Este fin de año 2024 será crucial para las empresas, las entidades públicas y los ciudadanos en Europa. Se han abierto las puertas a una llegada de nuevas regulaciones que cambiarán la forma en que se interactúa en Internet, cómo las plataformas y empresas gestionan los datos de las personas, y cómo se asegura la protección frente a amenazas cibernéticas, de la Inteligencia Artificial y a la privacidad.
Las empresas e instituciones deben prestar especial atención, ya que el incumplimiento puede acarrear responsabilidades personales, sanciones severas y el riesgo de pérdidas operativas significativas. Algunas de estas normas, además, han entrado en vigor sin necesidad de transposición.
Digital Services Act (DSA): Regulación de los Servicios en Línea
El Digital Services Act (DSA) es una pieza clave del nuevo marco normativo europeo que entró plenamente en vigor el 17 de febrero de 2024. Este reglamento afecta directamente a las plataformas y foros en línea, marketplaces y servicios de hosting que operan dentro de la UE, imponiendo estrictas reglas de responsabilidad para garantizar la seguridad de los usuarios y el control del contenido.
Objetivos Principales
El DSA busca hacer de Internet un espacio más seguro y transparente, con medidas que incluyen:
- Eliminación de contenido ilegal: Las plataformas deben implementar herramientas efectivas (buzones de denuncia de la Directiva 2019/1937) para que los usuarios denuncien contenido ilegal.
- Prohibición de publicidad basada en el perfil de menores: Se prohíben los anuncios personalizados dirigidos a menores.
- Mayor transparencia en la publicidad digital: Las plataformas deben informar a los usuarios por qué se les muestra un determinado anuncio y quién ha pagado por él.
Responsables del Cumplimiento
Las plataformas en línea, desde gigantes como Google y Amazon hasta pequeñas plataformas de comercio electrónico o empresas que venden por Internet, son responsables de cumplir con estas obligaciones. Todas ellas deberán revisar y ajustar sus términos y condiciones para garantizar que cumplen con las nuevas reglas. No se excepciona a los productos o servicios que intermedien o vendan las Administraciones Públicas.
Consecuencias del Incumplimiento
El incumplimiento del DSA puede acarrear multas que alcanzan hasta el 6% de los ingresos globales de las plataformas infractoras. Para las grandes empresas, esto significa una amenaza seria a sus operaciones en Europa, mientras que para las más pequeñas, podría suponer la desaparición completa de sus actividades comerciales.
Cyber Resilience Act (CRA): Garantizando la Ciberseguridad de los Productos Digitales
El Cyber Resilience Act (CRA) es una respuesta de la UE al aumento de ciberataques que afectan tanto a empresas como a consumidores. Esta normativa impone requisitos obligatorios de ciberseguridad para todos los productos con componentes digitales comercializados en la UE. Aunque se espera que las empresas tengan hasta finales de 2025 para adaptarse, con algunas excepciones hasta en 2027, ya ha sido adoptada por el Consejo en fecha 10 de Octubre de 2024.
Objetivos Principales
El CRA busca asegurar que todos los productos con elementos digitales, como dispositivos conectados y software, cumplan con estándares de seguridad. Las obligaciones incluyen:
- Ciberseguridad por diseño: Los productos deben ser diseñados con medidas de seguridad integradas desde su concepción.
- Notificación de vulnerabilidades: Las empresas tendrán un plazo máximo de 24 horas para notificar vulnerabilidades a las autoridades competentes.
- Evaluaciones de conformidad: Los productos deben pasar por auditorías para asegurar su cumplimiento con los estándares de ciberseguridad.
Responsables del Cumplimiento
Los fabricantes, importadores y distribuidores de productos digitales son los responsables de garantizar que estos productos cumplan con las normativas del CRA. Los dispositivos conectados, software, routers y sistemas operativos son solo algunos ejemplos de productos afectados.
