiones que afectan a su actividad. Un aviso sobre cambios en las condiciones de servicio, una alerta sobre vulnerabilidades de seguridad o una notificación sobre modificaciones regulatorias que impacten en la funcionalidad de la aplicación entran dentro de lo razonable y esperable. Incluso una comunicación explicando los riesgos que una determinada regulación podría entrañar para la continuidad del servicio podría considerarse legítima, siempre que se mantenga en un tono informativo y técnico.

Sin embargo, el mensaje de Durov traspasó esa línea divisoria. No se limitó a informar sobre la propuesta legislativa ni a explicar sus posibles efectos técnicos en la operativa de Telegram. Fue, en esencia, un argumentario en contra de la medida, formulado en términos que buscaban movilizar la opinión de los receptores y, presumiblemente, influir en el proceso político de toma de decisiones. Entiendo que esta distinción es crucial: no es lo mismo alertar a los usuarios de que una ley podría obligar a modificar el funcionamiento de la aplicación, que utilizar el canal de notificaciones para instar a la oposición a dicha ley.

El Reglamento de Servicios Digitales, aplicable desde 2024, introduce obligaciones de transparencia y de gestión de riesgos para las plataformas muy grandes, pero no regula expresamente este tipo de comunicaciones corporativas con contenido político. No obstante, sus principios generales de transparencia y de respeto a los derechos fundamentales de los usuarios pueden interpretarse en el sentido de que las plataformas deben mantener una cierta neutralidad respecto de los debates políticos nacionales, especialmente cuando utilizan datos personales para segmentar sus comunicaciones. La frontera entre un aviso de servicio al cliente y el uso de la infraestructura para influir en la opinión pública es, en este caso, particularmente difusa, y esa opacidad genera inseguridad jurídica.

VI. El poder de plataforma como poder normativo de facto

Más allá de las cuestiones estrictamente vinculadas a la protección de datos, el caso Durov ilustra un fenómeno de mayor calado: la transformación del poder tecnológico en poder político. Cuando el fundador de una plataforma con cientos de millones de usuarios puede, con un simple gesto técnico, llegar a millones de dispositivos en un país específico para posicionarse en un debate legislativo, está ejerciendo una forma de poder que no se ajusta a las categorías tradicionales del Derecho constitucional ni del Derecho administrativo. No es un poder público, legitimado democráticamente. No es tampoco un poder privado convencional, sometido a las reglas de la competencia y del mercado. Es algo distinto, que los estudiosos de la gobernanza digital han denominado «poder de plataforma».

Este poder es normativo en el sentido de que configura las posibilidades de acción de los ciudadanos, establece los términos de la comunicación pública y, en última instancia, puede condicionar los procesos de formación de la voluntad política. Cuando Durov envía su mensaje, no está ejerciendo su libertad de expresión en condiciones de igualdad con otros ciudadanos. Está aprovechando una asimetría estructural: el acceso privilegiado a una infraestructura de comunicación que sus receptores no pueden evitar sin renunciar a un servicio que, en muchos casos, utilizan para su vida personal y profesional cotidiana.

La neutralidad de las plataformas frente a los poderes públicos es, en este contexto, un valor jurídico discutible pero necesario. No se trata de exigir a las empresas tecnológicas que carezcan de opinión o que se abstengan de participar en los debates públicos. El problema surge cuando esa participación se realiza utilizando recursos que derivan de una posición de dominio estructural, y cuando se dirige a una audiencia cautiva que no ha elegido recibir esos mensajes. Ello me obliga a deducir que estamos ante una forma de poder que requiere de mecanismos de rendición de cuentas y de limitación, análogos en alguna medida a los que se aplican a los poderes públicos.

VII. La opacidad en la selección de destinatarios y el principio de transparencia

Un elemento adicional de preocupación reside en la falta de claridad sobre los criterios de segmentación del mensaje. No todos los usuarios de Telegram en España recibieron la comunicación de Durov, aunque muchos de ellos llevan años utilizando la plataforma. Esta selectividad, lejos de ser aleatoria, sugiere la existencia de algún tipo de algoritmo o criterio de segmentación cuya lógica no ha sido revelada. ¿Se dirigió el mensaje solo a usuarios activos en los últimos 30 días? ¿A aquellos con determinadas características de uso? ¿A los que habían interactuado con canales políticos previamente? La opacidad respecto de estos criterios agrava la problemática jurídica, porque impide a los afectados comprender por qué han sido seleccionados como receptores de una comunicación política.

El principio de transparencia, consagrado en el artículo 5 del Reglamento General de Protección de Datos, exige que los interesados sean informados de las finalidades del tratamiento y de la lógica que subyace a las decisiones automatizadas que les afectan. Si la selección de destinatarios respondió a un perfilado basado en datos de comportamiento, ubicación o uso de la aplicación, los usuarios tendrían derecho a conocer los criterios aplicados y, en su caso, a oponerse a dicho tratamiento. La falta de información al respecto constituye una vulneración de este principio fundamental.

Considero que esta opacidad no es un defecto menor, sino un síntoma de una gobernanza de datos insuficiente. Las plataformas han construido arquitecturas técnicas que permiten una granularidad extrema en la segmentación de audiencias, pero no han desarrollado paralelamente mecanismos de rendición de cuentas que hagan transparentes esas prácticas. Cuando el segmento seleccionado son millones de ciudadanos de un país determinado para recibir un mensaje político, la exigencia de transparencia adquiere una dimensión constitucional relevante.

VIII. Las posiciones en el debate: entre la libertad empresarial y la protección del usuario

El análisis de este caso no estaría completo sin referencia a las distintas posiciones que el mismo ha suscitado en la comunidad jurídica y tecnológica. Por un lado, encontramos posturas que relativizan la gravedad del hecho. Se argumenta que Telegram es una plataforma privada y que, como cualquier otro medio de comunicación —prensa, televisión, radio— tiene derecho a utilizar su arquitectura para difundir mensajes, incluso de carácter político. Desde esta perspectiva, el usuario que no desea recibir tales comunicaciones puede ejercer su libertad de abandonar la plataforma. Esta visión enfatiza la libertad de expresión del empresario y la libertad de empresa, entendiendo que las restricciones al uso de la infraestructura propia constituirían una intromisión injustificada.

Por otro lado, se encuentran las posturas que subrayan la especificidad del poder de plataforma. Estas voces señalan que no es comparable el poder de un periódico, que el lector elige comprar o no, con el poder de una aplicación de mensajería que se ha convertido en infraestructura esencial de la comunicación cotidiana. La alternativa de «irse si no te gusta» es, en este contexto, una falsa libertad, porque el coste de abandono —pérdida de contactos, de historiales, de integración en comunidades profesionales o personales— es prohibitivamente alto para la mayoría de usuarios. Además, se destaca que ni siquiera existe la posibilidad de optar por no recibir este tipo de comunicaciones sin renunciar a las notificaciones esenciales del servicio.

Existen también posiciones intermedias que intentan enmarcar el mensaje de Durov como una forma de «servicio al cliente» o de alerta sobre riesgos regulatorios que afectarían a la propia plataforma. Sin embargo, esta interpretación encuentra dificultades para distinguir entre una información objetiva sobre cambios normativos y una argumentación política contra los mismos. La línea es tenue, pero discernible: un aviso técnico informa, una comunicación política persuade. El mensaje de Durov pertenecía claramente a esta segunda categoría.

IX. La tensión entre libertades en conflicto

El caso que analizamos pone de manifiesto una tensión fundamental entre libertades constitucionalmente protegidas que entran en colisión. Por una parte, la libertad de expresión de Pavel Durov, que incluye el derecho a expresar su opinión sobre cuestiones de interés público como la regulación de las redes sociales. Por otra, la protección de la intimidad y de los datos personales de los usuarios, que abarca el derecho a no ser objeto de comunicaciones no solicitadas que utilicen información personal para la segmentación. A ello hay que añadir la libertad de empresa, que ampara la gestión de la plataforma, y los derechos de los ciudadanos a una información plural y no condicionada por el poder asimétrico de los grandes operadores digitales.

La resolución de este conflicto no puede ser mecánica ni absolutista. No es admisible privilegiar indefinidamente la libertad de expresión del empresario sobre la protección de datos de millones de usuarios, ni tampoco es razonable imponer una neutralidad total que impida a las plataformas comunicarse con sus usuarios sobre cuestiones que les afectan. El Derecho, en estos casos, debe buscar una ponderación que preserve el núcleo esencial de cada libertad y limite sus manifestaciones excesivas.

En mi opinión, la solución pasa por establecer una clara separación entre los canales de comunicación de servicio y los canales de comunicación política o ideológica. Los usuarios deberían poder optar expresamente por recibir comunicaciones de este último tipo, y su silencio o inacción debería interpretarse en sentido contrario. Asimismo, la utilización de datos personales para segmentar comunicaciones políticas debería estar sometida a un estándar de consentimiento específico, informado y separado, que no puede cubrirse con las cláusulas generales de las condiciones de servicio.

X. Conclusiones

El mensaje de Pavel Durov a los usuarios españoles de Telegram, lejos de ser un incidente menor o una anécdota de la comunicación digital, constituye un caso paradigmático de las transformaciones que el poder está experimentando en la era de las plataformas. Nos enfrentamos a entidades privadas que concentran capacidades técnicas de comunicación masiva, segmentación precisa y llegada directa que superan ampliamente los medios tradicionales, y que pueden desplegar estas capacidades sin los contrapesos institucionales que limitan a los poderes públicos.

Desde la perspectiva del Derecho digital, este caso ejemplifica la necesidad de desarrollar marcos normativos que aborden específicamente el «poder de plataforma» como una categoría jurídica autónoma. El Reglamento General de Protección de Datos y el Reglamento de Servicios Digitales constituyen pasos importantes, pero insuficientes para abordar todas las dimensiones del problema. Necesitamos reglas claras sobre la utilización de datos personales para comunicaciones corporativas con contenido político, mecanismos efectivos de transparencia en los sistemas de segmentación de audiencias, y salvaguardas que garanticen que los usuarios no se conviertan en receptores cautivos de mensajes ideológicos no solicitados.

