La nueva arquitectura digital de la UE y el silencioso golpe de estado sobre los datos
Por Oscar Méndez Oceguera
Imagen ilustrativa: Foro3D.com
En Bruselas, la capital de la burocracia continental, hace tiempo que dejaron de limitarse a legislar sobre aranceles, fronteras o cuotas lecheras. En los pasillos de la Comisión Europea se ha asumido una tarea mucho más ambiciosa y definitiva: redactar la gramática del mundo digital.
El pasado 19 de noviembre de 2025, la Comisión presentó un paquete legislativo que, envuelto en la neolengua de la eficiencia, suena casi inofensivo, incluso pedagógico: «normas más simples», «alivio de cargas para la empresa», «billeteras digitales para ahorrar tiempo». Sin embargo, detrás de ese tono cordial y administrativo se oculta una operación de calado tectónico.
Bajo el paraguas de un Digital Omnibus —que reabre las entrañas del RGPD, las cookies y la Data Act—, y mediante el repliegue táctico de las obligaciones del AI Act, Europa está ejecutando un viraje histórico. Prometen ahorros de 5.000 millones de euros en burocracia para 2029 y un impacto de 150.000 millones si se adopta la nueva identidad digital corporativa. Todo se vende bajo una fórmula de marketing impecable: «un libro de reglas digital ágil para Europa».
Pero no nos equivoquemos: lo decisivo no es la agilidad, sino qué es exactamente lo que se está agilizando. Si antaño el derecho europeo se erigía como un freno humanista frente a la voracidad extractiva del dato, hoy se rediseña como una ingeniería fina para canalizarlo. Europa transita, silenciosamente, de un modelo construido para poner límites a la absorción de la persona por el algoritmo, a una arquitectura que reordena el dato como el instrumento de poder hegemónico del bloque. El desplazamiento no es técnico; es ontológico y profundamente político.
I. LA ESCENA: BRUSELAS COMO LABORATORIO DEL «HOMO DIGITALIS»
Imaginemos por un momento la puesta en escena en la sede de la Comisión: pantallas proyectando curvas ascendentes de eficiencia, mapas de calor digital y funcionarios sonrientes explicando cómo las PYMES se librarán, por fin, del papeleo asfixiante. En la superficie, el relato es sedante: menos formularios duplicados, el fin de los tediosos banners de cookies y autopistas libres para la expansión empresarial transfronteriza. Todo parece diseñado para que el ciudadano digital respire.
Sin embargo, el verdadero acontecimiento ocurre en el sustrato. El poder político europeo ha decidido reorganizar las condiciones de posibilidad de la vida digital. Ya no se trata de arbitrar lo permitido y lo prohibido, sino de redefinir la realidad misma: qué constituye un dato legítimamente explotable, quién decide el umbral de riesgo aceptable en la Inteligencia Artificial y quién ostenta el derecho a correlacionar y rentabilizar nuestra biografía. Cuando un bloque político se arroga la capacidad de redibujar al sujeto que habitará ese orden, deja de legislar para empezar a diseñar civilización.
II. EL DIGITAL OMNIBUS: CUANDO EL RGPD APRENDIÓ A EMPUJAR
El llamado Digital Omnibus no nace para instaurar un nuevo código, sino para abrir el viejo cuerpo jurídico y operar desde dentro. Y en esta cirugía a corazón abierto, el Reglamento General de Protección de Datos (RGPD) es el paciente principal.
- Del interés legítimo a la barra libre para la IA
El espíritu original del RGPD era noble: el dato personal no es una mercancía inerte; su tratamiento exige causas justificadas, con el consentimiento como pilar fundamental. El «interés legítimo» era apenas una válvula de escape, una excepción estrecha para casos donde el responsable tuviera una necesidad real que no aplastara los derechos del sujeto.
El Omnibus invierte la carga de la prueba. Su objetivo tácito es convertir el tratamiento de datos para la IA en un interés estructural del sistema. La lógica, aunque no se exprese con crudeza, es implacable: el entrenamiento de la IA exige volúmenes masivos de información; el consentimiento individual es un obstáculo ineficiente; ergo, el «interés legítimo» debe ensancharse hasta que la IA no encuentre cadenas.
La operación es de una sutileza maquiavélica. No se renuncia al lenguaje de los derechos, simplemente se recolocan. Se nos dice que la IA puede basarse en el interés legítimo «siempre que haya salvaguardas». Pero el orden de prioridades ha mutado. Antes, se protegía a la persona y, sobre ese límite, se innovaba. Ahora, se garantiza el desarrollo de la IA y, dentro de ese imperativo, se busca mantener una protección razonable. El dato deja de ser materia prima protegida para convertirse en combustible que el sistema asume disponible por defecto. - Las cookies y la obediencia invisible
El debate sobre los banners de cookies es el ejemplo más plástico de cómo un principio garantista puede degenerar en farsa. El usuario, vencido por la fatiga, ha aprendido a pulsar «aceptar todo» como un acto reflejo, no como una decisión libre.