Consecuencias del Incumplimiento
El incumplimiento del CRA puede acarrear multas significativas y la prohibición de venta de productos inseguros. Esto no solo afectaría las finanzas de las empresas, sino que también expondría a millones de usuarios a ataques cibernéticos y comprometería la confianza en los productos digitales.
Digital Markets Act (DMA): Limitando el Poder de los Gigantes Tecnológicos
El Digital Markets Act (DMA), que entró en vigor a todos los efectos el 6 de marzo de 2024, tiene como objetivo regular a las grandes plataformas digitales, también conocidas como "guardianes", para evitar que abusen de su posición dominante en el mercado.
Objetivos Principales
El DMA busca:
- Promover la competencia justa: Los "guardianes" digitales, como Google, Apple y Meta, no podrán auto-favorecer sus propios servicios sobre los de competidores.
- Fomentar la interoperabilidad: Las grandes plataformas deben permitir la interoperabilidad con otros servicios, lo que abre la puerta a una mayor competencia en el ecosistema digital.
Responsables del Cumplimiento
Las grandes plataformas digitales son responsables de cumplir con las exigencias del DMA. Se espera que ajusten sus modelos de negocio para garantizar que no se involucran en prácticas anticompetitivas.
Consecuencias del Incumplimiento
Las multas por incumplimiento del DMA pueden ascender hasta el 10% de los ingresos globales de las plataformas infractoras, una cifra que podría ascender a miles de millones de euros para los gigantes tecnológicos.
NIS2: Refuerzo de la Ciberseguridad en Sectores Críticos
La Directiva NIS2 entró plenamente en vigor el 18 de octubre de 2024, el día anterior a redactar este análisis. Esta normativa refuerza las medidas de ciberseguridad para sectores críticos, como el energético, salud, transporte, administraciones públicas y telecomunicaciones, así como para proveedores de servicios digitales.
Objetivos Principales
- Gestión de riesgos de ciberseguridad: Las empresas e instituciones deberán implementar sistemas más robustos para gestionar los riesgos de ciberseguridad.
- Notificación de incidentes: Las organizaciones están obligadas a notificar incidentes de seguridad cibernética tan pronto como ocurran, para minimizar el impacto.
- Resiliencia operativa: Las empresas e instituciones deben demostrar que son capaces de mantener sus operaciones frente a posibles ciberataques.
Responsables del Cumplimiento
Las empresas o instituciones que operan en sectores críticos, manejen datos personales y los proveedores de servicios digitales son los responsables de garantizar que sus sistemas están protegidos adecuadamente contra ciberataques.
Consecuencias del Incumplimiento
Las sanciones pueden incluir multas millonarias, pero lo más preocupante es el riesgo de que un ataque cibernético afecte a sectores críticos. Un ciberataque en sistema de saneamiento del agua de una población, por ejemplo, podría tener consecuencias desastrosas para la sociedad.
Data Act: Regulando el Acceso y el Uso de los Datos
El Data Act, que entró en vigor el 10 de enero de 2024, parcialmente, y será aplicable a todos los efectos en setiembre de 2025. Establece un marco legal para el acceso y uso compartido de datos en toda la Unión Europea. Esta ley tiene como objetivo fomentar el intercambio seguro de datos entre empresas y garantizar los derechos de los usuarios, jubilando parte del RGPD, y por tanto de la LOPDGDD y planteando la responsabilidad de figuras como las del DPD, más allá de la responsabilidad penal, que ya la tenían.
Objetivos Principales
- Facilitar el intercambio de datos: Las empresas podrán compartir datos de manera segura, fomentando la innovación y la competencia en el mercado digital.
- Garantizar los derechos de los usuarios: Los usuarios tendrán mayor control sobre quién accede a sus datos y cómo se utilizan.