El riesgo último no es que un empresario concreto exprese su opinión sobre una regulación específica. El peligro real reside en la normalización de una práctica que difumina la frontera entre servicio de comunicaciones, medio de información y actor político con acceso privilegiado. Si legitimamos que los fundadores de grandes plataformas utilicen canales «obligatorios» o semi-oficiales para la transmisión de mensajes políticos, estaremos consolidando una forma de poder que escapa a los mecanismos democráticos de control y rendición de cuentas.

La reflexión final debe orientarse hacia la construcción de un espacio digital donde la libertad de expresión de todos —incluidos los empresarios de la tecnología— coexista con la protección de los derechos de los ciudadanos y con la preservación de la integridad de los procesos democráticos. Esto exige, en última instancia, que el Derecho evolucione al mismo ritmo que la tecnología, sin renunciar a sus principios fundamentales ni a su capacidad de proteger a los más vulnerables frente a las asimetrías de poder que caracterizan nuestra era digital.

XI. Referencias normativas y bibliográficas

1) Normativa de la Unión Europea

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos).

Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).

Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico, en el mercado interior (Directiva sobre el comercio electrónico).

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva de privacidad y comunicaciones electrónicas).

Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea.

Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la promoción de la equidad y la transparencia para los usuarios empresariales de servicios de intermediación en línea.

Carta de los Derechos Fundamentales de la Unión Europea, proclamada en Estrasburgo el 7 de diciembre de 2000.

2) Normativa del Estado español

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

3) Documentos institucionales

Agencia de Derechos Fundamentales de la Unión Europea, Big Data: Discrimination by Design or by Default?, Publicaciones de la Unión Europea, Luxemburgo, 2019.

Agencia Española de Protección de Datos, Guía de privacidad por diseño y por defecto, Madrid, 2023.

Comisión Europea, Orientaciones sobre la aplicación del Reglamento (UE) 2022/2065 (Reglamento de Servicios Digitales), Bruselas, 2023.

Comisión Europea, Propuesta de Reglamento relativo a la prevención y la lucha contra el abuso sexual de menores en línea, COM(2022) 209 final, Bruselas, 11 de mayo de 2022.

Comité Europeo de Protección de Datos, Directrices 05/2020 sobre el consentimiento conforme al Reglamento (UE) 2016/679, versión 1.1, adoptadas el 4 de mayo de 2020.

Comité Europeo de Protección de Datos, Directrices 8/2020 sobre la orientación de la publicidad en las redes sociales, versión 1.0, adoptadas el 13 de abril de 2021.Defensor del Pueblo, Informe Anual 2023, Capítulo especial sobre protección de datos y plataformas digitales, Madrid, 2024.

Resumen:

El presente trabajo analiza el mensaje masivo enviado por Pavel Durov, fundador de Telegram, a los usuarios españoles de la plataforma en el contexto del debate sobre la limitación del acceso a redes sociales para menores de 16 años propuesto por el Gobierno de Pedro Sánchez. La investigación examina las implicaciones jurídicas de este uso de infraestructura privada con fines de influencia política, centrándose en el consentimiento informado, la reutilización de datos personales conforme al Reglamento General de Protección de Datos, la frontera entre comunicación corporativa y activación política, y la tensión entre neutralidad tecnológica y poder normativo de facto de las grandes plataformas digitales.

Sobre el autor

Diego Fierro Rodríguez es Letrado de la Administración de Justicia en ejercicio, Codirector de la Revista Acta Judicial y Doctorando en Derecho. Desarrolla su actividad profesional en el ámbito de la Administración de Justicia española, siendo actualmente el Jefe del Área penal del Servicio Común de Ejecución del Tribunal de Instancia de Málaga.

Sobre la publicación

Se han utilizado Google Gemini para la imagen y Google Gemini y Perplexity para recabar y contrastar toda la información disponible.

Diego Fierro Rodríguez
Letrado de la Administración de Justicia
Codirector de la Revista Acta Judicial
Doctorando en Derecho

Ilustración de un despacho jurídico con libros de Derecho, mazo judicial y una tablet mostrando la propuesta COM(2025) 836 del Digital Omnibus on AI, simbolizando la reforma del Reglamento de Inteligencia Artificial en la Unión Europea.

Apuntes de emergencia sobre el Digital Omnibus on AI

9 febrero, 2026/0 Comentarios/en Publicaciones/por Enatic Abogacía Digital

I. Introducción

Imaginen construir un puente mientras se cruza el río. Esa imagen, tan gráfica como incómoda, describe con precisión la situación en la que se encontraba la política europea de inteligencia artificial a finales de 2025. Es exactamente lo que la Comisión Europea propuso el 19 de noviembre de ese año con el llamado Digital Omnibus sobre inteligencia artificial: revisar parcialmente un marco regulatorio ambicioso cuando aún no había terminado de desplegarse. Apenas quince meses después de la entrada en vigor del Reglamento de Inteligencia Artificial, y justo cuando las primeras obligaciones comenzaban a perfilarse en el horizonte operativo de las empresas, Bruselas reconocía algo que pocas instituciones admiten con semejante franqueza: el calendario original corría el riesgo real de convertirse en una trampa para la innovación europea.

Este reconocimiento no es menor. Supone aceptar que una regulación concebida para proteger derechos fundamentales, seguridad y confianza pública podía, en determinadas condiciones, producir efectos contrarios a sus propios fines. El problema no residía en la ambición del Reglamento ni en su arquitectura conceptual basada en el riesgo, sino en la tensión entre ese diseño normativo y la capacidad real de cumplimiento de los operadores económicos llamados a aplicarlo.

La propuesta legislativa —identificada técnicamente como COM(2025) 836 final— no surge de la improvisación ni de un giro político repentino. Es el resultado de una constatación empírica incómoda, acumulada durante meses de diálogo con el mercado. Las empresas estaban bloqueadas. No por falta de voluntad de cumplimiento ni por resistencia ideológica a la regulación, sino porque se les exigía demostrar conformidad con normas técnicas que aún no existían o no estaban plenamente definidas. Es como si un profesor exigiera un examen perfecto sin haber entregado el temario completo, ni aclarado los criterios de evaluación. Ante ese escenario, la Comisión, en un ejercicio de pragmatismo poco habitual en la burocracia comunitaria, optó por corregir el rumbo antes de que el daño económico, tecnológico y reputacional resultara irreversible.

Este trabajo pretende desentrañar esa propuesta con una mirada crítica pero constructiva. No se trata de celebrarla acríticamente ni de condenarla por principio, sino de comprender qué problemas reales detectaron los técnicos de Bruselas, cómo pretenden resolverlos desde el punto de vista jurídico e institucional y qué consecuencias prácticas tendrá todo ello para quienes desarrollan o despliegan sistemas de inteligencia artificial en Europa en los próximos años.

II. El diagnóstico desde dentro: cuando la regulación amenaza con ahogar lo que pretende proteger

Para comprender el alcance de la propuesta resulta imprescindible entender el diagnóstico que la precede. Durante meses, en foros sectoriales, grupos de expertos y consultas públicas celebradas entre abril y octubre de 2025, los operadores económicos lanzaron señales de alarma cada vez más consistentes que la Comisión terminó por escuchar. No se trataba de quejas genéricas contra la regulación, sino de advertencias muy concretas sobre disfunciones operativas: ausencia de normas armonizadas, retrasos en la designación de organismos de evaluación de la conformidad, falta de orientaciones prácticas claras y divergencias interpretativas incipientes entre Estados miembros.

En conjunto, estos factores estaban transformando el Reglamento de Inteligencia Artificial en un lastre competitivo, especialmente para empresas innovadoras de tamaño pequeño y medio. Pensemos en una startup de treinta empleados que ha desarrollado un sistema destinado a optimizar diagnósticos médicos mediante aprendizaje automático. Dispone de la tecnología, del talento humano y de un mercado potencial claro. Sin embargo, se enfrenta a preguntas fundamentales sin respuesta: qué documentación técnica debe preparar, qué organismo evaluará su conformidad, bajo qué estándar y, quizá lo más decisivo, si su sistema será finalmente considerado de alto riesgo.

Ante tal nivel de incertidumbre regulatoria, los inversores —de manera perfectamente racional— se retraen. El capital riesgo busca previsibilidad jurídica, no entornos normativos en construcción permanente. El proyecto se congela, se retrasa o se traslada. Europa pierde así oportunidades concretas de innovación, empleo cualificado y liderazgo tecnológico, mientras otras jurisdicciones con marcos más ágiles avanzan sin esperar.

Este escenario no era anecdótico. Se reproducía por cientos en todo el continente. La Comisión lo ha descrito sin ambages como la existencia de “retrasos significativos” que incrementaban injustificadamente los costes de cumplimiento. Pero tras esa formulación institucional se esconde algo más profundo: la comprensión progresiva de que regular tecnologías emergentes exige equilibrar ambición protectora y viabilidad operativa. No basta con diseñar un marco normativo conceptualmente impecable si luego resulta impracticable en la realidad cotidiana de las empresas que deben aplicarlo.

La inteligencia artificial añade, además, una dificultad estructural frente a otras tecnologías reguladas en el pasado: su vertiginosa velocidad de evolución. Mientras que el Reglamento General de Protección de Datos o la Directiva de Servicios de Medios Audiovisuales permitían un ajuste progresivo, los sistemas basados en aprendizaje automático evolucionan semana a semana, tanto en capacidades como en riesgos. El Digital Omnibus aspira, precisamente, a introducir la agilidad mínima necesaria para que el marco regulatorio no quede obsoleto antes incluso de desplegarse plenamente.

