El laberinto del compliance digital: IA, ciberseguridad y el reto normativo para las empresas

Santiago Carretero Sánchez

Profesor Titular de Filosofía del Derecho, Abogado 

El entorno normativo europeo en materia digital ha evolucionado rápidamente en los últimos años. Desde la aprobación del Reglamento General de Protección de Datos (RGPD) en 2018, la UE ha continuado expandiendo su regulación con nuevas normativas como la Ley de Servicios Digitales (DSA), la Ley de Mercados Digitales (DMA), el Reglamento de Inteligencia Artificial (RIA) y la Directiva NIS2. Estas regulaciones buscan garantizar la seguridad jurídica, la protección de datos y la ciberseguridad, pero también imponen un alto coste de cumplimiento para empresas y asesores jurídicos.

Según Joaquín Muñoz, socio de Bird & Bird España, “las grandes corporaciones están obligadas a cumplir con todas estas normas, lo que representa una carga regulatoria significativa. Aunque el objetivo es proteger derechos y reducir riesgos, la implementación es un desafío para muchas empresas, especialmente las de tamaño medio, que deben destinar recursos adicionales para adaptarse a estos cambios” esto lo leemos en ECONOMIST & JURIST de hoy 25 de febrero de 2025.

Uno de los aspectos más complejos es la ciberseguridad empresarial, que ha cobrado aún más importancia con la entrada en vigor de la Directiva NIS2. A diferencia de la NIS1 de 2016, que solo afectaba a operadores esenciales, la NIS2 amplía su alcance a más sectores e impone multas de hasta 10 millones de euros en caso de incumplimiento. Además, introduce requisitos estrictos como la notificación de incidentes en 24 horas, la responsabilidad directa de la alta dirección y una mayor cooperación entre los Estados miembros.

Otro reto clave es la regulación de la inteligencia artificial, especialmente en lo relativo a la responsabilidad por los daños que puedan causar los sistemas de IA. Con la reciente aprobación del Reglamento de Inteligencia Artificial (RIA) en 2024, las empresas deben garantizar que sus modelos cumplan con exigencias de transparencia, seguridad y homologación. Además, la Comisión Europea está explorando la responsabilidad legal en casos de IA defectuosa, lo que puede abrir una nueva ola de litigios en el futuro.

Frente a este escenario regulatorio, la gestión del compliance digital se ha convertido en una prioridad estratégica. Las empresas deben adoptar una visión integral y proactiva, diseñando planes de cumplimiento que les permitan adaptarse a las nuevas exigencias sin comprometer su competitividad. Como señala Muñoz, “más allá de evitar sanciones, el cumplimiento normativo debe ser visto como una inversión en seguridad, reputación y resiliencia en el ecosistema digital actual”. Recordemos que todo esto tiene un proceso  que nació de la Directiva N1S1.

Directiva NIS1: El primer marco de ciberseguridad en la UE

La Directiva NIS1 (Network and Information Security Directive) fue aprobada el 6 de julio de 2016 y transpuesta a la legislación de los Estados miembros en mayo de 2018. Fue la primera normativa europea en establecer un marco legal para la ciberseguridad, con el objetivo de mejorar la resiliencia de las infraestructuras críticas y la cooperación entre países de la UE.

Puntos clave de la NIS1:

  1. Primer marco de ciberseguridad a nivel europeo, aplicable a operadores de servicios esenciales (energía, transporte, salud, agua, banca) y proveedores de servicios digitales.
  2. Obligación de medidas de seguridad adecuadas y de notificar incidentes relevantes a las autoridades nacionales.
  3. Creación de CSIRTs (Equipos de Respuesta a Incidentes de Seguridad Informática) para coordinar la gestión de amenazas.
  4. Cooperación entre Estados miembros mediante un Grupo de Cooperación y la Red de CSIRTs.
  5. Dificultades en su aplicación, ya que algunos sectores quedaron fuera de su ámbito y la fragmentación en la implementación nacional generó desigualdades.

La NIS1 sentó las bases, pero su alcance fue insuficiente ante la creciente sofisticación de los ciberataques. Por ello, la UE aprobó la Directiva NIS2 en 2022, con un marco más exigente y sanciones más severas.


Comentarios

Publicar un comentario

Entradas populares de este blog

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS)

  🧷 ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS) Por Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado       1. Encabezamiento Órgano judicial : Ilmo./a. Sr./Sra. Letrado/a de la Administración de Justicia del Juzgado de [Primera Instancia] nº ___ de [localidad]. Parte compareciente : D./D.ª [Nombre del letrado/a del solicitante], en nombre y representación de [cliente], conforme a poder/apoderamiento (notarial o apud acta) que se acompaña/se encuentra ya incorporado. Procedimiento : Indicar si es escrito autónomo previo a demanda o subsanación de requerimiento judicial (art. 438.1 LEC). 2. Exposición de antecedentes y hechos relevantes Breve reseña del conflicto : Detallar la controversia con hechos jurídicamente relevantes. Indicación de la voluntad de acudir a MASC : Expresar que, antes de iniciar/reanudar el procedimiento jud...
Leer más

Resumen de la Ley Orgánica 1/2025: mi nuevo resumen para comprender lo que va a pasar ( si es posible)

  Autor: Santiago Carretero Sánchez, Profesor Titular de la URJC El 3 de abril de 2025 entró en vigor la Ley Orgánica 1/2025, que establece la obligatoriedad de intentar un Mecanismo Alternativo de Solución de Conflictos (MASC) antes de interponer una demanda en el ámbito civil o mercantil. El Consejo General de la Abogacía Española (CGAE) ha publicado una guía para facilitar la comprensión y aplicación de esta nueva exigencia legal. ¿Qué son los MASC? La Ley Orgánica 1/2025 define los MASC de forma abierta como cualquier actividad negociadora para resolver un conflicto. Entre los MASC reconocidos se incluyen: - Mediación - Conciliación (pública o privada) - Negociación directa entre las partes - Oferta vinculante confidencial - Opinión de persona experta independiente - Derecho Colaborativo o Abogacía Colaborativa Ámbitos de aplicación y exclusiones La obligación de intentar una solución extrajudicial se aplica a todos los procesos declarativos y especiales regula...
Leer más