Guía pillar → Para el resumen completo de las obligaciones del EU AI Act para PyMEs (Art. 4, 5, 26, 27, 50, sanciones, calendario), consulta nuestra guía pillar EU AI Act para PyMEs.
Desde hace semanas, una sola pregunta recorre los círculos de cumplimiento normativo europeos: ¿va a flexibilizar realmente la UE el RGPD y la Ley de Inteligencia Artificial? Y si es así, ¿qué deben hacer las empresas con sus hojas de ruta de cumplimiento actuales?
El debate arranca de un paquete de simplificación que la Comisión Europea lleva desarrollando desde el Informe Draghi sobre la competitividad europea. El investigador de IA Rohan Paul resumió la situación en X: "Europe is moving to relax parts of its strict GDPR and AI Act to cut compliance costs and push growth." Las reacciones en X van desde el alivio al escepticismo. Ambas son comprensibles.
Para una PYME española que hoy está desarrollando una estrategia de IA local o evaluando sus inversiones en cumplimiento normativo, la pregunta práctica es concreta: ¿pausar y esperar, o seguir adelante?
Qué está proponiendo realmente la Comisión
El Competitiveness Compass de la Comisión (enero de 2025) fijó el objetivo de reducir la carga administrativa para las empresas en un 25 por ciento. Según nuestra interpretación de las propuestas publicadas, el paquete RGPD Ómnibus se concentra en cuatro palancas principales:
Seudonimización como base jurídica simplificada: Las empresas que seudonimicen técnicamente los datos personales tendrían más facilidad para utilizar el "interés legítimo" como base jurídica, sin tener que documentar una ponderación de intereses completa para cada actividad de tratamiento. Rohan Paul informó en X que el plan "gives companies more room to move data around if they strip out direct identifiers."
Alivio documental para PYMES: Las empresas por debajo de un umbral aún por determinar quedarían parcial o totalmente exentas de mantener un Registro de Actividades de Tratamiento (RAT) completo conforme al artículo 30 del RGPD.
Simplificación de la Ley de IA para sistemas de bajo riesgo: Las aplicaciones que no caigan en categorías de alto riesgo — evaluación de personal, scoring crediticio, identificación biométrica — podrían beneficiarse de documentación de conformidad simplificada.
Transferencias internacionales de datos seudonimizados: Las transferencias fuera de la UE tendrían menos obstáculos cuando se hayan eliminado técnicamente los identificadores directos en origen.
Importante: todo lo anterior son propuestas legislativas, no derecho vigente. Hasta que un paquete Ómnibus complete el procedimiento legislativo completo de la UE — Consejo, Parlamento, trílogos — suelen transcurrir entre 18 y 36 meses desde la propuesta de la Comisión hasta la entrada en vigor.
Qué no va a cambiar
El experto en privacidad Emmanuel Pernot-Leplay lo formuló con precisión en X: "Simplification and clarification are both welcome for GDPR and AI rules." Pero ese esfuerzo, añadió, debe centrarse en los procesos y el papeleo, no en los derechos y principios fundamentales. Es el enfoque correcto para cualquier empresa que quiera planificar en torno a la reforma.
Lo que definitivamente no está sobre la mesa:
- Limitación de finalidad: Los datos recabados para fines contractuales no pueden reutilizarse sin más para entrenar modelos de IA, aunque se apruebe un paquete de reforma.
- Categorías de alto riesgo en la Ley de IA: Evaluación de personal, scoring crediticio, identificación biométrica — siguen estando muy reguladas, independientemente de los cambios del Ómnibus.
- El marco sancionador: Hasta 35 millones de euros o el 7 por ciento del volumen de negocio anual global. La simplificación afecta a los requisitos de documentación, no a las consecuencias de las infracciones reales.
- El derecho vigente se aplica hoy: Un paquete de reforma aprobado en 2028 no corrige retroactivamente la legalidad de las transferencias de datos realizadas en 2026.
La trampa de esperar
Aquí es donde suele producirse el error estratégico: el período de espera no es una zona libre de obligaciones jurídicas.
