Joaquín Muñoz, socio de Bird & Bird: «La profusión de normas digitales genera un fuerte estrés en empresas y asesores en su cumplimiento»

Nadie mejor que Joaquín Muñoz, socio responsable de Commercial y Privacy & Data Protection en Bird & Bird España, para analizar el marco legal que regula el actual entorno digital. Este despacho internacional acaba de presentar una ‘Guía práctica sobre el uso de la inteligencia artificial (IA)’ donde se explica cómo implementar el propio Reglamento de IA (RIA), aprobado en agosto del 2024 y que las empresas y organizaciones tienen que cumplir de forma escalonada.

Para este jurista digital, «este es un momento complicado para las organizaciones. Dependiendo del tipo de cliente y del sector de actividad, les afectan unas normativas u otras. Solo a nivel europeo, por ejemplo, tenemos el RIA, las DMA y DSA de servicios digitales, el propio Reglamento General de Protección de Datos (RGPD) —que sigue reclamando un cumplimiento notable—, la directiva Nis2 y el Reglamento Dora en materia financiera. Además, las empresas deben definir estrategias de ciberseguridad para mitigar el impacto de sus ciberataques y riesgos reputacionales».

En su opinión, este paraguas normativo, criticable por los que apuestan por la innovación frente a la regulación siguiendo las tesis del exdirector del Banco Central Mario Draghi, «pretende una protección más global a los derechos de los consumidores y reducir los riesgos de los límites de cualquier actividad digital. Con ese enfoque, la Comisión Europea en los últimos años es prolífica en la aprobación de este tipo de normas. Esto supone una carga muy importante para las empresas de cumplimiento. Las grandes empresas que ofrecen servicios digitales se ven afectadas por todas ellas».

En este sentido, considera que «todo esto empezó con el RGPD de 2018, que afectó a todas las empresas y que supuso un cambio de paradigma a la hora de entender la protección de datos, ya que se hablaba de los principios de proactividad y accountability. Sin embargo, luego se fue concretando, lo que ha generado que las empresas tengan que dedicar muchos recursos para cumplir con todas las normativas nuevas. Es un momento de mucha intensidad. Es posible que la mayoría de las normas sean necesarias porque tratan de limitar los riesgos de los ciudadanos en el entorno digital, pero está siendo duro para empresas y asesores cumplir con todo».

Muñoz, con el apoyo de otros socios como Luis Alfonso Manzano y Mariano Santos, lideran el ‘Latam Desk’ de la firma. (Imagen: Bird & Bird)

La importancia del compliance

Muñoz cree que todas estas normativas «lo que quieren es generar seguridad jurídica a empresas y ciudadanos, pero está suponiendo que muchas empresas estén dedicando muchos recursos para poder cumplir con todo, y en algunos casos tienen que priorizar. Nosotros, como asesores externos, hacemos el doble trabajo de explicarles la normativa y su importancia, para que luego que se adapten a la misma sin demasiados traumas. Son marcos generales normativos. Cada empresa debe valor su nivel de cumplimiento y de riesgo y establecer medidas específicas. Al final, se trata de diseñar un plan de cumplimiento para responder a todas las exigencias».

A su juicio, gracias a ese plan de cumplimiento «se puede hacer la implementación con base en los recursos que tiene, sabiendo que hay normas con fecha de cumplimiento, como la Digital Services Act (DSA). Estamos en el plazo en el que las empresas deben publicar su primer informe de transparencia. En el RiA estamos cerca del plazo relacionado con que los sistemas de IA de alto riesgo tienen que estar homologados y cumpliendo con lo que exige la normativa. Es un momento de mucha intensidad y estrés. Todas las empresas quieren cumplir porque ya existe más cultura de cumplimiento».

El consejo de los profesionales de derecho IT de Bird & Bird, dirigido en España por Joaquín Muñoz, «es que los programas de cumplimiento estén bien coordinados. Hay muchas normas que les afectan y muchas tienen relación entre entre sí. Es el caso del RGD con el Reglamento de IA, el propio RGPD y todas las leyes de ciberseguridad como son las directivas Nis1 y Nis2 o el Reglamento Dora para el sector financiero. Es muy importante tener una visión 360º y tener claro el mapa de cumplimiento, desde una estrategia consolidada, para poder cumplir todas estas obligaciones tecnológicas».

En este contexto, este interlocutor adelanta que «seguro que ya hay empresas acreditadas con la ISO 27001 para certificar sus políticas de ciberseguridad. Ese trabajo hecho les va a servir de base para todo el cumplimiento de Nis2, Dora, estrategia de ciberseguridad y RGPD. Se trata de hacer un mapa claro de qué normas te afectan, y una estrategia y plan para cumplir con todas ellas. En este escenario, un plan de compliance digital que se adapte a cada momento es la mejor inversión que una empresa u organización puede hacer en estos momentos».

Para este experto en derecho digital hay demasiadas obligaciones legales, lo que genera cierto estrés en empresas y asesores. (Imagen: Bird & Bird)

Desde la DMA al RIA, muchas exigencias

Muñoz también recuerda que el Parlamento Europeo aprobó en julio del 2022 dos reglamentos europeos cuyo principal objetivo es regular a los gigantes tecnológicos. Son la Ley de Servicios Digitales (Digital Services Act o DSA) y la Ley de Mercados Digitales (Digital Markets Act o DMA). Su finalidad es limitar el dominio de las grandes plataformas digitales en la Unión Europea y que estás sean más proactivas ante cualquier contenido ilícito. «Por ello, estas normas les imponen relevantes obligaciones jurídicas», comenta este jurista.

