es flag
es flag

RGPD, AI Act, DSA y Data Act

Asesoramiento jurídico práctico para empresas en España y la UE

Si su empresa trata datos personales, utiliza sistemas de inteligencia artificial, opera una plataforma digital o presta servicios SaaS en España o en la Unión Europea, ya está sujeta a obligaciones regulatorias concretas.

PSL Avocat Acompaña a startups, scale-ups, pymes y grupos internacionales en la identificación de sus obligaciones reales y en la implantación de medidas de cumplimiento útiles y operativas, con un enfoque construido sobre 15 años de práctica in-house internacional.

¿Para quién?

PSL Avocat interviene especialmente para:

  • Empresas SaaS y tecnológicas que operan en España o sirven a usuarios europeos

  • Plataformas digitales, marketplaces y servicios de intermediación

  • Empresas que integran IA en sus productos o procesos internos

  • Grupos internacionales con actividad en la UE que necesitan adaptar su documentación y organización

  • Equipos jurídicos, de producto o de dirección que buscan una solución concreta y ejecutable

Solicitar una evaluación de cumplimiento

Normativa aplicada

RGPD : Reglamento General de Protección de Datos Reg. (UE) 2016/679

Se aplica a toda empresa que trate datos personales de personas en la UE, con independencia de dónde esté establecida. Cubre análisis de tratamientos, base jurídica, contratos con encargados, transferencias internacionales, gestión de derechos y respuesta a incidentes.

AI Act : Reglamento europeo de inteligencia artificial Reg. (UE) 2024/1689

Introduce obligaciones escalonadas según el nivel de riesgo del sistema de IA utilizado o comercializado (inaceptable / alto / limitado / mínimo). Identificación de sistemas afectados, clasificación de riesgos, documentación técnica, transparencia y gobernanza interna de IA.

DSA y DMA : Digital Services Act y Digital Markets Act Reg. (UE) 2022/2065 y Reg. (UE) 2022/1925

El DSA se aplica a plataformas digitales que ofrecen servicios a usuarios en la UE: marketplaces, redes sociales, plataformas de contenido, motores de búsqueda, alojamiento. El DMA afecta principalmente a grandes plataformas designadas gatekeepers, pero puede impactar indirectamente sus relaciones con ellas.

Data Act Reg. (UE) 2023/2854 : aplicable desde septiembre de 2025

Afecta a fabricantes de productos conectados, servicios vinculados, soluciones IoT, cloud y proyectos con grandes volúmenes de datos industriales. Regula el acceso, la portabilidad y el intercambio de datos entre empresas y usuarios

Solicitar una evaluación de cumplimiento

Cómo interviene PSL Avocat

1. Auditoría y gap analysis

  • Cartografía de tratamientos de datos y detección de riesgos RGPD

  • Análisis de aplicabilidad del AI Act y clasificación de sistemas de IA

  • Revisión de contratos existentes (DPA, cláusulas contractuales tipo)

  • Identificación de obligaciones DSA, DMA y Data Act según el modelo de negocio

2. Documentación y puesta en conformidad

  • Registro de actividades de tratamiento, política de privacidad, cookies

  • Contratos de encargo del tratamiento (DPA) conformes al RGPD

  • Documentación técnica AI Act: transparencia, evaluación de riesgos, política interna de uso de IA

  • Adaptación de contratos al Data Act y al DSA

3. Cumplimiento integrado en producto y operaciones

  • Integración de requisitos regulatorios en los procesos de producto y negocio

  • Formación práctica para equipos de producto, tech, ventas y dirección

  • Formularios, workflows y herramientas internas para gestionar el cumplimiento de forma operativa

4. Gestión de incidentes y solicitudes

  • Procedimientos de respuesta ante brechas de seguridad (notificación en 72h, RGPD)

  • Gestión de solicitudes de acceso, supresión, portabilidad y oposición

  • Organización interna para responder de forma documentada y eficaz

Solicitar una evaluación de cumplimiento

Situaciones habituales

  • Empresa SaaS que vende en España y otros países de la UE: revisión integral de privacidad, DPA, transferencias y documentación comercial