Si una empresa carga hoy datos de empleados, comunicaciones con clientes o contratos internos en un servicio LLM en la nube de Estados Unidos, esa transferencia ya se ha producido. Es lícita o no lo es. Un paquete de simplificación aprobado dentro de dos años no corrige retroactivamente una infracción del RGPD cometida en 2026.
Las empresas que en cambio optan por infraestructura de IA local — modelos como Llama 3.3 70B, Qwen2.5 72B o DeepSeek-V3 ejecutándose en su propio hardware — sencillamente no tienen esa exposición. La inferencia corre en sus propios servidores. Ningún dato sale de la empresa. Y eso es así independientemente de cómo acabe la reforma del RGPD.
No es una postura ideológica sobre la soberanía del dato: es un cálculo de riesgos concreto. La infraestructura local actúa como cobertura de cumplimiento en ambas direcciones — tanto bajo una normativa de protección de datos estricta como bajo una versión simplificada.
Tres pasos concretos para las PYMES españolas
Mantener actualizado el Registro de Actividades de Tratamiento
Aunque lleguen alivios para PYMES, el RAT (art. 30 RGPD) es la base de cualquier inspección de la AEPD. Mantenerlo al día ahora supone menos trabajo en el escenario de reforma, no más. Una hoja de cálculo que cubra nombre de la herramienta, finalidad del tratamiento, base jurídica y categoría de datos es un punto de partida suficiente.
Clasificar las herramientas de IA por categoría de riesgo
La Ley de IA traza líneas claras entre sistemas de riesgo bajo, limitado y alto. Documentar qué herramientas de la organización caen en qué categoría permite beneficiarse de cualquier simplificación futura y estar protegido ante una inspección supervisora. No tiene por qué ser un proyecto grande para ser eficaz.
Tomar decisiones de infraestructura que sean válidas en cualquier escenario
La pregunta de si los tratamientos sensibles se ejecutan en hardware propio o en la nube no puede corregirse retroactivamente una vez que los datos ya se han transferido. Los modelos locales en un Mac Studio M3 Ultra (192 GB de memoria unificada) o en un servidor dedicado con NVIDIA L40S alcanzan hoy calidad suficiente para la mayoría de los casos de uso de una PYME. La comunidad reporta tasas de inferencia de 20–35 tok/s para Llama 3.3 70B en Apple Silicon — más que suficiente para procesamiento asíncrono de documentos, resúmenes y búsqueda interna.
Para PYMES que deseen financiar esta infraestructura con fondos públicos, el bono de Kit Digital puede cubrir el despliegue inicial como solución de Agente Digitalizador. Más información en soberanía del dato con IA local.
Seguir el proceso de reforma de forma activa
El procedimiento legislativo en curso merece un seguimiento real, ni pánico ni indiferencia. Una vez que haya una propuesta oficial de la Comisión sobre la mesa, las negociaciones del trílogo y la implementación nacional determinarán el alcance real de la reforma. Las empresas que estén bien documentadas hoy tendrán una posición más fuerte si los umbrales para PYMES siguen siendo negociables en esa fase.
Cómo afecta esto a su hoja de ruta de cumplimiento
Si su empresa debe cumplir las obligaciones de desplegador GPAI de la Ley de IA antes del 2 de agosto de 2026 — y según nuestra interpretación, la mayoría de las empresas que usan ChatGPT, Claude o Gemini profesionalmente sí deben hacerlo — es improbable que el paquete de reforma actual modifique ese plazo. El derecho vigente se aplica hasta que cambie. Para un análisis detallado de lo que exige agosto de 2026, consulte nuestra guía en Freshlab.de.
El enfoque más práctico para la mayoría de las PYMES: construir la infraestructura ahora de forma que funcione correctamente tanto con una normativa de protección de datos estricta como con una simplificada, y hacer un seguimiento informado del proceso de reforma. No es una cobertura frente a todos los escenarios, sino frente a los más probables.
En Freshlab acompañamos a las PYMES en todo este proceso — desde la clasificación inicial de riesgos hasta la selección del hardware, pasando por la puesta en marcha de un piloto de IA local productivo.