Panorama normativo Tech&Data: ¿qué normativas se aplicarán en 2025?

El 2025 será un año clave para la regulación de las tecnologías digitales en Europa, con la implementación de diversas normativas diseñadas para hacer frente a los rápidos avances tecnológicos, proteger los derechos de los ciudadanos y fomentar un entorno digital más seguro y ético. Estas regulaciones, que abarcan desde la protección de datos personales y datos no personales hasta la regulación de la inteligencia artificial (IA), afectarán tanto a las empresas como a los usuarios de la Unión Europea (UE). 

A continuación, destacamos 5 de las principales normativas del ámbito Tech&Data con impacto en 2025.

1. REGLAMENTO DE INTELIGENCIA ARTIFICIAL (IA) DE LA UNIÓN EUROPEA

El gran protagonista de este nuevo año es, sin lugar a duda, el Reglamento de Inteligencia Artificial (IA) de la Unión Europea. 

Este Reglamento tiene la finalidad de establecer un marco normativo para el desarrollo y la utilización de la IA, clasificando sus aplicaciones en función del nivel de riesgo que presentan. 

Se trata del primer instrumento legislativo del mundo sobre IA aplicable al mercado de la UE, en el cual se establece obligaciones para proveedores, importadores, distribuidores, responsables del despliegue y derechos para los particulares afectados por los sistemas de IA en el mercado europeo.

También se enfoca en gestionar los riesgos asociados con la IA, tales como los sesgos, la discriminación y la falta de transparencia, al tiempo que promueve la innovación y facilita su adopción. Así, este Reglamento sigue un enfoque basado en el riesgo: cuanto mayor es el riesgo, más estrictas son las obligaciones.

Aunque fue propuesto en abril de 2021, tras varios años de debate y ajustes, se prevé que entre en vigor completamente en 2027.

Cronología de entrada en vigor y aplicación:  

• 01 agosto 2024: Fecha de entrada en vigor del Reglamento de IA. En esta fase no se aplica ninguno de sus requisitos, que empezarán a aplicarse gradualmente con el tiempo.
• 02 febrero 2025: Comienzan a aplicarse las prohibiciones sobre determinados sistemas de IA y los requisitos sobre alfabetización en IA (Capítulo 1 y Capítulo 2).
• 02 agosto 2025: Comienzan a aplicarse las siguientes normas:
  o    Organismos notificados (Capítulo III, sección 4),
  o    Modelos de uso general (Capítulo V),
  o    Gobernanza (Capítulo VII),
  o    Confidencialidad (Artículo 78)
  o    Sanciones (Artículos 99 y 100)
• 02 agosto 2026: Será enteramente aplicable, con la excepción del artículo 6.1 (las obligaciones correspondientes relativas a los sistemas de IA de alto riesgo).
• 02 agosto 2027: Aplicación total en Europa. 

2.  EU DATA ACT – REGLAMENTO DE DATOS DE LA UNIÓN EUROPEA

El Reglamento (UE) de Datos (en inglés, conocido como “Data Act”) establece un conjunto de reglas para el acceso y uso de los datos, tanto personales como no personales.

Su objetivo es promover la disponibilidad de los datos y estimular la innovación dentro de la Unión Europea, al mismo tiempo que asegura una distribución justa del valor de los datos entre todos los participantes en la economía digital.

Se espera que tenga un impacto significativo para los titulares de datos y terceros que traten datos de los usuarios de productos conectados y servicios relacionados, especialmente cuando dichos datos sean generados por productos o servicios relacionados con el Internet de las Cosas (en inglés, “Internet of Things” o “IoT”).

La Data Act regula quién puede acceder, transferir y utilizar los datos de los usuarios de la UE, con el objetivo de incrementar la competitividad y la innovación en la UE, así como garantizar un crecimiento económico sostenible. 

Por consiguiente, el Data Act tiene como finalidad crear un entorno de datos más abierto, transparente y competitivo a nivel europeo, favoreciendo la innovación, protegiendo los derechos de los usuarios y garantizando el cumplimiento de las normativas de privacidad.

Cronología de entrada en vigor y aplicación: 

• La Ley de Datos entró en vigor el 11 de enero de 2024 y será aplicable en 12 septiembre de 2025.

3. REGLAMENTO DORA - (Resiliencia operativa digital del sector financiero)

El Reglamento DORA tiene como objetivo principal reforzar la resiliencia operativa y la ciberseguridad en el sector financiero, centrándose especialmente en los riesgos vinculados a las tecnologías de la información y la comunicación (TIC).

Establece requisitos y obligaciones específicos para gestionar el riesgo relacionado con las TIC, la notificación de incidentes, la realización de pruebas de resiliencia operativa, la creación de acuerdos para el intercambio de ciberamenazas y la supervisión del riesgo en la cadena de suministro de las entidades financieras.

Las entidades más impactadas por este reglamento incluyen bancos, compañías de seguros, gestores de fondos, sociedades de valores, plataformas de negociación de instrumentos financieros, proveedores de servicios de compensación y liquidación de valores, así como agencias de calificación crediticia.