  • Empresa que incorpora IA en su producto o procesos internos: clasificación de riesgos, transparencia y gobernanza

  • Plataforma digital o marketplace: análisis de aplicabilidad del DSA y adaptación operativa

  • Empresa industrial o tech con productos conectados: evaluación del impacto del Data Act

Solicitar una evaluación de cumplimiento

Preguntas frecuentes

Nuestra empresa está fuera de la UE pero vende a clientes europeos. ¿Se aplica el RGPD?

Sí, en la mayoría de los casos. El RGPD se aplica cuando se ofrecen bienes o servicios a personas en la UE, o se monitoriza su comportamiento, independientemente del país de establecimiento.

¿Cómo saber si nuestro sistema de IA está afectado por el AI Act?

Depende del uso, el contexto y el nivel de riesgo del sistema. Una revisión inicial permite identificar rápidamente si entra en el ámbito del reglamento y qué obligaciones se aplican. El AI Act clasifica los sistemas en cuatro niveles: inaceptable, alto, limitado y mínimo.

¿Cuáles son las sanciones máximas previstas por el AI Act?

Tres niveles: sistemas de riesgo inaceptable → hasta 35 M€ o 7 % del volumen de negocio mundial; incumplimiento de obligaciones para sistemas de alto riesgo → hasta 15 M€ o 3 %; infracciones de transparencia → hasta 7,5 M€ o 1,5 %. Para pymes y startups, los límites se calculan sobre el volumen efectivo cuando resulte inferior.

Ya tenemos una política de privacidad. ¿Somos conformes?

No necesariamente. El cumplimiento del RGPD no se reduce a publicar un texto. Exige organización interna, contratos adecuados con los encargados del tratamiento, capacidad de gestión de derechos y respuesta a incidentes. Una auditoría rápida permite identificar los gaps reales.

¿Cuánto tiempo requiere una puesta en conformidad RGPD?

Para una pyme o startup, un primer nivel de conformidad operativa puede alcanzarse en 4 a 8 semanas, dependiendo del volumen de tratamientos y del grado de madurez interna.

¿El DSA se aplica a cualquier plataforma digital?

Se aplica a una amplia variedad de servicios digitales ofrecidos a usuarios en la UE: marketplaces, plataformas de contenido, motores de búsqueda, servicios de alojamiento. La intensidad de las obligaciones varía según el tipo y el tamaño del servicio. El umbral de muy gran plataforma (VLOP) es de 45 millones de usuarios activos mensuales en la UE.

¿El Data Act nos afecta si no fabricamos hardware?

Puede afectarle si presta servicios vinculados a productos conectados, gestiona datos generados por equipos de terceros, o procesa grandes volúmenes de datos industriales para clientes. El Reg. (UE) 2023/2854 es aplicable desde septiembre de 2025.

Solicitar una evaluación de cumplimiento

Una experiencia internacional al servicio de su operativa

La práctica de PSL Avocat se apoya en 15 años de experiencia in-house en entornos exigentes e internacionales: ESA, OCDE, Organización ITER, CMA CGM y ADP.

Esto permite trabajar con un enfoque muy concreto: entender las limitaciones internas de las empresas, priorizar lo que realmente importa y estructurar soluciones aplicables por equipos no jurídicos.

Abogado inscrito en el ICAB (Colegio de Abogados de Barcelona) y en el Barreau de Paris. Barcelona y París. Trabajo en español, francés e inglés.

Evalúe sus obligaciones de privacidad, IA y datos

Respuesta en 24 horas hábiles.

ConTACTO

RegistrO

contact@pslavocat.com

+34-672-939-146

© 2025. All rights reserved.

AVISOS LEGALES

Avocat, Colegio de Abogados de París, Francia

Avocat à la Cour, inscrit au Barreau de Paris

+33-7-71-06-80-60

Philippe Sigal