Responsables del Cumplimiento
Las empresas y administraciones que manejan grandes volúmenes de datos y los proveedores de servicios digitales son responsables de cumplir con esta normativa. Esto incluye tanto el intercambio seguro de datos como la protección de los derechos de los usuarios y afectados.
Consecuencias del Incumplimiento
El incumplimiento del Data Act puede dar lugar a multas considerables, especialmente para aquellas empresas o instituciones que no aseguren la protección de los datos o nieguen a los usuarios el control de su información. No se exime de las sanciones a las Administraciones Públicas ni a sus gestores.
AI Act: La Regulación de la Inteligencia Artificial
El AI Act es la primera normativa a nivel mundial que regula el uso de la inteligencia artificial (IA) y su impacto en la sociedad. Aprobada a finales de 2023, la normativa entró en vigor plenamente el 1 de agosto de 2024 y afecta a todos los sistemas de IA que se utilicen en la Unión Europea. Que se utilicen no es sinónimo que se creen. Afecta a todos las IA mejoradas mediante R.A.G. o fine tuning que pueden utilizar empresas y administraciones.
Objetivos Principales
El AI Act clasifica los sistemas de IA según su nivel de riesgo:
- Prohibición de IA de alto riesgo: Se prohíbe el uso de IA en aplicaciones que violen derechos fundamentales, como la vigilancia masiva o la manipulación psicológica.
- Regulación estricta de la IA en sectores críticos: La IA utilizada en sanidad, transporte y justicia estará sujeta a auditorías y evaluaciones de impacto.
Responsables del Cumplimiento
Las empresas que desarrollan y utilizan sistemas de inteligencia artificial deberán garantizar que sus productos cumplen con los estándares de seguridad y ética, y que sus aplicaciones no ponen en riesgo los derechos fundamentales de los ciudadanos. No se excepciona a ninguna Administración Pública.
Consecuencias del Incumplimiento
Las sanciones por incumplimiento del AI Act pueden ser extremadamente severas, con multas que ascienden al 6% de los ingresos globales de las empresas. Esto podría significar millones, e incluso miles de millones de euros, dependiendo de la empresa. Pero el impacto va más allá de lo financiero: el daño reputacional y la pérdida de confianza pública también pueden ser devastadores para las organizaciones que no logren cumplir con esta normativa. Por ejemplo, una empresa que utilice inteligencia artificial de alto riesgo sin las debidas garantías podría verse obligada a retirar sus productos del mercado, lo que supondría una pérdida de competitividad en un sector cada vez más dominado por la IA.
El AI Act también contempla sanciones específicas para empresas que manipulen o abusen de la IA en sectores como la sanidad o el transporte, lo que podría generar riesgos a la seguridad pública o a los derechos de los ciudadanos. La normativa busca asegurar que cualquier tecnología de IA utilizada en estos sectores sea auditada y evaluada de manera exhaustiva antes de su implementación.
GPSR: La Seguridad de los Productos Bajo la Lupa
El General Product Safety Regulation (GPSR), o Reglamento General de Seguridad de los Productos, es una normativa fundamental que regula la seguridad de los productos no alimentarios dentro de la Unión Europea. Su objetivo es garantizar que los productos que se venden en el mercado europeo sean seguros para los consumidores, y su aplicación será obligatoria a partir del 13 diciembre de 2024. Este reglamento también afecta a las plataformas de comercio electrónico, ya que establece obligaciones específicas para ellas en relación con los productos inseguros. Y entra en vigor sin necesidad de transposición.
Objetivos Principales
- Seguridad de los productos no alimentarios: Garantiza que todos los productos o servicios puestos en el mercado de la UE, tanto físicos como en línea, cumplan con los estándares de seguridad.
- Responsabilidad de las plataformas: Los marketplaces serán responsables de la retirada rápida de productos inseguros tras recibir notificaciones. Serán también responsables de tener canales (buzones de la Directiva 2019/1937) de tramitación de las denuncias y notificar a un servicio de la UE cualquier incidencia en 24 horas.
