Entre marzo y abril se han concentrado varias actuaciones relevantes en materias de ciberseguridad e IA en Europa vinculadas con diferentes normativas, la seguridad infantil en línea, la desinformación o el terrorismo. Apoyados en el último boletín «Unión Europea» del Centro de Análisis y Prospectiva de la Guardia Civil y en fuentes oficiales europeas, las desarrollamos a continuación.
Ciberseguridad europea, pero evitando “tratamientos innecesarios” y con ENISA más presente
El Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos adoptaron el 18 de marzo de 2026 una opinión conjunta sobre la propuesta de Cybersecurity Act 2 y las modificaciones de la Directiva NIS2. Ambos organismos respaldan el refuerzo del marco europeo de ciberseguridad, pero piden que las nuevas medidas no generen tratamientos innecesarios o desproporcionados de datos personales.
El principal punto de atención es ENISA, la Agencia de la Unión Europea para la Ciberseguridad. La reforma amplía su papel como centro de cooperación e información en ciberseguridad.
Por ello, el Comité y el Supervisor señalan que, si sus futuras funciones implican un tratamiento sustancial de datos personales, ese tratamiento debe quedar previsto expresamente en el acto jurídico aplicable, con sus elementos esenciales y garantías adecuadas. También piden aclarar si la finalidad es que ENISA trate principalmente información agregada y no personal.
El documento también reclama una coordinación más clara entre ENISA y las autoridades de protección de datos. Esta coordinación resulta especialmente relevante en los esquemas europeos de certificación de ciberseguridad, que no deben confundirse con la certificación prevista por el RGPD.
La opinión dedica además atención a medidas como la monitorización, los registros, la inspección profunda de paquetes o el análisis del comportamiento de usuarios que puedan implicar tratamientos intensivos de datos, pidiendo que se evalúen conforme a los principios de necesidad, proporcionalidad, minimización y protección de datos desde el diseño.
En materia de notificación de incidentes, el Comité y el Supervisor apoyan la creación de un punto único de entrada para la notificación de brechas de datos personales y la recogida de información sobre ataques de ransomware. Por último, el texto valora que los proveedores de Carteras Europeas de Identidad Digital y Carteras Europeas de Empresa sean incluidos como entidades esenciales en el marco de NIS2.
Posible retraso del Reglamento de IA y desnudificación artificial en la mira
El 18 de marzo de 2026, las comisiones de Mercado Interior y Libertades Civiles aprobaron su posición conjunta sobre la propuesta de simplificación del Reglamento de IA, incluida en el denominado Ómnibus Digital sobre IA, con 101 votos a favor, 9 en contra y 8 abstenciones. El 26 de marzo de 2026, el Parlamento Europeo aprobó en pleno su posición sobre esta propuesta.
El punto central de la posición parlamentaria es el aplazamiento de determinadas obligaciones para los sistemas de IA de alto riesgo. El motivo no es eliminar esas exigencias, sino evitar que entren en vigor antes de que estén disponibles los estándares técnicos y las orientaciones necesarias para aplicarlas de forma homogénea.
El retraso afectaría especialmente a los sistemas de alto riesgo incluidos en el anexo III del Reglamento. Esta categoría agrupa usos de IA en ámbitos donde una decisión automatizada puede afectar de forma directa a derechos, oportunidades o servicios esenciales. Entre ellos figuran la biometría, las infraestructuras críticas, la educación, el empleo, el acceso a servicios esenciales, la aplicación de la ley, la justicia y el control fronterizo. Para estos casos, los eurodiputados proponen trasladar la aplicación de las obligaciones al 2 de diciembre de 2027.
El calendario sería distinto para los sistemas de alto riesgo cubiertos por legislación sectorial europea. En este grupo entran sistemas integrados en productos o sectores que ya cuentan con normas específicas de seguridad, evaluación de conformidad o vigilancia de mercado. Para ellos, la fecha pasaría al 2 de agosto de 2028, precisamente porque su aplicación exige coordinar el Reglamento de IA con otros marcos técnicos ya existentes en la Unión Europea.
La propuesta introduce, además, una prohibición expresa de los sistemas de IA destinados a crear o manipular imágenes sexualmente explícitas o íntimas de personas identificables sin consentimiento. La medida se dirige contra las herramientas conocidas como nudifier o aplicaciones de desnudificación artificial, utilizadas para generar falsos desnudos o imágenes sexuales no consentidas a partir de fotografías reales.
El Parlamento también propone dar a los proveedores hasta el 2 de noviembre de 2026 para cumplir con las obligaciones de marcado o etiquetado de contenidos sintéticos generados por IA, como audio, imagen, vídeo o texto, con el fin de indicar su origen artificial.
Nuevo Marco de Respuesta a Crisis en Línea de la UE
La décima reunión ministerial del Foro de Internet de la UE, celebrada en Bruselas el 4 de marzo de 2026 y dirigida por el comisario europeo de Interior y Migración, Magnus Brunner, se centró en la respuesta rápida ante crisis, la protección de víctimas y los riesgos para menores en entornos digitales.