III. La filosofía del ajuste: cirugía regulatoria sin anestesia general

Lo más llamativo del enfoque adoptado por la Comisión es su prudencia metodológica deliberada. No estamos ante una desregulación encubierta ni ante una cesión a presiones corporativas. Tampoco ante un cuestionamiento de los objetivos fundamentales del Reglamento. Se trata, más bien, de hacer viable lo ya regulado, ajustando calendarios, procedimientos y cargas administrativas sin alterar en lo más mínimo los fines esenciales de protección de derechos fundamentales, salud pública y seguridad.

Aquí se percibe claramente una lección aprendida, no sin costes, de experiencias regulatorias anteriores. Basta recordar mayo de 2018, cuando el Reglamento General de Protección de Datos entró en vigor y miles de empresas europeas se vieron desbordadas intentando implementar simultáneamente registros de actividades, análisis de riesgos, evaluaciones de impacto, políticas internas y designaciones de delegados, todo ello sin suficientes profesionales cualificados ni criterios interpretativos consolidados. El resultado fue un cumplimiento formal apresurado, costoso y, en muchos casos, poco eficaz.

Esta vez, la Comisión parece haber decidido anticiparse. El momento elegido resulta particularmente acertado. Reformar demasiado pronto habría proyectado una imagen de improvisación legislativa y debilidad normativa. Hacerlo demasiado tarde habría permitido la acumulación de costes empresariales innecesarios y la deslocalización silenciosa de proyectos estratégicos hacia jurisdicciones más permisivas. Noviembre de 2025 representa ese punto de equilibrio: lo suficientemente temprano para prevenir daños estructurales, y lo bastante tardío para apoyarse en datos empíricos derivados de las primeras experiencias de aplicación.

La distinción entre rigor sustantivo y rigidez procedimental contraproducente resulta aquí crucial. No asistimos a una claudicación regulatoria, sino a un ejercicio de racionalización consciente que reconoce que determinados elementos del diseño original podían generar efectos perversos no deseados: desincentivar la innovación europea, favorecer indirectamente a operadores de terceros países y levantar barreras de entrada desproporcionadas para pequeñas y medianas empresas innovadoras.

IV. Las cinco medidas que cambian el juego

La propuesta introduce modificaciones de calado que merecen un análisis detallado por su impacto directo en la planificación del cumplimiento normativo de miles de empresas europeas.

En primer lugar —y quizá la medida técnicamente más relevante— se vincula explícitamente el calendario de aplicación de los requisitos para sistemas de alto riesgo a la disponibilidad efectiva de normas armonizadas. Ya no será, en todo caso, el 2 de agosto de 2026, sino el momento en que existan presunciones de conformidad formalmente publicadas en el Diario Oficial. Esta solución, ya ensayada con éxito en el Reglamento de Maquinaria, introduce una racionalidad elemental: no tiene sentido exigir el cumplimiento de requisitos técnicos detallados cuando no existen aún las especificaciones que permiten acreditarlo de manera objetiva.

Esta modificación transforma de forma profunda la planificación empresarial. Los proveedores podrán ajustar sus inversiones en procedimientos de conformidad a la publicación real de las normas, en lugar de trabajar anticipadamente con criterios provisionales que luego podrían resultar incorrectos o incompletos. Se reduce así el riesgo de invertir recursos en compliance que posteriormente deba rehacerse, con el consiguiente ahorro económico y organizativo.

En segundo lugar, la extensión del régimen simplificado a las denominadas small mid-caps —empresas de hasta 250 trabajadores y 50 millones de euros de facturación o 43 millones de balance— reconoce una realidad económica largamente ignorada. Muchas scale-ups tecnológicas europeas superan con rapidez los umbrales tradicionales de pequeñas y medianas empresas, pero siguen careciendo de la estructura organizativa y los recursos internos de compliance propios de las grandes multinacionales. Exigirles el mismo nivel de formalización documental que a corporaciones de decenas de miles de empleados resulta, en la práctica, desproporcionado y disuasorio.

Naturalmente, la fijación de umbrales numéricos genera situaciones frontera inevitables. Una empresa con 260 trabajadores quedará ligeramente fuera; otra que alcance los 52 millones de euros superará el límite. Sin embargo, resulta preferible una cierta arbitrariedad cuantitativa clara a un régimen único e inflexible aplicado indiscriminadamente a operadores con capacidades radicalmente distintas.

En tercer lugar, la transformación de la obligación genérica de alfabetización en inteligencia artificial en una obligación de fomento institucional constituye una solución jurídicamente equilibrada. Se mantiene la exigencia de formación específica para quienes despliegan sistemas de alto riesgo, pero desaparece la obligación genérica que recaía sobre cualquier proveedor con independencia del nivel de riesgo. La alfabetización es importante, pero convertirla en una obligación jurídica directa, sin criterios claros de contenido y acreditación, añadía presión normativa innecesaria.

El nuevo enfoque permite que Estados miembros y Comisión desarrollen programas formativos estructurados y coherentes, sin generar cargas individualizadas de difícil verificación. Al mismo tiempo, quienes operen sistemas de alto riesgo deberán acreditar que su personal dispone de formación técnica adecuada, lo que resulta plenamente coherente con una gestión responsable de riesgos.

En cuarto lugar, la supresión de la obligación de registro en la base de datos europea para sistemas que realizan tareas meramente preparatorias o auxiliares en ámbitos del Anexo III eliminará miles de registros administrativos innecesarios. Pensemos en un sistema que se limita a extraer datos estructurados de documentos digitales para alimentar un proceso decisional posterior. Aunque formalmente vinculado a un ámbito de alto riesgo, carece materialmente de riesgos significativos. Su registro habría generado ruido informativo y dificultado la supervisión efectiva de los sistemas verdaderamente problemáticos.

En quinto lugar, la centralización en la Oficina de Inteligencia Artificial de la supervisión de modelos de propósito general integrados en plataformas en línea de muy gran tamaño responde a un criterio elemental de eficiencia institucional. La supervisión fragmentada por veintisiete autoridades nacionales habría generado inconsistencias interpretativas, duplicidades costosas y una carga administrativa innecesaria tanto para autoridades como para operadores.

V. El artículo 4 bis del Reglamento de Inteligencia Artificial: resolviendo la paradoja de los sesgos ocultos

La propuesta introduce una novedad procedimental de enorme relevancia sistémica: la incorporación de un nuevo artículo 4 bis que permite expresamente el tratamiento de categorías especiales de datos personales con la finalidad exclusiva de detectar y corregir sesgos discriminatorios en sistemas de inteligencia artificial. Se trata de una modificación técnicamente precisa, pero con efectos potencialmente transformadores en la práctica del desarrollo y auditoría algorítmica en Europa.

Esta disposición responde a una paradoja regulatoria que venía paralizando a numerosos equipos técnicos y jurídicos. El artículo 10.5 del Reglamento original exigía identificar, evaluar y mitigar sesgos discriminatorios, mientras que el Reglamento General de Protección de Datos dificultaba de forma extrema —cuando no directamente impedía— el uso de los datos sensibles que resultan imprescindibles para esa identificación. ¿Cómo detectar un sesgo por origen racial sin procesar datos que revelen origen racial? ¿Cómo evaluar discriminaciones indirectas por género sin información relativa al sexo? La exigencia normativa era clara; el camino jurídico para cumplirla, no.

Durante meses, esta contradicción generó un efecto disuasorio significativo. Muchas empresas optaron por enfoques de auditoría incompletos o puramente teóricos, basados en proxies estadísticos de dudosa fiabilidad, por temor a infringir la normativa de protección de datos. Otras simplemente postergaron auditorías profundas, asumiendo un riesgo regulatorio latente. El resultado fue un ecosistema en el que la lucha contra la discriminación algorítmica quedaba debilitada por una colisión mal resuelta entre dos marcos normativos legítimos.

El nuevo artículo 4 bis introduce un marco jurídico claro para ese tratamiento excepcional, sometiéndolo a salvaguardias técnicas y organizativas estrictas. Entre ellas destacan la minimización rigurosa de datos, la anonimización o seudonimización robusta cuando sea técnicamente viable, la limitación estricta de finalidad a la detección y corrección de sesgos, garantías reforzadas de seguridad y una prohibición expresa de usos secundarios o incompatibles. No se trata de una carta blanca, sino de una excepción cuidadosamente acotada.

El impacto práctico será considerable. Los equipos técnicos y de data science podrán llevar a cabo auditorías sistemáticas de sesgo con respaldo normativo sólido. Será posible, por ejemplo, analizar empíricamente si un sistema automatizado de selección de personal presenta sesgos de género procesando datos relativos al sexo de los candidatos, siempre bajo controles estrictos y exclusivamente con fines correctivos. Lo mismo ocurrirá en ámbitos como la concesión de crédito, la detección de fraude o la priorización de pacientes en sistemas sanitarios.

Más allá de su utilidad inmediata, la introducción de este artículo evidencia una comprensión más madura de las tensiones internas del derecho digital contemporáneo. La protección estricta de la privacidad de datos sensibles y la lucha eficaz contra la discriminación algorítmica no son objetivos incompatibles, pero sí requieren mecanismos de ponderación explícitos. Ignorar el conflicto o resolverlo mediante silencios normativos solo conduce a la inacción. El artículo 4 bis representa, en este sentido, un avance metodológico relevante en la regulación de sistemas complejos.

VI. Innovar con seguridad: la expansión de los sandboxes regulatorios

La propuesta amplía de forma significativa las posibilidades de prueba en entornos reales para sistemas de alto riesgo, incluidos aquellos integrados en productos regulados por legislación sectorial armonizada, como vehículos de motor, dispositivos médicos o aeronaves civiles. Además, se crea expresamente un sandbox regulatorio europeo centralizado, gestionado por la Oficina de Inteligencia Artificial a partir de 2028, lo que supone un salto cualitativo en la arquitectura institucional del marco regulatorio.

