Guillem Alsina Gonzàlez
La Unión Europea tiene un grave problema que, en opinión de muchos, entorpece su progreso tecnológico: la excesiva burocratización. Las leyes europeas son objeto de críticas tanto desde dentro de los países miembro, como desde fuera (concretamente, de las grandes empresas tecnológicas estadounidenses), por lo que la Comisión Europea pretende simplificarlas y flexibilizarlas.
Y, para ello, está preparando un paquete de actualizaciones, conocido informalmente como «ómnibus digital», con el que busca reducir la burocracia y deshacer solapamientos entre leyes que dificultan su aprobación, haciendo concesiones a las grandes empresas tecnológicas en, por ejemplo, excepciones y periodos de gracia en el registro de sistemas de alto riesgo de IA, y etiquetado de contenidos generados por IA, o la gestión de las cookies.
Son precisamente estos aspectos, estos recortes, que han puesto en alerta a diversas entidades de defensa de los derechos digitales de los ciudadanos, que acusan a la Comisión Europea de «desregular por mil recortes», en referencia a una antigua tortura y forma de ajusticiamiento practicada en China hasta principios del siglo XX, la «muerte por mil cortes», con lo que el mensaje de estas entidades a la CE es claro: la acusan de querer vaciar las leyes a reformar de contenido a través de pequeños recortes que, si bien diezman la cobertura de dichas leyes, no las «matan» aunque sí las destrozan.
Este «paquete ómnibus» de leyes se presentará este próximo miércoles día 19 de noviembre.
En un comunicado conjunto que las organizaciones European Digital Rights (EDRi), Irish Council for Civil Liberties (ICCL) y noyb han remitido a responsables de la Comisión Europea en materia digital y de derechos fundamentales, estas entidades reclaman que el futuro paquete de ajuste de las leyes digitales no rebaje los niveles de protección a la ciudadanía vigentes a día de hoy.
A juicio de estas entidades, la coordinación del acervo digital es deseable, pero las modificaciones planteadas por la CE van más allá de una mera simplificación, y desembocarían en la desregulación de elementos nucleares del GDPR, del marco e-Privacy y de la AI Act, con una reducción significativa de garantías.
Según exponen, estos cambios no se corresponden con las garantías ofrecidas durante el GDPR Implementation Dialogue y tampoco se anticipaban ni en el 2025 Overview Report on Simplification, Implementation and Enforcement, ni en la Call for Evidence del propio Digital Omnibus.
Las tres organizaciones sostienen que la propuesta se ha configurado sin recabar la evidencia necesaria, con consultas insuficientes y sin la evaluación de impacto preceptiva, con el riesgo de entrar en conflicto con la Carta de Derechos Fundamentales.
En el plano económico, subrayan que fomentar la innovación no pasa por desregular, y defienden que la previsibilidad jurídica favorece un crecimiento digital sostenible y que reducir el alcance de los derechos fundamentales no reforzará la competitividad europea, sino que puede acentuar la concentración del mercado y la dependencia de compañías no comunitarias.
También apuntan que los recientes casos acaecidos de intermediarios de datos muestran que la compraventa de información personal a gran escala persiste, y que el problema no es un exceso de normas, sino la falta de una aplicación coherente y de recursos para supervisar. En consecuencia, piden reforzar la labor de las autoridades para que las reglas existentes funcionen en la práctica.
En materia de gobernanza, estas organizaciones advierten que la Comisión plantea cambios sustantivos sin seguir plenamente los principios de “Better Regulation” (políticas basadas en evidencia, evaluaciones de impacto y participación pública significativa), señalando que la Call for Evidence se cerró cinco semanas antes de la publicación prevista, un margen que consideran insuficiente para valorar las aportaciones. A ello suman que los procedimientos “omnibus” comprimen los plazos parlamentarios y limitan el escrutinio, trasladando un poder desproporcionado al ejecutivo comunitario.
Más allá del procedimiento, identifican impactos de fondo; alertan de que redefinir qué es “dato personal” con un enfoque “subjetivo” (dependiente de la capacidad concreta del responsable para identificar a la persona) y excluir los “datos seudónimos” del ámbito del GDPR podría dejar fuera identificadores como los “user IDs” utilizados por la publicidad digital y los intermediarios de datos, con el efecto de normalizar prácticas de seguimiento y elaboración de perfiles comerciales que muchos ciudadanos no desean. Explican que los datos seudónimos son aquellos que no identifican directamente a una persona, pero que pueden vincularse a un usuario mediante un identificador persistente.
Otro punto crítico es la posible habilitación del entrenamiento de sistemas de IA sobre datos personales (incluidos aquellos sensibles) amparada en el “interés legítimo” del responsable y condicionada solo a salvaguardas no definidas. En opinión de las tres organizaciones, ello expondría a las personas a un mayor riesgo por tratamientos opacos y otorgaría una ventaja general a la industria de la IA frente a otros sectores, al quedar de facto cubiertos por el GDPR al explotar datos personales.
En lo relativo a la AI Act, sostienen que las modificaciones consideradas enviarían una señal de laxitud a los proveedores de IA, con una posible demora en la aplicación de sanciones por infracciones, requisitos de transparencia atenuados y excepciones ampliadas en documentación técnica y gestión de calidad para compañías de tamaño “small mid-cap”. Temen que estos cambios dificulten la rendición de cuentas y abran lagunas basadas en el tamaño de la empresa en lugar del riesgo del sistema.
Respecto al marco e-Privacy, indican que, aunque ven con buenos ojos el uso de herramientas automáticas para que los consumidores expresen sus preferencias de privacidad, otras modificaciones podrían debilitar la confidencialidad de las comunicaciones y facilitar un seguimiento y perfilado más ubicuo.
Las organizaciones enmarcan la propuesta Digital Omnibus en una tendencia más amplia de desregulación que, bajo la etiqueta de la simplificación, estaría vaciando protecciones sociales, medioambientales y digitales.
Como conclusión, EDRi, ICCL y noyb piden a la Comisión que retire los cambios propuestos, y que cualquier reforma sustantiva se discuta en el marco del Digital Fitness Check conforme a la Better Regulation, al considerar que un procedimiento rápido de tipo ómnibus no es el adecuado para asuntos de esta complejidad.