La solución que propone Bruselas —centralizar el consentimiento en una señal del navegador— corrige esta hipocresía, pero introduce un veneno más sutil: la invisibilidad. Al ampliar las excepciones donde no se requiere permiso y sepultar la decisión en la configuración de fondo, se disuelve el acto consciente del usuario. El consentimiento se vuelve configuración de software, no voluntad humana. Se limpia la superficie de la navegación, sí, pero se oscurece el fondo del intercambio. Donde antes había una fricción molesta que nos recordaba que estábamos siendo observados, ahora habrá un silencio eficiente. - Ciberseguridad: El Panóptico Central
En materia de ciberseguridad, la reforma introduce el single reporting point. Las empresas notificarán sus incidentes una sola vez a una plataforma central. Desde la gestión, es una bendición. Pero desde la óptica del poder, se crea un nodo privilegiado de omnisciencia.
Quien posee el mapa total de la vulnerabilidad —quién es atacado, dónde están las grietas, qué sectores flaquean— ostenta una ventaja estratégica incomparable. El Estado ve todo el tablero; la empresa solo ve su propia casilla. El individuo queda así expuesto ante un poder que lo sabe todo sobre su fragilidad, mientras él ignora qué decisiones políticas se tomarán con esa inteligencia acumulada.
II. EL DIGITAL OMNIBUS: CUANDO EL RGPD APRENDIÓ A EMPUJAR
El llamado Digital Omnibus no nace para instaurar un nuevo código, sino para abrir el viejo cuerpo jurídico y operar desde dentro. Y en esta cirugía a corazón abierto, el Reglamento General de Protección de Datos (RGPD) es el paciente principal.
- Del interés legítimo a la barra libre para la IA
El espíritu original del RGPD era noble: el dato personal no es una mercancía inerte; su tratamiento exige causas justificadas, con el consentimiento como pilar fundamental. El «interés legítimo» era apenas una válvula de escape, una excepción estrecha para casos donde el responsable tuviera una necesidad real que no aplastara los derechos del sujeto.
El Omnibus invierte la carga de la prueba. Su objetivo tácito es convertir el tratamiento de datos para la IA en un interés estructural del sistema. La lógica, aunque no se exprese con crudeza, es implacable: el entrenamiento de la IA exige volúmenes masivos de información; el consentimiento individual es un obstáculo ineficiente; ergo, el «interés legítimo» debe ensancharse hasta que la IA no encuentre cadenas.
La operación es de una sutileza maquiavélica. No se renuncia al lenguaje de los derechos, simplemente se recolocan. Se nos dice que la IA puede basarse en el interés legítimo «siempre que haya salvaguardas». Pero el orden de prioridades ha mutado. Antes, se protegía a la persona y, sobre ese límite, se innovaba. Ahora, se garantiza el desarrollo de la IA y, dentro de ese imperativo, se busca mantener una protección razonable. El dato deja de ser materia prima protegida para convertirse en combustible que el sistema asume disponible por defecto. - Las cookies y la obediencia invisible
El debate sobre los banners de cookies es el ejemplo más plástico de cómo un principio garantista puede degenerar en farsa. El usuario, vencido por la fatiga, ha aprendido a pulsar «aceptar todo» como un acto reflejo, no como una decisión libre.
La solución que propone Bruselas —centralizar el consentimiento en una señal del navegador— corrige esta hipocresía, pero introduce un veneno más sutil: la invisibilidad. Al ampliar las excepciones donde no se requiere permiso y sepultar la decisión en la configuración de fondo, se disuelve el acto consciente del usuario. El consentimiento se vuelve configuración de software, no voluntad humana. Se limpia la superficie de la navegación, sí, pero se oscurece el fondo del intercambio. Donde antes había una fricción molesta que nos recordaba que estábamos siendo observados, ahora habrá un silencio eficiente. - Ciberseguridad: El Panóptico Central
En materia de ciberseguridad, la reforma introduce el single reporting point. Las empresas notificarán sus incidentes una sola vez a una plataforma central. Desde la gestión, es una bendición. Pero desde la óptica del poder, se crea un nodo privilegiado de omnisciencia.
Quien posee el mapa total de la vulnerabilidad —quién es atacado, dónde están las grietas, qué sectores flaquean— ostenta una ventaja estratégica incomparable. El Estado ve todo el tablero; la empresa solo ve su propia casilla. El individuo queda así expuesto ante un poder que lo sabe todo sobre su fragilidad, mientras él ignora qué decisiones políticas se tomarán con esa inteligencia acumulada.
III. AI ACT: EL TIEMPO AL SERVICIO DE LA MÁQUINA
El AI Act fue vendido al mundo como el faro de la prudencia europea. Hoy, la Unión admite tácitamente su derrota ante el calendario: retrasa hasta 2027 las normas más estrictas y promete exenciones y «sandboxes» regulatorios.
El motivo oficial es la falta de estándares técnicos. La verdad latente es el miedo a la irrelevancia. Europa observa cómo Estados Unidos y China aceleran sin frenos éticos y comprende que, si se ata demasiado pronto, no regulará la IA, sino su propio declive. Así, la ley adopta una nueva máxima: aprender a respetar el tiempo de la máquina. El tiempo político y prudencial, necesario para ponderar las consecuencias humanas, se subordina al ritmo frenético de la innovación, aceptada ahora como una fatalidad histórica ante la cual solo cabe negociar la velocidad, nunca el rumbo.