Esta ampliación responde a una necesidad técnica difícilmente discutible. Los sistemas basados en aprendizaje automático no alcanzan niveles aceptables de fiabilidad únicamente mediante pruebas en entornos controlados. Su rendimiento depende de la exposición a datos del mundo real, con toda su complejidad, ruido estadístico y variabilidad contextual. Limitar en exceso las pruebas a escenarios de laboratorio puede dar lugar a sistemas formalmente conformes, pero operativamente frágiles o incluso peligrosos.

Un sistema de asistencia a la conducción autónoma puede funcionar de manera impecable en un circuito cerrado y fallar estrepitosamente en tráfico urbano denso, con peatones impredecibles, ciclistas que incumplen normas, meteorología cambiante y señalización ambigua. Esa brecha entre rendimiento simulado y comportamiento real es precisamente lo que los sandboxes permiten identificar y corregir de forma temprana, antes de un despliegue comercial a gran escala.

La creación de un sandbox europeo centralizado constituye, además, una innovación organizativa de primer orden. Hasta ahora, los sandboxes dependían de iniciativas nacionales fragmentadas, con criterios heterogéneos de acceso, metodologías dispares y niveles variables de exigencia técnica. Un sandbox europeo permitirá establecer estándares comunes de calidad, compartir aprendizajes metodológicos entre Estados miembros, facilitar el acceso a empresas que operan en múltiples jurisdicciones y concentrar recursos técnicos altamente especializados.

Desde una perspectiva estratégica, este enfoque también refuerza la competitividad europea. Ofrecer un entorno regulatorio que permita experimentar de forma controlada, pero realista, reduce incentivos a trasladar proyectos de investigación y desarrollo a jurisdicciones menos exigentes. Innovar con seguridad no es un eslogan, sino una condición para que la regulación no se convierta en un factor de deslocalización tecnológica.

Naturalmente, las pruebas en entornos reales plantean cuestiones delicadas de responsabilidad civil, protección de derechos fundamentales y gestión de riesgos. ¿Qué ocurre si, durante una prueba controlada, un sistema experimental causa daños a terceros? La propuesta mantiene salvaguardias robustas: consentimiento informado cuando proceda, supervisión continua por autoridades competentes, capacidad de intervención inmediata ante anomalías y exigencia de seguros de responsabilidad civil adecuados. El equilibrio alcanzado parece razonable y coherente con experiencias previas en sectores regulados.

VII. Lo que esto cambia en el día a día de las empresas

Para las empresas europeas que preparan sus estrategias de cumplimiento para 2026 y 2027, la propuesta implica cambios sustanciales tanto en la planificación estratégica como en la operativa cotidiana. No se trata de ajustes marginales, sino de modificaciones que afectan directamente a la asignación de recursos, a la organización interna y a la toma de decisiones de inversión.

La documentación técnica y los sistemas de gestión de calidad podrán ser sensiblemente más ligeros para aquellas empresas que califiquen como small mid-caps. Una empresa de 200 empleados que había previsto contratar varios perfiles especializados adicionales para gestionar el compliance podrá reducir esa necesidad, liberando recursos financieros y humanos para inversión directa en desarrollo tecnológico, pruebas de producto o captación de talento.

Los sistemas que realicen tareas meramente preparatorias o auxiliares en ámbitos del Anexo III podrán excluirse del registro obligatorio en la base de datos europea. Esta exclusión no solo reduce carga administrativa, sino que clarifica prioridades internas: los equipos podrán concentrar esfuerzos en la evaluación de riesgos reales, en lugar de dedicar tiempo a trámites formales de escaso valor protector.

La centralización de la supervisión de modelos de propósito general integrados en grandes plataformas en la Oficina de Inteligencia Artificial simplifica de forma notable la interlocución institucional. En lugar de coordinar comunicaciones paralelas con múltiples autoridades nacionales, las empresas dispondrán de un canal único de diálogo técnico, reduciendo riesgos de interpretaciones divergentes y duplicidades costosas.

La habilitación expresa para tratar datos sensibles con fines de detección de sesgos elimina una de las principales trabas que afrontaban los equipos técnicos. El nuevo artículo 4 bis permite diseñar procesos de auditoría de equidad más rigurosos, integrados desde fases tempranas del ciclo de vida del sistema, en lugar de como ejercicios defensivos posteriores.

Desde una perspectiva organizativa, las empresas deberán revisar sus hojas de ruta regulatorias. Los calendarios de inversión en procedimientos de conformidad podrán ajustarse con mayor racionalidad, especialmente en sistemas de alto riesgo vinculados a la publicación efectiva de normas armonizadas. Los departamentos jurídicos actualizarán matrices de riesgo, mientras que los equipos técnicos explorarán posibilidades de prueba antes inviables.

VIII. Una valoración que atiende no solo al texto, sino también a su espíritu

La propuesta del Digital Omnibus demuestra que es posible corregir el rumbo regulatorio sin traicionar los objetivos originales del Reglamento de Inteligencia Artificial. Se mantiene intacta la arquitectura conceptual basada en el riesgo —sistemas prohibidos, de alto riesgo, de transparencia y de riesgo mínimo—, pero se introduce flexibilidad procedimental allí donde la rigidez amenazaba con convertirse en un obstáculo estructural.

Resulta especialmente acertada la decisión de actuar mediante modificación legislativa formal y no limitarse a orientaciones interpretativas. Las guías pueden aclarar conceptos, pero no pueden modificar calendarios legalmente fijados, crear excepciones explícitas al tratamiento de datos personales ni redefinir competencias supervisoras. Aquí era necesaria una intervención normativa plena, y la Comisión la ha propuesto con rapidez poco habitual.

Queda por ver la reacción del Parlamento Europeo y del Consejo. La tramitación urgente parece justificada: cada mes adicional de incertidumbre regulatoria implica costes reales para empresas que toman decisiones estratégicas en tiempo real sobre dónde localizar proyectos de investigación y desarrollo.

Algunos críticos sostendrán que modificar un Reglamento apenas quince meses después de su entrada en vigor transmite una imagen de precipitación inicial. Esa lectura ignora la naturaleza dinámica de las tecnologías reguladas. La alternativa —persistir en un diseño disfuncional por coherencia formal— habría sido mucho más dañina. La capacidad de rectificación basada en datos empíricos es, en este contexto, una virtud institucional.

Tampoco puede sostenerse seriamente que las modificaciones diluyan la ambición protectora original. Las obligaciones sustantivas permanecen intactas. Lo que se ajusta son calendarios, procedimientos y cargas documentales. No se reduce la supervisión; se hace practicable.

IX. Conclusiones

Nos encontramos, en definitiva, ante un ejercicio de corrección normativa que refuerza, y no debilita, la credibilidad del modelo regulatorio europeo en materia de inteligencia artificial. El Reglamento no es perfecto —ningún marco que aborde tecnologías en rápida evolución puede serlo—, pero la propuesta corrige sus principales rigideces prácticas sin comprometer su ambición protectora.

La intervención responde de forma proporcionada a problemas empíricos concretos: la ausencia de normas armonizadas, los retrasos en la designación de organismos de evaluación y las tensiones no resueltas con otros marcos normativos, en particular la protección de datos. Su filosofía es clara: simplificación procedimental sin desprotección sustantiva.

La vinculación del calendario a la disponibilidad de normas armonizadas introduce racionalidad regulatoria. La extensión del régimen simplificado a las small mid-caps reconoce la realidad de empresas innovadoras sin estructuras complejas de compliance. El nuevo artículo 4 bis resuelve una paradoja que bloqueaba auditorías de sesgo, la centralización supervisora evita fragmentación y la ampliación de los sandboxes responde a necesidades técnicas ineludibles.

Las implicaciones prácticas para los operadores son significativas en términos de planificación, inversión y demostración de conformidad. La propuesta merece apoyo decidido, sin perjuicio de un seguimiento atento durante su tramitación legislativa para asegurar que el equilibrio alcanzado entre innovación y protección se mantenga. En un ámbito tan dinámico como la inteligencia artificial, regular bien no significa regular más, sino regular mejor.

Resumen:

La propuesta COM(2025) 836 final de la Comisión Europea, conocida como Digital Omnibus on AI, constituye la primera modificación sustancial del Reglamento (UE) 2024/1689 sobre Inteligencia Artificial, apenas quince meses después de su entrada en vigor. Este trabajo analiza el diagnóstico que subyace a la propuesta, centrado en los retrasos en la publicación de normas armonizadas y en la designación de organismos de evaluación, y examina las principales medidas de flexibilización introducidas: vinculación de calendarios a la disponibilidad de normas, extensión del régimen simplificado a small mid-caps, transformación de la obligación de alfabetización, supresión de registros innecesarios, centralización de la supervisión de modelos de propósito general y creación del nuevo artículo 4 bis sobre tratamiento de datos sensibles para detección de sesgos. Se valoran críticamente las implicaciones prácticas para los operadores y se concluye que la propuesta logra el difícil equilibrio entre mantener la ambición protectora del Reglamento original y corregir rigideces que amenazaban con frenar la innovación europea en inteligencia artificial.

X. Referencias normativas y bibliográficas

1) Normativa de la Unión Europea

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial).

Reglamento (UE) 2018/1139 del Parlamento Europeo y del Consejo, de 4 de julio de 2018, sobre normas comunes en el ámbito de la aviación civil.

Reglamento (CE) número 2006/42/CE del Parlamento Europeo y del Consejo, de 17 de mayo de 2006, relativo a las máquinas (Reglamento de Maquinaria).

Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.

