Sabemos que el ámbito digital govtech está en constante evolución y que, en consecuencia, la legislación debe adaptarse al ritmo de los cambios tecnológicos, para garantizar los derechos de la ciudadanía. En este sentido, la Comisión Europea ha impulsado legislación para crear entornos digitales más seguros, transparentes y justos. Sin embargo, a menudo nos es difícil seguirlas y entender cómo estas pueden afectar a nuestro negocio o ámbito de trabajo, y si eres una startup (o una Administración pública que quiera comprar sus servicios), ¡es especialmente relevante para ti!  

‍

Hemos seleccionado tres de las normas recientes que consideramos más relevantes para las startups y AAPP que trabajan en el ámbito govtech: la Ley de Servicios Digitales (DSA por sus siglas en inglés), la Ley de Mercados Digitales (DMA por sus siglas en inglés) y la Regulación de Inteligencia Artificial (AI Act en inglés).

‍

Como breve introducción, la DSA y la DMA tienen por objeto crear un espacio digital más seguro en el que se protejan los derechos fundamentales de las personas usuarias y establecer unas condiciones de competencia equitativas para las empresas (puedes obtener más información de ambas aquí y aquí). Mientras tanto, la AI Act, que todavía está en proceso de aprobación final, busca regular los usos de la IA a nivel europeo, para limitar los riesgos que de ellos se derivan.

‍

Como son leyes extensas e intrincadas, desde Gobe queremos dar unas pinceladas de cada una, centrándonos en su objetivo, a quién está dirigida, cómo afecta a las startups y cuándo entra en vigor. ¡Vamos a ver cada una de ellas!

Ley de Servicios Digitales

La Ley de Servicios Digitales (DSA) busca proporcionar una experiencia en línea más segura para todas las personas. La DSA se inscribe en un esfuerzo más amplio de la Unión Europea para regular de manera uniforme los servicios digitales. Su enfoque se centra en la transparencia en la publicidad en línea, la lucha contra la desinformación y la protección de las personas usuarias en el entorno digital. 

El texto aborda una serie de medidas y obligaciones para las empresas tecnológicas. En concreto, establece requisitos de transparencia para las plataformas digitales, exigiendo que aquellas que utilizan publicidad en línea revelen sus prácticas comerciales. Además, aborda la responsabilidad de las plataformas en la moderación de contenidos ilegales, lo que puede llegar a ser un desafío para las empresas. 

La Ley también protege los derechos de las personas usuarias y la privacidad de los datos, lo que puede requerir una revisión exhaustiva de las políticas de privacidad. A pesar de los desafíos, la DSA establece obligaciones de debida diligencia para las empresas con el fin de lograr el correcto funcionamiento del mercado interior de servicios de intermediación, armonizando las normas para facilitar la innovación y respetar los derechos fundamentales.

¿A quién afecta?

La normativa afectará a todas las empresas que actúen como intermediarias entre una persona usuaria y un contenido o una persona y un producto/servicio. Sin embargo, los niveles de responsabilidad serán diferentes dependiendo de los servicios que presten las empresas y del número de personas usuarias que tengan. 

Estas categorías son: 1) Servicios intermediarios, 2) Alojamiento de datos, 3) Plataformas y buscadores en línea, 4) mercados en línea (marketplaces) y 5) Plataformas y motores de búsqueda en línea de muy gran tamaño (VLOP o VLOSE - ≥ 45 millones de usuarios activos mensuales en la UE). Las VLOPs/VLOSEs son designadas por la Comisión Europea y tienen obligaciones específicas de debida diligencia. Actualmente ya hay 22 designaciones.

¿Cómo afecta a las startups y cuándo entra en vigor?

Desde febrero de 2024, las plataformas deben cumplir y adaptar sus sistemas e interfaces de acuerdo con la legislación (para las VLOPs/VLOSEs esto es así desde agosto 2023). Para startups, es importante tener en cuenta que:

• La ley se aplica a una amplia gama de servicios digitales, incluyendo plataformas en línea, motores de búsqueda, redes sociales y servicios de computación en la nube. Esto implica que cualquier startup que opere en estas plataformas o utilice publicidad en línea está sujeta a las disposiciones de la ley.
• Debes asegurar la transparencia en todas tus operaciones digitales, incluyendo algoritmos, sistemas de recomendación, políticas de moderación de contenidos y términos de servicio. Esto es especialmente relevante para startups que utilizan publicidad digital, donde la claridad en las estrategias publicitarias y prácticas comerciales es crucial.
• La ley establece la necesidad de implementar medidas efectivas para moderar y retirar contenidos ilegales o perjudiciales. Como startup, es importante que tengas protocolos claros y efectivos para cumplir con estas obligaciones legales.
• Es necesario reforzar la protección de datos y los derechos de las personas usuarias. Debes asegurarte de cumplir con las normativas de protección de datos, obteniendo el consentimiento adecuado y gestionando de manera responsable la información personal.

Por todo ello, será necesario que hagas una evaluación y/o adaptación de las prácticas comerciales y de gestión para cumplir con la ley. 

‍

Ley de Mercados Digitales 

‍

La DMA tiene por objetivo garantizar unos mercados digitales justos y abiertos. Junto a la DSA, forma parte de lo que se conoce como el paquete sobre servicios digitales, un cambio en el panorama regulatorio europeo que busca crear un marco común sobre las grandes tecnológicas.