Cronología de entrada en vigor y aplicación:  

• 16 de enero de 2023: Entrada en vigor de DORA.
• 17 de enero 2023 a 16 de enero 2025: Las entidades financieras tienen un plazo de dos años para cumplir los requisitos establecidos en el reglamento DORA.
• 17 de enero 2025: Las entidades financieras tienen que estar cumpliendo los requisitos establecidos en el reglamento DORA. Inicio de las actividades de supervisión por las au-toridades competentes.

4. LEY EUROPEA DE ACCESIBILIDAD - EUROPEAN ACCESSIBILITY ACT

Ley Europea de Accesibilidad (EAA – European Accessibility Act) es una normativa dentro del ámbito del consumo que busca garantizar que todas las personas, sin importar la condición, puedan acceder a los servicios y productos digitales de manera efectiva y sin obstáculos.

Esta normativa establece un marco común para asegurar la accesibilidad de los sitios web, aplicaciones móviles y otros productos y servicios digitales en los países miembros de la Unión Europea (UE). Representa un hito crucial en la evolución hacia una sociedad más inclusiva y equitativa en el ámbito digital.

Se aplica a los sitios de comercio electrónico, incluidas las tiendas online, que tengan al menos 10 empleados y un volumen de negocios o un balance anual de al menos 2 millones de euros. 

Si una empresa cumple con dichos requisitos, y ofrece servicios digitales como sitios web, aplicaciones móviles o productos tecnológicos, esta ley le afecta directamente. 

La normativa establece que todos estos servicios deben cumplir con un conjunto de estándares internacionales conocidos como WCAG 2.1 AA (Web Content Accessibility Guidelines), que cubren aspectos como la facilidad de navegación, el contraste de colores, y la compatibilidad con tecnologías de asistencia.

Implica un proceso de adaptación y mejora en diversos sectores como: empresas de tecnología, servicios financieros, comercio electrónico, administración pública, entre otros.

Aquellas empresas que se adapten rápidamente no solo evitarán sanciones, sino que también ganarán la confianza y lealtad de una base de clientes cada vez más diversa, mejorando la experiencia de estos y reforzando la reputación de su marca.

Cronología de entrada en vigor y aplicación:

• Aprobada en 2019 y con aplicación obligatoria a partir de junio de 2025.

5. Directiva NIS2 (Ciberseguridad)

La Directiva NIS2 establece las obligaciones y medidas que todos los Estados miembros de la Unión Europea deben cumplir para proteger las infraestructuras tecnológicas y crear un alto nivel común de ciberseguridad en toda la Unión Europea, imponiendo obligaciones a los Estados miembros y a las entidades públicas y privadas de sectores críticos.

Esta Directiva aplica a diferentes entidades que se dividen según sus actividades:

-    Sectores de alta criticidad, incluidos en el anexo I:

• Banca
• Transporte
• Energía
• Sector Sanitario
• Aguas Potables y residuales
• Infraestructuras Mercados Financieros
• Infraestructura Digital
• Espacio
• (Entre otras)

-    Otros sectores críticos, descritos en el anexo II:

• Servicios postales/mensajería.
• Gestión Residuos
• Organismos de investigación
• Proveedores de Servicios Digitales (Motores de búsqueda, proveedores mercados en línea y plataformas redes sociales).
• Fabricación productos sanitarios.
• (Entre otras)

La NIS2 impone obligaciones de notificación para los incidentes que tengan un impacto significativo en la prestación de sus servicios. Ante un incidente de este tipo, se deberá notificar a la autoridad competente o al CSIRT (Computer Security Incident Response Team) de referencia.

Cabe destacar que el Consejo de Ministros aprobó recientemente el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad para transponer la Directiva NIS2. Su objetivo principal es incorporar al ordenamiento jurídico nacional la Directiva NIS2 y acelerar su transposición, ya que, según lo establecido, esta debía completarse antes de octubre de 2024.

Cronología de entrada en vigor y aplicación: 

• Entrada en vigor 16 enero 2023
• Fecha límite transposición nacional: 17 octubre 2024. 
• En España dicha transposición aún no está aprobada, pues como se ha comentado anteriormente, este 20 de enero de 2025 se ha publicado el texto del anteproyecto de la Ley de Coordinación y Gobernanza de la Ciberseguridad. Se espera que la aprobación definitiva de esta Ley sea este año 2025. 

Conclusión

El 2025 marcará un año de cambios significativos en la regulación tecnológica en Europa, con la implementación de diversas normativas que afectan a la protección de datos, la inteligencia artificial, la ciberseguridad y a los usuarios online y consumidores.

Asimismo, estas regulaciones no solo tendrán impacto a las grandes corporaciones tecnológicas, sino también a los usuarios, al ofrecerles un entorno más seguro, transparente y ético en el ámbito digital. 

Viendo las fechas de entrada en aplicación de estas regulaciones, comienza la cuenta atrás y/o inminente para las empresas y actores involucrados que deben implementar sus obligaciones, en caso de que les sean aplicables, ya que su aplicación, total o parcial, será necesaria en los próximos meses de 2025.