Uno de los principales resultados de la reunión fue el respaldo al nuevo Marco de Respuesta a Crisis en Línea de la UE. Se trata de una evolución del anterior protocolo europeo de crisis, desarrollado tras la retransmisión en directo del atentado de Christchurch en 2019. El objetivo es evitar que contenidos ilegales vinculados a atentados o actos de extremismo violento se difundan de forma masiva y amplifiquen el daño sobre víctimas, comunidades afectadas y opinión pública.
El nuevo marco funciona como un mecanismo voluntario de respuesta rápida y transfronteriza ante la dimensión online de un presunto atentado terrorista o acto de extremismo violento. Su finalidad es facilitar el intercambio temprano de información entre autoridades y plataformas, limitar la viralización de imágenes, vídeos o propaganda ilegal, y proteger a las víctimas sin dejar de salvaguardar la libertad de expresión y los derechos fundamentales.
El foro también abordó el llamado extremismo nihilista, una amenaza vinculada a comunidades digitales en la que los menores pueden aparecer tanto como víctimas como perpetradores. La reunión trató además el antisemitismo y el odio antimusulmán en contextos de terrorismo, extremismo violento y radicalización online.
La protección de menores entra en una fase más regulatoria y las grandes plataformas bajo examen
Uno de los últimos movimientos en materia de protección infantil digital ha sido la puesta en marcha del grupo especial sobre seguridad infantil en línea, convocado por la presidenta de la Comisión Europea, Ursula von der Leyen.
Este grupo ha celebrado hasta ahora dos reuniones: la primera, el 5 de marzo de 2026, centrada en los riesgos y beneficios del entorno digital para los menores; y la segunda, el 16 de abril de 2026, orientada a revisar normas europeas, iniciativas en marcha y enfoques internacionales sobre protección infantil online.
En la primera reunión se abordó el uso de redes sociales, videojuegos, aplicaciones de mensajería e inteligencia artificial por parte de menores. Entre los asuntos tratados figuraron el diseño seguro adaptado a la edad, los algoritmos que pueden favorecer comportamientos adictivos, la alfabetización digital y la incorporación de evidencia científica, experiencia familiar y participación juvenil en el diseño de las políticas públicas.
En su segunda reunión, se revisaron las normas e iniciativas europeas existentes para proteger a menores online y se analizaron enfoques internacionales, como la edad mínima para redes sociales en Australia. La reunión se produjo después de la presentación de la aplicación europea de verificación de edad, una herramienta que la Comisión considera preparada para su despliegue, aunque varios investigadores han señalado vulnerabilidades en sus versiones iniciales.
En paralelo, la Comisión trabaja en una solución europea de verificación de edad con preservación de la privacidad, basada en la futura Cartera Europea de Identidad Digital. Esta herramienta busca ofrecer un sistema interoperable que permita acreditar la edad sin revelar más datos personales de los necesarios.
Esta línea de actuación también se refleja en la aplicación de la Ley de Servicios Digitales. El 26 de marzo de 2026, la Comisión Europea concluyó de forma preliminar que Pornhub, Stripchat, XNXX y XVideos habrían incumplido sus obligaciones bajo la DSA al no adoptar medidas suficientes para proteger a los menores frente a la exposición a contenido pornográfico.
La investigación se enmarca en la obligación de estas plataformas de identificar, evaluar y mitigar riesgos sistémicos, entre ellos la exposición de menores a contenidos potencialmente dañinos. Si las conclusiones preliminares se confirman, podrían enfrentarse a multas de hasta el 6% de su facturación anual global.
Desinformación: primeros informes tras el reconocimiento del Código bajo la DSA
También dentro del marco de la Ley de Servicios Digitales, las entidades adheridas al Código de Conducta sobre Desinformación publicaron el 24 de marzo de 2026 sus primeros informes desde que este instrumento fue reconocido oficialmente como código de conducta conforme al artículo 45 de la DSA.
Entre estos signatarios figuran grandes plataformas digitales, verificadores de datos, organizaciones de investigación, entidades de la sociedad civil y representantes del sector publicitario. Los documentos cubren el periodo comprendido entre el 1 de julio y el 31 de diciembre de 2025 y están disponibles en el Centro de Transparencia del Código.
Según la Comisión Europea, su cumplimiento puede servir como referencia significativa para evaluar las medidas adoptadas por las plataformas de muy gran tamaño y los motores de búsqueda de muy gran tamaño frente a los riesgos de desinformación. Entre los participantes figuran proveedores de plataformas, verificadores de datos, organizaciones de investigación, entidades de la sociedad civil y representantes del sector publicitario.
A partir de este encaje normativo, los signatarios que sean plataformas de muy gran tamaño o motores de búsqueda de muy gran tamaño deberán informar cada seis meses sobre el cumplimiento de sus compromisos. Otros signatarios no considerados plataformas informan una vez al año.
El objetivo no es que la Comisión revise contenidos uno a uno, sino que pueda evaluar si las plataformas aplican medidas suficientes para reducir riesgos sistémicos vinculados a la manipulación informativa, la publicidad, la monetización, las cuentas falsas, el uso coordinado de servicios digitales y la transparencia de sus políticas contra la desinformación.