IV. LA UNIÓN DE DATOS: EL BLOQUE COMO TITULAR REAL
La estrategia Unlocking Data for AI no se anda con rodeos. Habla de «liberar datos» y «reforzar la posición global de la UE». Aquí emerge un nuevo sujeto de derecho: ya no es la persona ni la empresa, sino «El Bloque». La Unión como entidad que necesita datos para sobrevivir.
Bajo esta lógica geométrica, si la IA es supervivencia y la IA come datos, el flujo de información se convierte en una cuestión de seguridad nacional (o continental). La protección de la persona deja de ser un fin en sí mismo para ser una condición que no debe estorbar la competitividad del conjunto. El individuo es un «sujeto protegido» solo hasta donde no ponga en peligro la maquinaria económica.
V. LA BILLETERA EMPRESARIAL: DE LA FICCIÓN JURÍDICA A LA TRANSPARENCIA TOTAL
La European Business Wallet (EBW) promete unificar la identidad de las empresas: registro mercantil, fiscalidad, poderes notariales, todo en un clic. Eficiencia pura. Pero esta concentración transforma a la empresa de un objeto de verificaciones fragmentarias a un sujeto permanentemente «legible» para el sistema.
Un regulador o un banco ya no verán fragmentos; podrán reconstruir la biografía completa de una entidad al instante: cumplimiento fiscal, huella de carbono, historial de litigios. La empresa vivirá sabiendo que ese «todo» existe y es escrutable. Quien define qué entra en esa wallet decide qué rasgos de la existencia empresarial importan y cuáles son irrelevantes. Es el poder de definir la ontología del mercado.
VI. EL DATA ACT: JUSTICIA DENTRO DE LA JAULA
El Data Act intenta poner orden en el feudalismo digital: facilita el cambio de proveedor de nube y elimina tarifas abusivas. Es un avance contra los monopolios, pero guarda un silencio cómplice sobre el sistema mismo.
La norma corrige injusticias dentro del paradigma, pero no cuestiona el paradigma. Es como debatir apasionadamente sobre la equidad de los precios de las cámaras de vigilancia en una sociedad panóptica, sin atreverse a preguntar si es legítimo que todo, absolutamente todo, deba ser grabado. Se legisla sobre la calidad de las cadenas, no sobre la libertad.
VII. MÉXICO ANTE EL ESPEJO: ENTRE LA OPORTUNIDAD Y EL DESPOJO
Para el lector mexicano, esto podría sonar a ciencia ficción burocrática. Grave error. Lo que Europa define para sí, acaba imponiéndolo al mundo como estándar de facto, mediante el «Efecto Bruselas».
Un proveedor de autopartes en el Bajío o una fintech en Ciudad de México pronto verán cómo sus contratos con socios europeos incorporan estas cláusulas. Se exigirá trazabilidad, formatos de datos homologados y estándares de ciberseguridad que no fueron diseñados para nuestra realidad. La empresa mexicana jugará en campo ajeno, interpretada por reglas que no comprende del todo.
Más grave aún es la pérdida de los «tiempos muertos». La vida jurídica mexicana, con sus defectos, a menudo respira en los intersticios de la burocracia, permitiendo negociar o corregir. La importación de una rigidez digitalizada y automática puede dejar a empresas y comunidades sin capacidad de reacción ante decisiones algorítmicas inapelables. Además, la «soberanía informacional» se perfila como la nueva frontera: la UE podrá cerrar el grifo digital a países cuyas leyes no considere «adecuadas», convirtiendo el flujo de datos en un arma de presión geopolítica silenciosa pero estranguladora.
VIII. EL NUDO FINAL: ¿QUIÉN ES EL HOMBRE EN ESTA NUEVA CONSTITUCIÓN?
La cuestión de fondo no es europea ni mexicana; es antropológica. Cuando se decide que la ley debe obedecer a la innovación, que la empresa debe ser transparente y el ciudadano un proveedor de datos sin fricción, se está decidiendo quién es el ser humano.
En este nuevo modelo, el hombre aparece como un individuo funcional, un nodo portador de datos, tolerado por el sistema mientras sea útil. Es la inversión definitiva del orden jurídico: el sistema deja de servir a la perfección de la persona, y la persona pasa a servir a la perfección del sistema.
Lo que ocurre en Bruselas es el borrador de una constitución digital global donde la competitividad es el nuevo absoluto. Desde México, y desde cualquier rincón donde aún palpite el pensamiento crítico, la tarea no es imitar, sino discernir. Debemos adoptar lo que sirve a la justicia y rechazar lo que sacrifica a la persona. Porque ninguna arquitectura digital, por seductora y eficiente que parezca, puede ser legítima si exige que el hombre renuncie a su condición de sujeto para convertirse en un simple conjunto de datos bien gobernados.
Europa parece haber olvidado esta lección. Que su amnesia no sea nuestra condena.
Periodismo Sin Compromisos 