2) Documentos institucionales

Comisión Europea, Propuesta de Reglamento del Parlamento Europeo y del Consejo que modifica los Reglamentos (UE) 2024/1689 y (UE) 2018/1139 en lo que respecta a la simplificación de determinadas disposiciones (Digital Omnibus on AI), COM(2025) 836 final, Bruselas, 19 de noviembre de 2025.

Comisión Europea, Documento de trabajo de los servicios de la Comisión que acompaña la propuesta COM(2025) 836 final, evaluación de impacto, Bruselas, 19 de noviembre de 2025.

Sobre el autor

Sobre la publicación

Se han utilizado Google Gemini para la imagen y Google Gemini y Perplexity para recabar y contrastar toda la información disponible.

Diego Fierro Rodríguez
Letrado de la Administración de Justicia
Codirector de la Revista Acta Judicial
Doctorando en Derecho

Cartel del Privacy Day de ENATIC con el texto “Datos personales en la era de la IA”, anunciando el webinar sobre protección de datos e inteligencia artificial celebrado el 27 de enero de 2026.

Privacy Day: Datos personales en la era de la IA

20 enero, 2026/0 Comentarios/en Eventos/por Enatic Abogacía Digital

Con motivo del Día Internacional de la Protección de Datos, ENATIC celebra una nueva edición de su Privacy Day, que centraremos este año en el análisis de la protección de los datos personales en la era de la inteligencia artificial, en un contexto de profunda transformación tecnológica y regulatoria.

Hemos planteado una sesión concebida como espacio de reflexión, orientada a compartir criterio experto, contrastar posiciones y anticipar el impacto que los últimos avances tecnológicos están teniendo y tendrán sobre el derecho fundamental a la protección de datos.

¿Por qué asistir?

Consideramos esencial abrir un debate en un contexto de revisión y ajuste del marco regulatorio europeo, en el que se está buscando un encaje coherente del RGPD con el resto del paquete normativo digital. En este escenario, resulta necesario reflexionar sobre el papel de la protección de datos en el desarrollo y uso de sistemas de inteligencia artificial, desde una perspectiva centrada en la persona y en los derechos fundamentales.

Programa

18:00 – 18:10 | Apertura

18:00 – 18:05
Inauguración
Belén Arribas Sánchez. Presidenta de ENATIC

18:05 – 18:10
Introducción
Rodolfo Tesone Mendizabal. Presidente emérito de ENATIC

Primera mesa redonda (18:10 – 18:40)

Moderación: Belén Arribas. Presidenta de ENATIC

Hora	Ponencia	Ponente
18:10 – 18:25	¿Es reconciliable el ejercicio del Derecho al Olvido con los LLMs de IA Generativa?	José Leandro Núñez García. Secretario General de ENATIC
18:25 – 18:40	Privacidad y Derechos Digitales: Tendencias internacionales y retos 2026	Eduardo López-Román. Vicepresidente de ENATIC

Segunda mesa redonda (18:40 – 19:10)

Moderación: Belén Arribas. Presidenta de ENATIC

Hora	Ponencia	Ponente
18:40 – 18:55	Cuestiones de privacidad en el escándalo de los deepfakes en GROK Imagine	Pablo Sáez Hurtado. Presidente de la Comisión Joven de ENATIC
18:55 – 19:10	Digital Omnibus on AI	José Manuel Muñoz Vela Vocal de ENATIC

19:10 – 19:25 | Presentación de la Comisión Joven ENATIC

Debate moderado (19:25 – 19:55)

Moderación: Patricia Frade Ortea. Comisión Joven de ENATIC

Título: La importancia de la calidad de los datos para la confianza y seguridad de las soluciones legal tech de inteligencia artificial especializadas. Claves prácticas y jurídicas

Ana Belén Barbero Castejón. Comisión Joven de ENATIC
José María del Río Garay. Comisión Joven de ENATIC
María Aguiriano López. Comisión Joven de ENATIC

Mesa redonda final: IA en el ámbito sanitario (19:55 – 20:20)

Hora	Ponencia	Ponente
19:55 – 20:05	El uso secundario de datos de salud en el EEDS, una revolución médico-tecnológica inminente para la gestión de los datos y la investigación	María Sánchez Besga. Vicepresidenta de la Comisión Joven de ENATIC
20:05 – 20:20	Cuestiones éticas y jurídicas acerca de ChatGPT Salud	Íñigo de Miguel Beriain. Vocal del Comité de Bioética de España, Vocal de la Asociación Española de Derecho Sanitario y Presidente del CEIm de Euskadi
20:15 – 20:20	Iberoamérica ante ChatGPT Salud, ya disponible y desplegado: implicaciones en la privacidad, la ciberseguridad y la gobernanza de la IA	Rodolfo Guerrero Martínez. Comisión Joven de ENATIC

20:25 – 20:30 | Clausura

Un webinar estructurado en mesas de debate y ponencias, que reunirá a miembros de la junta de ENATIC y de su Comisión Joven para abordar, desde distintas perspectivas jurídicas, cuestiones clave en la intersección entre protección de datos e inteligencia artificial.

La sesión, que se celebrará el 27 de enero de 2026, coincidiendo con el 14º aniversario de la Asociación, servirá además como primer acto público del nuevo Consejo de la Comisión Joven de ENATIC, elegido en diciembre, y como punto de partida para una nueva etapa de participación activa en los debates jurídicos que están marcando la agenda digital europea.

No te lo pierdas, ¡ya puedes inscribirte!

Ómnibus: El Futuro de la Gobernanza Digital

11 diciembre, 2025/0 Comentarios/en Eventos/por Enatic Abogacía Digital

El próximo 18 de diciembre se celebrará una nueva sesión del Foro ENATIC, un espacio de análisis y debate jurídico orientado, en esta ocasión, a examinar la propuesta Ómnibus de la Comisión Europea y su impacto en el actual marco de gobernanza digital, con especial atención a ámbitos como el Derecho Digital, la inteligencia artificial, la privacidad y la ciberseguridad.

La jornada, que tendrá lugar en formato online, reunirá a profesionales de referencia del ámbito jurídico y tecnológico para compartir primeras reflexiones jurídicas y estratégicas sobre esta iniciativa normativa, así como para contrastar posiciones en torno a su posible incidencia en el ordenamiento jurídico europeo y en la configuración futura del ecosistema regulatorio digital de la Unión.

Durante el foro se abordarán cuestiones relativas a la coherencia y articulación del conjunto de normas que integran el Digital Rulebook de la Unión Europea, analizando los retos que plantea la convivencia entre los nuevos instrumentos regulatorios y los marcos ya consolidados en materia de inteligencia artificial, protección de datos, ciberseguridad y servicios digitales.

La mesa redonda contará con las intervenciones de Carlos Alberto Saiz Peña, José Manuel Muñoz Vela, José Leandro Núñez García y Rodolfo Tesone Mendizábal, y estará moderada por Belén Arribas Sánchez, todos ellos miembros de la junta de ENATIC y profesionales con una amplia trayectoria en el ámbito del Derecho Digital. El encuentro se concibe como un espacio para profundizar, contrastar enfoques y anticipar escenarios relevantes para profesionales, organizaciones e instituciones ante el nuevo contexto regulatorio europeo.

Ya puedes inscribirte.

Automatización jurídica no-code

2 diciembre, 2025/0 Comentarios/en Eventos/por Enatic Abogacía Digital

ENATIC organiza un nuevo taller formativo TIClawyers, centrado en la automatización jurídica y el uso de herramientas no-code y low-code en el ejercicio profesional: una sesión orientada a ofrecer una visión práctica y aplicada sobre cómo estas tecnologías están transformando la forma de prestar servicios legales.

La jornada, que se celebrará el próximo 10 de diciembre a las 17:00h en formato webinar, se enmarca en el compromiso de ENATIC con la digitalización de la abogacía y el desarrollo de competencias directamente aplicables al día a día profesional, especialmente en un contexto en el que la inteligencia artificial se está convirtiendo en un pilar esencial del sector jurídico.

El taller será impartido por Karol Valencia, abogada especializada en innovación legal, legal tech y adopción práctica de inteligencia artificial en despachos y departamentos jurídicos. Actualmente, Karol desarrolla su actividad como AI Adoption & Change Management en Saga, plataforma europea de inteligencia artificial legal; y es cofundadora y CEO de WOW Legal Experience, consultora enfocada en la transformación digital del sector legal en Europa y Latinoamérica.

Durante la sesión se abordarán, entre otras cuestiones, qué se entiende por no-code y low-code en el contexto jurídico y cómo estas herramientas están impactando en el sector legal, así como casos reales de automatización aplicados en despachos y asesorías jurídicas.

El taller incluirá un recorrido práctico por la construcción de un flujo jurídico automatizado paso a paso, desde el intake de la información y su validación, hasta la generación de documentos y la notificación correspondiente, analizando además los errores más habituales en este tipo de proyectos y cómo evitarlos. Asimismo, se compartirán plantillas y herramientas prácticas orientadas a facilitar la aplicación inmediata de estos enfoques en el trabajo diario de los profesionales del derecho.

El encuentro se concibe como un espacio eminentemente práctico, orientado a demostrar que la automatización jurídica no es una tendencia reservada a grandes organizaciones ni requiere conocimientos avanzados de programación, sino que constituye una capacidad accesible y cada vez más relevante para ofrecer servicios legales eficientes, escalables y alineados con las exigencias actuales del mercado.

Ya puedes inscribirte.

Impacto geopolítico de la IA y ciberseguridad

17 noviembre, 2025/0 Comentarios/en Eventos/por Enatic Abogacía Digital

ENATIC organiza un nuevo Foro ENATIC orientado a analizar el impacto geopolítico de la inteligencia artificial y la ciberseguridad, en un contexto en el que la tecnología se ha consolidado como un elemento central en la configuración del poder global.