‍

Este reglamento busca mejorar la igualdad de condiciones entre servicios del espacio digital a través de medidas relacionadas con la interoperabilidad, la transparencia o la recolección de datos. Por ejemplo, se prohíbe el favoritismo hacia los propios servicios y productos en las plataformas digitales en detrimento de los de terceros (auto preferencia). A su vez, se requerirá el consentimiento explícito para la publicidad dirigida y se garantiza la libertad de elección del navegador, motor de búsqueda o asistente personal virtual. 

‍

Asimismo, los servicios de mensajería, como WhatsApp y Facebook Messenger de Meta, o iMessage de Apple, deberán ser interoperables con otras plataformas de mensajería más pequeñas. Finalmente, la Comisión Europea supervisará de cerca las fusiones y adquisiciones para evitar concentraciones empresariales que reduzcan la competencia digital.

‍

¿A quién afecta?

La DMA es aplicable sólo a las empresas consideradas como “guardianes de acceso” (gatekeepers). Es decir, aquellas que cuentan con una gran influencia dentro del mercado de la UE, que se consideran un servicio clave que conecta empresas con las personas usuarias y que tienen una posición estable. Se han designado 6 guardianes: Alphabet (Google), Amazon,Apple, ByteDance (TikTok), Meta y Microsoft. 

¿Cómo os afecta a las startups y cuándo entra en vigor?

Desde marzo de 2024, algunas grandes plataformas en línea como Amazon o Meta ya deben cumplir con la DMA. Según la reglamentación, esta Ley tendrá un impacto indirecto en empresas tecnológicas emergentes, que tendréis nuevas oportunidades para competir e innovar en el entorno de las plataformas en línea, sin condiciones abusivas que limiten vuestro desarrollo. Sin embargo, tal como pasa con la DSA, puede plantear desafíos y costes para  startups y pymes, que tendréis que adaptaros y anticiparos a los cambios normativos en el mercado digital.

‍

Regulación de Inteligencia Artificial

Mucho se ha oído hablar del primer Reglamento de Inteligencia Artificial (AI Act), que busca crear un marco regulador común de la UE para la IA. La Ley tiene dos objetivos claros: garantizar que los sistemas de Inteligencia Artificial utilizados en la Unión Europea e introducidos en el mercado europeo sean seguros y respeten los derechos de la ciudadanía y estimular la inversión y la innovación en el ámbito de la IA en Europa.

‍

La Ley formará parte de un marco regulatorio ya existente que cubre varios aspectos de la economía digital en la UE junto con las ya explicadas DMA y DSA así como con el Reglamento General de Protección de Datos (GDPR), que se encuentra en vigor desde el 2018.

‍

¿A quién afecta?

El marco normativo se aplicará a los agentes tanto públicos como privados, de dentro y fuera de la UE, en la medida en que el sistema de inteligencia artificial se introduzca en el mercado de la Unión o su uso afecte a personas establecidas en ella. Es decir, tanto proveedores, implementadores, importadores y distribuidores deben asegurar que se cumple con la legislación. 

‍

La norma propuesta busca abordar los riesgos específicos creados por las aplicaciones de IA al prohibir prácticas inaceptables como algunos tipos de categorización biométrica, el reconocimiento de emociones en el trabajo o en ámbitos educativos, la puntuación social, la identificación biométrica remota en tiempo real o en lugares de acceso público por parte de las fuerzas y cuerpos de seguridad (con excepciones), etc.También busca identificar aplicaciones de alto riesgo en estos y otros sectores. A su vez, se centra en establecer requisitos claros para sistemas de IA en estas situaciones, definir obligaciones para quienes los implementan y proveen, exigir evaluaciones de conformidad antes de su uso o venta, aplicar medidas de cumplimiento después de su lanzamiento al mercado, y establecer estructuras de gobernanza a nivel europeo y nacional.

‍

¿Cómo os afecta a las startups y cuándo entra en vigor?

La adopción formal de la Ley se ha realizado por parte del Parlamento Europeo en marzo de 2024 y se espera que en abril de este mismo año sea adoptada por el Consejo. Una vez publicada en el Diario Oficial de la UE entrará en vigor a los 20 días, por lo que se empezará a trabajar en su implementación. Los Estados miembros deberán designar autoridades nacionales competentes para supervisar su implementación en sus jurisdicciones, mientras que la Comisión debe emitir directrices para ayudar a los actores regulados a interpretar y aplicar un gran número de disposiciones. Para ello, uno de los pasos marcados es la creación de una Oficina Europea de Inteligencia Artificial, la cual ya está en marcha. Si bien estará en vigor, las normas generales sobre IA se aplicarán a partir de mayo de 2025, y las obligaciones para los sistemas de alto riesgo entre el 2026 y 2027.

Aún es pronto para saber el impacto en startups, pero sobre todo a aquellas que estén avanzadas en sus ciclos de desarrollo y que apunten a crear o utilizar sistemas que se puedan categorizar como de “alto riesgo” bajo el AI Act, deberán tener en cuenta hacer auditorias de su sistema y revisar si cumplen con los requisitos operativos obligatorios.

Resumen y conclusiones finales

Para ayudaros en este final de artículo (¡que sabemos que ha sido largo!), os hemos preparado una tabla que resume estas tres leyes europeas. 

Creemos que este tipo de regulación puede traer tanto oportunidades como desafíos a las startups, europeas o no, pero que quieran vender sus servicios en este territorio. Por ello, buscamos que esta sea una manera fácil de conocerlas y así, anticiparse lo más posible a estos cambios legislativos. ¡Sigamos #govtech!

‍

‍