«Desde mi punto de vista, estas normativas van a establecer obligaciones nuevas para muchas empresas; pero sobre todo unos niveles de transparencia y reportes, una obligación continua de monitorización para sacar estadísticas y datos de cómo tu empresa está cumpliendo. No sirve solo con tener determinadas políticas implementadas, sino que además tienen que ser muy proactivas en la remisión de esos informes de transparencia. El pasado 16 de febrero comenzó el primer plazo para publicar esos informes de transparencia. De no hacerse estaríamos ante una infracción con sanciones elevadas», advierte.

Para este jurista, «cuando se dictan estas normativas se piensa en las grandes empresas tecnológicas para controlar sus riesgos, pero creo que el regulador no ha tenido en cuenta que hay muchas empresas medianas para las cuales esas exigencias generan un gran impacto, porque tienen que dedicar muchos recursos en esto. El problema está en esta tipología de empresas que, en muchos casos, deben empezar de cero a implementar sus protocolos y esas adaptaciones de sus negocios. Eso genera mucho estrés e incertidumbre en su actividad diaria».

En cuanto al Reglamento de Inteligencia Artificial (RIA), Muñoz señala que «a principios de febrero se eliminaron los sistemas de IA de riesgo inaceptable, lo que ha hecho que el RIA ya se esté aplicando, pero a partir de los próximos meses las IA de alto riesgo tienen que formalizar su homologación para poder ser utilizadas. Entonces entrarán en vigor ciertas obligaciones de transparencia para las IA de uso general. Muchas de las empresas están en el camino de esa necesidad de cumplir con esa normativa. Para ello es importante diseñar el programa de cumplimiento adecuado para definir controles y mitigar riesgos en este contexto».

A juicio de este jurista, «en el ámbito de la IA hay dos normas interesantes, que son normas vinculadas a los daños generados por las IA. Hay dos modificaciones de directivas: la directiva de producto defectuoso, que hace una mención a productos que incorporan IA, y la normativa específica de daños causados por IA. Los primeros movimientos en el cumplimiento de IA van a venir de la mano de estas cuestiones, sistemas de IA que traigan como consecuencia de su uso un daño causado a las personas o a sus derechos y libertades. Veremos cuál es la respuesta legal en estos entornos».

Joaquín Muñoz aclara que los pleitos por el uso de contenidos sin autorización y los daños generados por el uso de la IA serán los nuevos retos de las empresas. (Imagen: Bird & Bird)

Hasta el momento, señala que «se ha centrado la problemática en cuestiones de propiedad intelectual e industrial en el entrenamiento de los sistemas de IA, porque la mayoría de los pleitos actuales son producidos por demandas de esos creadores que defienden sus derechos de propiedad intelectual, porque señalan que se han utilizado esos datos sin su consentimiento. Sobre esto ya ha habido algún pleito en Estados Unidos. El siguiente paso creo que estará en los daños que generen esos sistemas de IA a terceros, daños físicos o morales en uso de los mismos».

Para este jurista, «aquí subyace la cuestión de la toma de decisiones para la puesta en marcha de estos sistemas de IA, y el impacto que va a tener en las personas creo que va a ser la gran cuestión de actualidad en toda la problemática derivada de la IA».

En este contexto, ha sorprendido que la Comisión Europea haya paralizado la tramitación del Reglamento de ePrivacy y la directiva sobre IA. «En el caso del Reglamento, nunca llego a aprobarse. Generó mucho debate en el seno de la Unión Europea. Con la directiva, lo mismo. Son asuntos donde el procedimiento normativo, cuando se va a aprobar, va siempre con retraso y se desactualiza. Habrá que buscar otras fórmulas legales que sean más rápidas y ágiles para que no se puedan volver a echar para atrás», plantea.

Junto con este escenario normativo, Joaquín Muñoz revela que «también las cuestiones relacionadas con ciberseguridad siguen siendo importantes. En clientes del sector financiero y seguros, el cumplimiento del Reglamento Dora —en vigor desde el 17 de enero— es importante. A muchas de estas empresas les ayudamos a adaptar sus procesos a dicho Reglamento. Las grandes entidades financieras ya tenían mucho avanzado, el riesgo está en todos los proveedores de servicios que tienen estas entidades. El Reglamento les obliga a realizar un control de sus proveedores de servicios. Ahora muchos de ellos están en un plan de homologación importante».

Para este experto, «tanto en ciberseguridad como en protección de datos ya no solo hablamos de cumplir la norma y evitar la sanción, sino que hoy en día cualquier empresa no se puede permitir el lujo de tener sus datos expuestos o sus secretos empresariales sin proteger. En la actualidad ambas actividades es algo intrínseco y necesario para el negocio. Cada vez hay más cultura en las empresas. En el caso de Dora, la responsabilidad que pueden tener los consejeros de la empresa por no tomar decisiones es algo a tener en cuenta. Ellos saben que ciberseguridad y protección de datos es una prioridad».