La creciente relevancia de los datos, los algoritmos y las infraestructuras digitales está transformando las relaciones internacionales y planteando desafíos que trascienden el ámbito técnico, afectando directamente al Derecho, la soberanía y la gobernanza global.

En este foro se abordarán estas cuestiones desde una perspectiva jurídica, estratégica y ética, con el objetivo de ofrecer claves que permitan comprender cómo estos cambios inciden en el ejercicio profesional y en la toma de decisiones en entornos cada vez más interconectados y complejos.

La sesión contará con la participación de Antonio Serrano Acitores, profesor universitario y vocal de ENATIC, y Carlos Alberto Saiz Peña, abogado experto en privacidad y vicepresidente de ENATIC.

La moderación correrá a cargo de Belén Arribas Sánchez, presidenta de ENATIC, quien conducirá el diálogo y el intercambio de perspectivas entre los ponentes.

El encuentro se celebrará el próximo 24 de noviembre de 2025, en horario de 16:30 a 18:00 horas, en formato online, y estará dirigido exclusivamente a socios de ENATIC.

Cine y televisión a la carta con IA

16 septiembre, 2025/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

La inteligencia artificial cada vez abre más interrogantes legales en el campo del derecho digital y del entretenimiento. Un caso concreto es el de los derechos que se derivan de las creaciones conjuntas entre hombre e inteligencia artificial.

Cada día salen nuevas plataformas donde los usuarios pueden co-crear contenidos con sistemas de inteligencia artificial generativa. Plataformas como Midjourney o Stability AI, o Sora, ofrecen a los usuarios la posibilidad de crear imágenes y videos de manera conjunta. Cabe resaltar la reciente demanda que Disney y NBC Universal han presentado contra la compañía de servicios de inteligencia artificial, Midjourney, por haber creado imágenes a partir de sus películas. Alegan que la startup de IA generativa permite a los suscriptores generar imágenes que violan los derechos de autor al usar personajes como Deadpool, Lobezno, Spider-Man, los Minions, la sirenita, Homer Simpson o Shrek como base esencial para sus creaciones.

Pero una nueva ventana se abre en el campo del entretenimiento: la posibilidad de que usuarios/espectadores participen y desarrollen junto aplataformas como Netflix, Disney o Amazon, cortos, series o películas con la ayuda de la IA. En este caso, resulta importante reflexionar sobre la necesidad de regular este tipo de contenidos en las que el espectador se converiría en creador de su propia historia. Obras audiovisuales que permiten a los espectadores tomar decisiones en la trama para construir su “propia aventura” (véase por ejemplo el episodio Bandersnatch de la serie “Black Mirror” en la cual el espectador puede decidir el rumbo de la historia). En un futuro cada vez más próximo, el espectador no sólo podrá elegir la trama y el desenlace. También podrá escoger el género de la historia o incluso los actores que participarán en dichas películas mediante interpretaciones generadas por IA.

¿Podrán dar una respuesta adecuada los regímenes jurídicos vigentes a este nuevo contexto? ¿Cómo se deberá regular a futuro estas nuevas propuestas audiovisuales? ¿Estarán protegidos todos los derechos que entrañan estas nuevas formas de consumo, producción o distribución del contenido audiovisual?

No sería utópico pensar en un futuro mediato pensar que las plataformas negociaran con los productores o actores nuevos tipos de cesiones o licencias para poder ofertar por separado tramas, imágenes, voces, expresiones corporales o composiciones musicales y que sea el espectador quien orqueste y construya su propia trama y producto.

A partir de este escenario surgen un nuevo mercado, derechos y fuertes condicionantes objeto de negociación y contratación. A modo de ejemplo, si el rostro de los actores y su voz son procesadas para formar parte del futuro contenido creado por el espectador, la plataforma deberá contar con un consentimiento explícito y una cesión de derechos de imagen por parte del actor conforme a lo dispuesto en las distintas normativas internacionales en materia de protección de la imagen y datos, pues este tipo de procesamiento afectaría la imagen del actor, al igual que ocurriría con la voz, con las correlativas limitaciones y condiciones asociadas para evitar su inclusión en contextos y contenidos no deseados.

Se precisarán autorizaciones previas por parte de los artistas para que la utilización de su imagen como base para la creación de las llamadas “réplicas digitales” y para usos y contextos expresamente autorizados por el titular de los derechos, con las correlativas exclusiones y limitaciones -No son previsibles autorizaciones generales que puedan comportar elecciones del usuario en las que coloque al personaje réplica de la persona autorizante en cualquier situación, contexto o escena en el marco del contenido, por ejemplo, escenas de alto contenido sexual o cualquier otra que pueda afectar a la imagen y reputación del actor en el futuro (especialmente sin hubiera ya fallecido). En estos casos, a partir de la imagen y voz del actor, se produciría un contenido sintético, una actuación instruccionada por el usuario y creada por un algoritmo que tomará como base la imagen del actor. El guion podría ser susceptible de protección, en caso de reunir los requisitos para ello, por propiedad intelectual. Si bien, por lo que se refiere a la interpretación, como la música y otros contenidos, si éstos son generados por IA, se debe tener en cuenta que no serían susceptibles de registro, en tanto se considerarían un producto generado únicamente por IA y por ello no susceptible de protección por este cauce, ya que no se puede proteger por derechos de autor ninguna creación en la que no haya intervención humana significativa, conforme lo establece las normativas vigentes de derechos de autor.

Imagen generada con Midjourney bajo instrucciones del autor.

En Estados Unidos el Right of publicity otorga a las personas, especialmente a las figuras públicas, el control exclusivo sobre el uso comercial de su nombre, imagen, voz y otros aspectos identificativos, aunque la regulación debe proteger no sólo a actores famosos y políticos, para lo que disponemos de las normativas de protección de datos, al igual que las proteccionistas de la imagen.

El uso de la imagen y voz en este contexto abre nuevos mercados donde no todo titular está conforme con participar en los mismos, conforme se está evidenciando ya en la actualidad. Los actores pueden ya obtener importantes beneficios licenciando su imagen y voz para crear contenido sintético, como ya se está negociando en la actualidad, mediante los contratos de cesión que se están promoviendo por la industria. Y no olvidemos el carácter de algunos de estos derechos, en función de la jurisdicción, como personalísimos, con el impacto que el marco jurídico aplicable puede tener en su cesión y explotación.

En mi opinión, necesitamos la revisión de los marcos jurídicos actuales para poder disponer de una regulación que abarque y dé una cobertura adecuada a está explotación de nuevos productos y nuevas formas de consumir los servicios ofertados por la industria. Es necesario que se proporcione seguridad jurídica y normas capaces de abarcar las nuevas formas de consumo, producción y comercialización del entretenimiento. Se avecina un mundo lleno de herramientas para el consumidor, en el marco de la inteligencia artificial y las nuevas tecnologías que de ella se derivan. Si avanzamos sin orden jurídico incurriremos en incertidumbre e inseguridad jurídica.

Luis Villamil Mendoza
Abogado especialista en Derecho audiovisual, tecnología y entretenimiento en Proyectil
Miembro ENATIC

Imagen generada con ChatGPT 4.o bajo instrucciones de su autor.

Entrenamiento de modelos de IA con contenidos protegidos por derechos de autor: Novedades judiciales sobre la doctrina del fair use.

4 septiembre, 2025/0 Comentarios/en El Blog de Enatic/por Enatic Abogacía Digital

Los debates jurídicos alrededor del entrenamiento de modelos de IA con contenidos protegidos por derechos de autor se están intensificando, especialmente en relación con la aplicación de las excepciones o limitaciones de los mismos, en particular respecto de la minería de textos y de datos (TDM) en la UE y el fair use en EE.UU., esgrimidas por la industria de la IA.

Mi opinión y posicionamiento desde hace años, expresada en diversas monografías, artículos de investigación y conferencias, ha sido muy contraria a la aplicación automática de estas excepciones, especialmente en el caso de la primera en el ámbito de la UE, en la medida que no fue concebida para legitimar la reproducción (en su caso) y uso de obras protegidas por derechos de autor para el entrenamiento de modelos de IA con finalidad comercial, sin autorización ni compensación de sus titulares.

En relación con la excepción de minería de textos y de datos, durante este último año se han ido sumando nuevas voces críticas en relación con su aplicación en este contexto, por ejemplo, expertos como Tim W. Dornis. Asimismo, esta cuestión protagonizó la tardía transposición de la Directiva (UE) 2019/790 sobre los derechos de autor y derechos afines en el mercado único digital por parte de Polonia, que analizó en su Proyecto de Ley de transposición la excepción de minería de textos y de datos previstos en la misma, concluyendo que “la reproducción de obras para minería de textos y datos no puede utilizarse para crear modelos generativos de inteligencia artificial”. Por último, el reciente borrador de informe sobre Copyright and generative artificial intelligence-opportunities and challenges, del Comité de Asuntos Jurídicos del Parlamento Europeo, de 27 de junio de 2025, en relación con la Propuesta de Resolución del Parlamento Europeo sobre los derechos de autor y la inteligencia artificial generativa – oportunidades y retos (2025/2058(INI)), abordó esta excepción, recomendando a la Comisión, con independencia de la revisión prevista del marco jurídico de los derechos de autor y de la Directiva de Derechos de Autor, que lleve a cabo urgentemente una evaluación exhaustiva de si el acervo existente de la UE en materia de derechos de autor aborda adecuadamente la inseguridad jurídica y los efectos sobre la competencia asociados al uso de obras protegidas y otras materias para el entrenamiento de sistemas de IA generativa. Del mismo modo, recomienda además que dicha evaluación tenga como objetivo apostar por un marco en el que los mecanismos de remuneración equitativa permitan generar los recursos necesarios para que la producción artística y creativa europea prospere en el contexto de la transformación mundial impulsada por la IA.

