La regulación de la inteligencia artificial vuelve a colocar a la Unión Europea ante una decisión incómoda. Mientras Bruselas estudia cómo flexibilizar el Reglamento General de Protección de Datos (RGPD) para facilitar el desarrollo de sistemas de IA, la aplicación efectiva de la Ley de IA para los sistemas de alto riesgo se retrasa hasta diciembre de 2027. Dos movimientos distintos, pero conectados, que amplían el margen de maniobra tecnológica a corto plazo y reabren un debate de fondo: ¿hasta dónde está dispuesta Europa a tensar sus propias reglas para competir con Estados Unidos y China?
Desde su entrada en vigor en 2018, el RGPD se ha convertido en uno de los principales sellos del modelo digital europeo. Ha marcado límites claros sobre cómo se recogen, usan y reutilizan los datos personales. El problema es que esos mismos principios chocan con la lógica de la inteligencia artificial generativa, que necesita grandes volúmenes de datos históricos para entrenar modelos cada vez más complejos. Un ejemplo sencillo: un sistema de lenguaje no aprende con cientos de textos, sino con millones de documentos.
Según ha adelantado Politico, la Comisión Europea valora ahora reclasificar el desarrollo de la IA como actividad de interés público o investigación científica. Ese cambio permitiría reutilizar datos anonimizados sin necesidad de volver a pedir consentimiento explícito a los ciudadanos. En la práctica, abriría la puerta a entrenar modelos comerciales con datos que hoy están protegidos por el RGPD, siempre que se consideren suficientemente anonimizados.
Un giro conceptual que inquieta a los expertos
Esta posible reinterpretación ha encendido las alarmas entre especialistas en privacidad y derechos digitales. Para Sergio García Estradera, gerente de i3e, el planteamiento supone “un cambio ideológico profundo”, porque amplía el concepto de investigación científica hasta incluir desarrollos con fines comerciales. No se trata solo de un ajuste técnico, sino de una redefinición de prioridades.
El riesgo, según estos expertos, es que la privacidad pase de ser un pilar estructural a convertirse en una variable negociable. García insiste en que “la privacidad no debería ser una moneda de cambio”, sino una ventaja competitiva si se integra desde el diseño en los sistemas de IA. Europa, recuerda, no puede aspirar a competir en volumen de datos con otros bloques, pero sí en confianza y garantías.
La Ley de IA, en pausa cuando más se esperaba
A este debate se suma el aplazamiento de la Ley de IA, aprobada formalmente en 2024 tras años de negociación. La norma estaba llamada a establecer reglas claras para los llamados sistemas de alto riesgo, entre ellos:
- Identificación biométrica y reconocimiento facial
- Sistemas de scoring crediticio
- Herramientas de selección de personal
- Gestión automatizada del tráfico y servicios públicos
El retraso hasta 2027 se justifica oficialmente por la necesidad de definir estándares técnicos comunes y reducir cargas administrativas para las empresas. Sin embargo, en la práctica implica que estos sistemas seguirán operando durante años sin un marco homogéneo de supervisión, dependiendo de regulaciones nacionales y de interpretaciones dispares.
Para el sector de la ciberseguridad, este vacío no es menor. Tecnologías que manejan datos sensibles continúan desplegándose sin auditorías obligatorias ni criterios unificados de control. En un contexto donde los ciberataques crecen y la IA se utiliza tanto para defender como para atacar, la ausencia de reglas claras añade una capa extra de riesgo.
Menos regulación no siempre significa menos riesgo
Uno de los argumentos recurrentes para retrasar la ley es evitar frenar la innovación. Pero varios expertos advierten de que simplificar no debería equivaler a desproteger. García señala que, aunque la regulación se aplace, las empresas deberían avanzar en medidas preventivas como:
- Auditorías internas de modelos
- Sistemas de monitorización continua
- Evaluaciones de impacto en privacidad y seguridad
- Protocolos claros de respuesta ante incidentes
El problema es que, sin un marco común, estas prácticas quedan al criterio de cada compañía. Y la experiencia demuestra que no todas aplican el mismo nivel de diligencia cuando no existe obligación legal.
El dilema estratégico europeo
La Comisión Europea prevé presentar en los próximos meses una propuesta formal sobre posibles ajustes del RGPD, mientras la Ley de IA permanece en pausa. El mensaje de fondo es claro: Europa busca ganar tiempo y margen para su industria tecnológica. La cuestión es a qué precio.
El continente se enfrenta a un dilema que va más allá de la inteligencia artificial. Se trata de decidir si su modelo digital seguirá basado en derechos fuertes y reglas claras, o si aceptará una flexibilidad mayor para no perder relevancia global. No es una elección neutra. Afecta a la confianza de los ciudadanos, a la seguridad jurídica de las empresas y al tipo de innovación que se quiere promover.
Europa no puede competir en velocidad pura con Silicon Valley ni en control estatal de datos como China. Su ventaja histórica ha sido otra: previsibilidad, protección y confianza. La forma en que resuelva este debate marcará su papel en la próxima fase de la economía digital. Y, esta vez, no basta con ganar tiempo. Hay que decidir qué se está dispuesto a perder.