- Mejora de la trazabilidad: El GPSR obliga a que los productos o servicios puedan ser trazados en toda la cadena de suministro para facilitar la identificación y retirada de artículos peligrosos.
Responsables del Cumplimiento
- Fabricantes, importadores, distribuidores y plataformas de comercio electrónico. Todos ellos deberán asegurarse de que los productos que comercializan cumplan con los estándares de seguridad establecidos por el GPSR.
Consecuencias del Incumplimiento
El incumplimiento del GPSR tendrá severas consecuencias. Los Estados miembros deberán establecer un régimen de sanciones que sea proporcional al daño causado y suficientemente disuasorio para las empresas. Esto incluye multas económicas, responsabilidad penal de las empresas, prohibiciones de comercialización de productos inseguros y la retirada obligatoria de productos del mercado.
El Papel del GPSR en el Ecosistema Normativo de 2024
El GPSR se entrelaza con otras normativas como la NIS2 y el Cyber Resilience Act (CRA), particularmente en lo que respecta a la seguridad de los productos y servicios conectados y el comercio electrónico. En combinación, estas regulaciones exigen que las empresas no solo garanticen la seguridad de los productos físicos, sino también la protección digital de los mismos. Esto afecta directamente a las plataformas de comercio electrónico que, además de cumplir con los requisitos del GPSR, deben implementar medidas de ciberseguridad para evitar la venta de productos o servicios inseguros o vulnerables a ciberataques.
El Rol Crítico de los Delegados de Protección de Datos (DPO)
En un entorno de regulaciones cada vez más estrictas y un número creciente de amenazas cibernéticas, los Delegados de Protección de Datos (DPO) se posicionan en el centro del cumplimiento de estas normativas. Ya eran responsables penalmente, pero ahora los DPO son responsables de supervisar que las organizaciones, tanto públicas como privadas, cumplan con las leyes de protección de datos y ciberseguridad. Su papel es vital para evitar la responsabilidad penal de empresas e instituciones así como sanciones, ya que deben asegurar que las empresas implementen las medidas adecuadas para proteger los datos personales y los sistemas de información críticos. Si no lo hacen, se plantea su responsabilidad por la infracción de normas europeas, no las nacionales.
Responsabilidades de los DPO en el Contexto del AI Act y el Cyber Resilience Act
Con la entrada en vigor del AI Act y el Cyber Resilience Act, los DPO tendrán también la responsabilidad de garantizar que los sistemas de inteligencia artificial que se implementen cumplan con los estándares de seguridad y transparencia. De igual modo, deberán supervisar que los productos con componentes digitales no expongan a las organizaciones a vulnerabilidades de seguridad cibernética.
En caso de que un DPO no detecte fallos o vulnerabilidades en los sistemas de IA o en los productos digitales, la organización podría enfrentarse no solo a multas por violaciones de las normativas de la UE, sino también a una cadena de responsabilidades penales personales.
Implicaciones del Esquema Nacional de Seguridad (ENS)
En España, tanto las empresas privadas como las entidades públicas están sujetas al Esquema Nacional de Seguridad (ENS), que establece un marco de referencia para la gestión de la seguridad en las infraestructuras de información. El ENS es especialmente relevante en el contexto de estas nuevas normativas, ya que impone requisitos adicionales de seguridad que las organizaciones deben cumplir.
El incumplimiento del ENS puede generar consecuencias graves, que van desde sanciones económicas hasta la suspensión de servicios esenciales. Para las entidades públicas, esto podría significar la interrupción de servicios críticos, como la administración pública en línea o la atención sanitaria digital. Para las empresas privadas, el incumplimiento del ENS podría afectar su capacidad para operar de manera eficiente, exponiéndolas a ciberataques o interrupciones operativas. No cumplir con en ENS comporta no poder participar ni desarrollar contratos públicos, ni acceder a prestaciones y subvenciones públicas.