En relación con la doctrina del fair use estadounidense, durante los últimos meses se han sucedido las primeras resoluciones judiciales en EE.UU. sobre su aplicación al entrenamiento de modelos de IA en función del contexto, y que me permito analizar a continuación de manera sucinta dada la extensión limitada de este tipo de artículo, en colaboración con Mª José Montañana Bartual, quien ha profundizado en estas cuestiones y su análisis en un reciente y brillante trabajo de investigación elaborado en el marco académico de la Universidad de Valencia.

Resolución del Tribunal del Distrito de Delaware, dictada en el Caso Thomson Reuters Enterprise Centre GmbH vs. Ross Intelligence Inc. (No. 1:20-cv-613-SB). 11 de febrero de 2025 (1).

La resolución dictada por el Juez Stephanos Bibas, del Tribunal de Distrito de Delaware, representó un precedente fundamental en el derecho de autor estadounidense respecto al uso de obras protegidas por derechos de autor para el entrenamiento de modelos de IA. Se trata de la primera ocasión en la que un tribunal federal determinó que el uso de contenido protegido por derecho de autor para entrenar tecnología de IA no constituye un uso legítimo bajo la doctrina del fair use, sin perjuicio del precedente dictado en el asunto White v. West (2014), al que nos referiremos con posterioridad.

La demanda se interpuso por Thomson Reuters Enterprise Centre GmbH y West Publishing Corp contra Ross Intelligence Inc.

El objeto del litigio se sustentaba en la reproducción y uso de headnotes (2) protegidos por derechos de autor y pertenecientes a la herramienta Westlaw – una de las bases jurídicas más importantes de mundo titularidad de la parte demandante-, como datos de entrenamiento para un motor de búsqueda legal basado en IA comercializado por Ross Intelligence, un competidor emergente de Westlaw, para lo que contrató a un tercero (LegalEase), tras la negativa previa de Thomson Reuters a licenciarle su contenido para entrenar su sistema.

Westlaw contiene bases de datos legales organizadas mediante un sistema propietario llamado “Key Number System” e incluye «headnotes» o sumarios que identifican los aspectos clave de la resolución a la que van asociados.

La parte demandante argumentó que Ross había infringido sus derechos de autor sobre sus headnotes como obras individuales, sobre el sistema Key Number System como compilación protegida y sobre las decisiones editoriales incorporadas en 500 valoraciones judiciales.

Para la parte demandante los headnotes constituían obras originales protegibles por derechos de autor, ya que representaban una síntesis creativa de opiniones judiciales extensas, requiriendo juicio editorial para identificar los puntos de derecho más relevantes.

La parte demandada basó su defensa en el fair use argumentando, entre otros aspectos, de un lado, que su uso era transformativo al crear una nueva herramienta de investigación legal con propósito diferente al original, de otro, la falta de originalidad de los headnotes y, de otro, su uso intermedio para el entrenamiento de modelos de IA, como los que se vienen haciendo en la ingeniería inversa respecto del software.

El Juez consideró que los headnotes están protegidos por derechos de autor, considerando que son producto del trabajo intelectual de los redactores y que contienen explicaciones originales, habiéndose copiado más 2.200 headnotes de forma textual y casi idéntica.

El Juez estimó la mayor parte de las peticiones de la parte demandante, rechazando la aplicación del fair use esgrimido como argumento de defensa por Ross Intelligence para el entrenamiento de su modelo de IA, y declarando la infracción directa de los derechos de autor de la parte demandante por parte de la demandada.

La resolución judicial abordó la ponderación de los distintos factores a considerar para considerar concurrente la excepción de fair use, conforme a la disposición 17 U.S.C. § 107, esto es, la finalidad y carácter del uso (uso comercial y no transformador por parte de Ross, distinguiéndolo de casos anteriores como Google LLC v. Oracle Am., Inc., 593 U.S. 1 -2021-), la naturaleza de la obra protegida (aunque sea considerada de un nivel creativo medio o limitado y con originalidad), la cantidad y sustancialidad del uso de las obras protegidas (las headnotes no fueron incluidas por Ross en el producto final, solo fueron utilizadas para el entrenamiento del modelo) y el efecto en el mercado (con afectación del mercado existente y potencial de Westlaw y a su negocio, estando además entre los planes de Ross competir directamente con Westlaw). Este último factor fue considerado el más importante, conforme recoge en otros pronunciamientos judiciales anteriores referenciados en la resolución judicial, como en el asunto Harper & Row, Publishers, Inc. v. Nation Enterprises, 471 U.S. 539 (1985).

Una vez ponderados estos factores, el Juez consideró que la doctrina del fair use es inaplicable en el supuesto analizado, concluyendo que el uso de los headnotes para el entrenamiento de modelos de IA no era transformador y competía directamente con el producto original, afectando su mercado, por lo que dictó sentencia a favor de la parte demandante por infracción directa de los derechos de autor sobre los headnotes, rechazando la concurrencia de fair use.

Significar algunas de sus conclusiones: “No basta con decir que el uso fue ‘para entrenar una IA’ o que ‘nadie verá directamente los textos copiados’. Si estás usando algo protegido por derechos de autor con fines comerciales, y sin transformarlo realmente, no puedes escudarte en el fair use”. “No todo uso de obras protegidas para entrenar inteligencia artificial está amparado por el fair use”, especialmente cuando el uso no es realmente transformador y compite con el creador original.

El Juez Bibas introdujo una analogía innovadora comparando la creación de headnotes con el trabajo escultórico. Esta metáfora legal establece que, así como un escultor crea una obra protegible al extraer una forma de un bloque de mármol, los editores legales crean obras protegibles al extraer aspectos jurídicos clave de opiniones judiciales extensas.

Del mismo modo, la resolución establece una distinción entre el copying intermedio en casos de software y el entrenamiento de IA. Mientras que en casos precedentes como el indicado anteriormente entre Google vs Oracle permitieron el copying intermedio cuando era necesario para acceder a elementos funcionales no protegidos, el Juez determinó que esta justificación no se aplica al entrenamiento de IA con contenido no funcional.

El Juez también rechazó el argumento de que el entrenamiento de IA es inherentemente transformativo, estableciendo que el carácter transformativo debe evaluarse según el propósito específico del uso, no según la tecnología empleada. El caso sigue abierto donde deberá también dilucidarse sobre el uso del sistema de organización “Key Number”.

La decisión estableció un precedente restrictivo para compañías de IA que buscan utilizar contenido protegido por derechos de autor para entrenamiento, especialmente cuando a) exista competencia directa con el titular de derechos de autor; b) el uso sea comercial y sin transformación significativa y; c) afecte a mercados existentes o potenciales en relación con las obras originales.

No obstante, este pronunciamiento contrasta relativamente con otros posteriores dictados en casos recientes, como el de Anthropic o Meta, que se abordarán a continuación, en la medida que en estos últimos se determinó que el entrenamiento de IA con obras protegidas podría considerarse fair use «con transformación significativa». Estas discrepancias judiciales y la falta de una delimitación clara de la doctrina del fair use en el marco del entrenamiento de modelos de IA sugieren que la cuestión llegará a la Corte Suprema.

Resolución del Tribunal de Distrito del Norte de California (Caso C24- 05417 WHA) sobre el uso de obras protegidas por derechos de autor por parte de Anthropic PBC en el entrenamiento de modelos de IA (Claude). 23 de junio de 2025 (3).

La resolución constituye otro precedente fundamental en la aplicación de la doctrina del fair use al entrenamiento de modelos de IA con obras protegidas por derechos de autor. La decisión judicial establece criterios diferenciados para evaluar distintos usos de obras protegidas por derechos de autor en el desarrollo de IA, marcando límites claros entre usos legítimos e infracciones de los derechos de autor.

La demanda fue interpuesta por Andrea Bartz, Charles Graeber y Kirk Wallace Johnson como autores, junto con sus entidades titulares de derechos, frente a Anthropic PBC, empresa de IA desarrolladora del modelo Claude, por infracción de derechos de autor por la entidad demandada al supuestamente entrenar su modelo de IA utilizando libros protegidos por derechos de autor, algunos obtenidos de fuentes ilícitas (piratas) y otros adquiridos legítimamente por Anthropic.

La parte demandante alegó la infracción de sus derechos de autor por la reproducción no autorizada de sus obras para crear una biblioteca central de libros y entrenar los modelos de IA con sus obras, la retención en los modelos de copias comprimidas de sus obras, la obtención de sus obras de fuentes ilícitas -piratas-, la no aplicación del fair use como causa legitimadora para el entrenamiento de modelos de IA con sus obras y la emulación de su estilo y expresión narrativa por parte del sistema generativo de la demandada. Y todo ello significando la naturaleza comercial lucrativa del negocio de Anthropic y el daño en el mercado, dado que el uso desplazaba ventas potenciales y mercados de licenciamiento emergentes.

Por su parte, la parte demandada reconoció el uso y copia masiva de obras y argumentó, entre otros aspectos, de un lado, que lo hizo con finalidad y uso transformativo de entrenamiento de sus modelos de IA y para la construcción de una biblioteca de investigación interna, de otro, que sus modelos no reproducen directamente las obras y, por último, que la transformación mediante la digitalización de libros físicos comprados en tiendas y plataformas para su conversión en PDF para uso interno era un uso razonable y legítimo (fair use). Adicionalmente, argumentó la analogía con el aprendizaje humano, comparando el entrenamiento de IA con el proceso de lectura y aprendizaje humano, de modo que no debería haber diferencias en el tratamiento legal, junto con el beneficio público para la sociedad de todo ello y la necesidad técnica de utilizar grandes volúmenes de datos para entrenar los modelos de IA.

Según recoge la resolución, Anthropic descargó millones de copias pirateadas de libros desde sitios como Books3, LibGen y PiLiMi entre 2021-2022. Posteriormente compró millones de libros físicos, los destruyó y los digitalizó para crear una «biblioteca de investigación central», utilizó subconjuntos de estas obras para entrenar diversos modelos de lenguaje que alimentan a Claude y generó más de mil millones de dólares en ingresos anuales.

El Juez William Alsup, a diferencia de la resolución anteriormente analizada, admitió el fair use para el entrenamiento de los modelos de la parte demandada con obras protegidas adquiridas en el mercado por la misma y su digitalización, si bien, rechazó el fair use respecto de obras obtenidas de fuentes ilícitas, considerando su uso una infracción.

El Juez tomó como referencia normativa para su resolución la disposición 17 U.S.C. § 107 – Fair Use Doctrine, así como casos precedentes como: Google v. Oracle (593 U.S. 1, 2021), que admite el fair use incluso en uso comercial si el fin es suficientemente transformador; Campbell v. Acuff-Rose (510 U.S. 569, 1994), que aborda el uso paródico como fair use; Authors Guild v. Google (804 F.3d 202, 2d Cir. 2015), que establece que escaneo masivo de libros puede ser fair use; Andy Warhol Foundation v. Goldsmith (2023); Thomson Reuters v. Ross (D. Del. 2025), que establece que el uso de textos jurídicos para IA no fue transformativo o; White v. West Pub. (S.D.N.Y. 2014), que consideró que constituye fair use usar textos jurídicos y justificado convertir y reutilizar material público de manera transformativa en bases de datos comerciales.

De este modo, el Juez admitió el fair use esgrimido por la parte demandada, tanto para el entrenamiento de sus modelos -considerando que sus modelos fueron entrenados con los libros, sin reproducción de los textos (aprenden patrones y estructura de lenguaje), sin generación de resultados de salida literales de las obras a los usuarios y con un uso transformativo, equiparando el proceso a cómo una persona aprende a escribir leyendo libros-, como para la conversión de libros comprados de formato físico a digital con finalidades de almacenamiento y búsqueda. Sin embargo, se rechazó la aplicación del fair use en relación con la descarga de libros por la parte demandada desde sitios piratas como Books3, LibGen o PiLiMi para conformar una biblioteca centralizada.

En definitiva, la doctrina sobre la que se sustenta esta resolución es que “el uso de libros adquiridos legalmente para entrenamiento de IA sería fair use”, considerando dicho uso transformativo a los efectos de la aplicación de la excepción. La creación de copias digitales a partir de libros comprados también lo es. Pero la piratería masiva para construir una biblioteca permanente no lo es y constituye una infracción. Significar, entre otros aspectos criticables de la resolución, que las obras protegidas fueron adquiridas en el mercado por la parte demandada con esa particular finalidad comercial pero no fueron puestas en el mercado y comercializadas por los titulares de los derechos sobre las mismas con dicha finalidad para sus usuarios, sino para un uso privado no comercial.

La resolución abre la vía para una demanda de responsabilidad multimillonaria contra Anthropic que podría impactar en negocio e incluso en su continuidad, por lo que acaba de reforzar su defensa con la contratación de varios abogados expertos para afrontar la misma.

Resolución del Tribunal de Distrito del Norte de California (caso No. 3:23- cv-03417, VC) en la demanda por infracción de derechos de autor contra Meta Platforms, Inc. por el uso de libros protegidos en el entrenamiento de modelos de IA (LLaMA). 25 de junio de 2025 (4).

La demanda fue interpuesta por distintos autores como Sarah Silverman, Christopher Golden y Richard Kadrey frente a Meta Platforms, Inc., por el entrenamiento por parte de ésta de sus modelos de IA LLMs (LLaMA 1 y LLaMA 2) con libros protegidos por derechos de autor sin autorización ni compensación, y desde fuentes ilícitas (piratas).

La parte demandante alegó una infracción masiva por entrenamiento de modelos de IA con obras protegidas, Según la misma, Meta obtuvo libros desde fuentes ilícitas (piratas), copiando y procesando íntegramente sus obras sin autorización ni compensación para entrenamiento de sus modelos, argumentando que dichos modelos podrían reproducir fragmentos protegidos y contenidos que compiten con los suyos, y que ello perjudica su capacidad de licenciar sus obras.

La parte demandada reconoció haber utilizado materiales pirateados, pero argumentó que dicho uso constituye fair use conforme a la disposición 17 U.S.C. § 107, invocando la naturaleza transformadora del entrenamiento de sus modelos y sosteniendo que los mismos no reproducen ni distribuyen directamente las obras protegidas o fragmentos de ellas, conforme la parte demandante no demostró, sino que se convierten en patrones estadísticos.

Para la parte demandada, entrenar sus modelos LLMs era un uso transformativo distinto al de lectura o entretenimiento, equiparable a cómo aprender de una obra para producir algo diferente.

El Juez tomó como referencia normativa para su resolución la disposición 17 U.S.C. § 107 – Fair Use Doctrine, así como los siguientes casos: Twentieth Century Music Corp. v. Aiken, 422 U.S. 151, 156 (1975); Harper & Row Publishers, Inc. v. Nation Enterprises, 471 U.S. 539, 566 (1985); Campbell v. Acuff-Rose Music, Inc., 510 U.S. 569, 590 (1994); Sony Corp. of America v. Universal City Studios, Inc., 464 U.S. 417, 430 (1984); Google LLC v. Oracle America, Inc., 593 U.S. 1, 18 (2021), que admite el fair use incluso en uso comercial si el fin es suficientemente transformador; Andy Warhol Foundation for the Visual Arts, Inc. v. Goldsmith, 598 U.S. 508, 526 (2023); Authors Guild v. Google (804 F.3d 202, 2d Cir. 2015), que establece que escaneo masivo de libros puede ser fair use; Thomson Reuters v. Ross (D. Del. 2025), que establece que el uso de textos jurídicos para IA no fue transformativo y; White v. West Pub. (S.D.N.Y. 2014).

La doctrina sobre la que el Juez sustentó esta resolución es que el uso de libros para entrenamiento de modelos de IA sería fair use, en defecto de alegaciones y pruebas que motiven determinar su no concurrencia, considerando el carácter transformador de dicho entrenamiento y no considerando la concurrencia de daños al mercado.

A diferencia del pronunciamiento judicial analizado en el caso Claude, C24- 05417 WHA, junio 2025, el Juez, Vince Chhabria, desestimó la petición contra Meta, argumentando que el entrenamiento de los modelos de IA era altamente transformador y que los demandantes no demostraron un daño real ni impacto en el mercado, aplicando la doctrina del fair use.

El juez reconoció que el uso de obras protegidas sin autorización para entrenar IA podría ser ilegal en muchos contextos, pero en este caso concreto la demanda fue desestimada por falta de pruebas y por la argumentación incorrecta de los demandantes según el juzgador. La decisión enfatizó que el fallo no implica que cualquier uso de obras protegidas por Meta sea legal, sino que los demandantes no lograron fundamentar adecuadamente su reclamación en instancia. El fallo no pretende avalar automáticamente toda práctica de la parte demandada.

Al igual que en el caso Bartz contra Anthropic, el juzgador consideró que el fair use eximía de responsabilidad a la parte demandada por supuesta infracción de derechos de autor. Ambos tribunales llegaron a la misma conclusión, si bien, sus razonamientos sobre la aplicación de la prueba de los cuatro factores de la doctrina del fair use (finalidad y carácter, naturaleza de la obra, cantidad usada y efecto en el mercado) fueron diferentes y con importantes salvedades.

El juez Chhabria, en el caso Meta, abordó con profundidad un posible argumento que los demandantes podrían haber esgrimido, pero que no presentaron de forma adecuada, esto es, que Meta había “copiado sus obras para crear un producto que probablemente inundaría el mercado con obras similares, provocando una dilución del mercado”. La teoría de la dilución es novedosa en el ámbito de los derechos de autor y se base en la expectativa de que los usuarios de sistemas generativos puedan producir volúmenes tan grandes de obras generadas por IA que los mercados ser verán inundados de obras generadas por IA que competirán con obras creadas por autores humanos, de modo que se desincentivarán éstos para crear obras nuevas y no
podrán vivir de la creación y explotación de sus obras.

Según el juez, si la parte demandante hubiera presentado alguna prueba que un jurado pudiera haber utilizado para determinar que los demandantes se enfrentaban a tal dilución del mercado, la demanda interpuesta habría tenido que ser sometida a un jurado (no sumario), por lo que considera que el tribunal “no tenía más remedio” que dictar una resolución sumaria. El Juez considera en su resolución que la parte demandante presentó argumentos erróneos.

En definitiva, la resolución dictada constituye una decisión limitada al caso concreto y evidencia, a nuestro juicio, que el debate jurídico sobre la doctrina del fair use sigue abierto, en la medida que la aplicación de misma no está claramente delimitada y el posicionamiento de expertos no es pacífico, de modo que es previsible la intensificación del debate doctrinal y litigioso en EE.UU. Actualmente hay más de 40 procedimientos judiciales en tramitación sobre estos aspectos y habrá que esperar a la firmeza de sus resoluciones para conformar la doctrina del uso legítimo.

José Manuel Muñoz Vela
Abogado especialista en Derecho Digital e IA
Doctor en Derecho (IA)
Director Jurídico Adequa Corporación

Mª José Montañana Bartual
Graduada en Derecho y Criminología
Universidad de Valencia

(1) Thomson Reuters v. ROSS Intelligence, 1:20‑cv‑613‑SB (D. Del., feb‑2025)
(2) Son resúmenes breves que Westlaw crea para cada sentencia judicial
(3) Recuperado de https://regmedia.co.uk/2025/06/24/anthropic.pdf. Consultado el 28 de junio de 2025.
(4) Recuperado de https://cdn.arstechnica.net/wp-content/uploads/2025/03/Kadrey-v-Meta-Motion-for-Summary-Judgment-3-10-25.pdf. Consultado el 28.06.2025