Marco regulatorio digital en España y la UE: qué normativa afecta a tu empresa

El marco regulatorio digital es el conjunto de normas europeas y nacionales que regulan los datos, la inteligencia artificial, la ciberseguridad y los servicios digitales de las empresas que operan en entornos tecnológicos. La Unión Europea ha construido en menos de una década el cuerpo normativo digital más extenso del mundo. Según un informe de Fedea de enero de 2026, las pymes y autónomos españoles deben cumplir más de cien leyes digitales, organizadas en cinco capas que se solapan y que aplican autoridades distintas. El problema para una empresa tecnológica ya no es cumplir una norma concreta. Es saber cuáles le aplican a la vez, cuándo entran en vigor y quién las supervisa.

Este artículo ordena ese mapa: qué normas componen el marco, a quién afectan, en qué fechas y cómo abordarlas de forma integral en lugar de norma por norma.

Si necesitas un abogado de derecho digital, solicita una valoración inicial gratuita con nosotros.

Tabla de contenidos

¿Qué es el marco regulatorio digital?

El marco regulatorio digital agrupa las normas que regulan el uso de tecnología por parte de las empresas: tratamiento de datos personales y no personales, sistemas de inteligencia artificial, ciberseguridad, mercados y plataformas online, e identidad digital. La mayoría son reglamentos europeos de aplicación directa, lo que significa que obligan en España sin necesidad de una ley nacional que los transponga. Las directivas, en cambio, sí requieren transposición. Esta diferencia explica por qué algunas normas ya son exigibles y otras dependen del calendario legislativo español.

Las cinco capas del marco

El marco regulatorio digital se ordena en cinco capas temáticas. La primera es la capa de datos: el RGPD para datos personales y el Data Act para datos generados por productos conectados. La segunda es la inteligencia artificial, regulada por el AI Act. La tercera es la ciberseguridad, con la Directiva NIS2 y, en el sector financiero, el Reglamento DORA. La cuarta cubre los mercados y las plataformas digitales mediante la DSA y la DMA. La quinta regula la identidad digital y los servicios de confianza a través de eIDAS2. Una misma empresa puede estar sujeta a varias capas al mismo tiempo.

Quién supervisa cada capa en España

Cada capa tiene una autoridad de supervisión propia, y esa fragmentación es una de las dificultades del marco. La Agencia Española de Protección de Datos (AEPD) supervisa el RGPD. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023 y con sede en A Coruña, supervisa el AI Act. El INCIBE y el Centro Criptológico Nacional (CCN) asumen la ciberseguridad. La Comisión Nacional de los Mercados y la Competencia (CNMC) actúa como coordinador de servicios digitales para la DSA. El Banco de España y la CNMV supervisan DORA y MiCA en el ámbito financiero. Un mismo incidente puede activar obligaciones de notificación ante varias de estas autoridades a la vez.

Las normas clave del marco regulatorio digital, una a una

El marco se compone de varios reglamentos y directivas con ámbitos y fechas distintas. A continuación se describe cada norma con su definición, a quién aplica y cuándo es exigible. Al final de la sección encontrarás una tabla maestra que resume los plazos y las sanciones de todas ellas.

RGPD: la base de la protección de datos

El Reglamento General de Protección de Datos (Reglamento UE 2016/679) regula el tratamiento de datos personales y es aplicable en España desde el 25 de mayo de 2018. Afecta a cualquier empresa que trate datos de personas, con independencia de su sector. Es la capa más antigua y conocida del marco, y sigue siendo la referencia sobre la que se apoyan las normas posteriores. Sus sanciones alcanzan los 20 millones de euros o el 4 % de la facturación anual mundial.

AI Act: el reglamento de inteligencia artificial

El AI Act (Reglamento UE 2024/1689) es la primera norma del mundo que regula los sistemas de inteligencia artificial por niveles de riesgo. Entró en vigor el 1 de agosto de 2024 y se aplica por fases. Las prácticas prohibidas son exigibles desde el 2 de febrero de 2025, las obligaciones para modelos de propósito general desde el 2 de agosto de 2025, y la mayoría de obligaciones para sistemas de alto riesgo desde el 2 de agosto de 2026. Afecta a proveedores y usuarios de IA, con aplicación extraterritorial similar a la del RGPD. Las sanciones llegan a 35 millones de euros o el 7 % de la facturación mundial. Por su complejidad, lo desarrollamos en detalle en nuestra guía sobre el Reglamento de Inteligencia Artificial.

NIS2: ciberseguridad de servicios esenciales

La Directiva NIS2 (Directiva UE 2022/2555) refuerza la ciberseguridad de las entidades esenciales e importantes y es vinculante a nivel europeo desde enero de 2023. Aplica a dieciocho sectores cuando la empresa tiene cincuenta o más empleados o factura más de diez millones de euros, con excepciones tasadas para sectores muy críticos. Al ser una directiva, necesita una ley nacional que la incorpore. España incumplió el plazo de transposición del 17 de octubre de 2024, y la Comisión Europea le envió un dictamen motivado el 7 de mayo de 2025. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, aprobado en Consejo de Ministros en enero de 2025, sigue en tramitación parlamentaria. Las sanciones previstas son de hasta 10 millones de euros o el 2 % de la facturación para entidades esenciales, y de 7 millones de euros o el 1,4 % para entidades importantes. Puedes ampliar este punto en nuestra área de ciberseguridad y NIS2.

DORA: resiliencia operativa digital del sector financiero

El Reglamento DORA (Reglamento UE 2022/2554) establece requisitos de resiliencia operativa digital para el sector financiero y es aplicable desde el 17 de enero de 2025. Obliga a bancos, aseguradoras, entidades de pago, proveedores de servicios de criptoactivos y otras veintiuna categorías de entidades a gestionar el riesgo tecnológico, notificar incidentes graves y controlar a sus proveedores TIC críticos. El órgano de dirección es directamente responsable del marco de gestión de riesgo. DORA no sustituye a otras normas financieras: las integra y prevalece sobre ellas en lo que regula.

MiCA: el mercado de criptoactivos

El Reglamento MiCA (Reglamento UE 2023/1114) crea el primer marco común europeo para la emisión y los servicios de criptoactivos. Su aplicación es gradual: las reglas para stablecoins rigen desde junio de 2024, y el régimen general para proveedores de servicios de criptoactivos es de aplicación desde el 30 de diciembre de 2024. Afecta a emisores, plataformas de compraventa y custodios, que deben obtener licencia y cumplir obligaciones de gobernanza y protección al cliente. MiCA no cubre los criptoactivos que funcionan como instrumentos financieros, que se rigen por MiFID II. El cumplimiento de este régimen es el foco de nuestro trabajo con criptoactivos y MiCA.

DSA y DMA: servicios y mercados digitales

La Ley de Servicios Digitales (DSA, Reglamento UE 2022/2065) y la Ley de Mercados Digitales (DMA, Reglamento UE 2022/1925) regulan las plataformas online. La DSA establece obligaciones de transparencia, moderación de contenidos y protección del usuario, y es de plena aplicación desde el 17 de febrero de 2024 para todos los servicios afectados. Sus sanciones alcanzan el 6 % de la facturación mundial. La DMA impone obligaciones a las grandes plataformas designadas como «guardianes de acceso» y prevé multas de hasta el 10 % de la facturación mundial, que pueden llegar al 20 % en caso de reincidencia. La DSA actualiza la antigua Directiva de Comercio Electrónico del año 2000.

Data Act: acceso y uso justo de los datos

El Data Act (Reglamento UE 2023/2854) regula el acceso a los datos generados por productos conectados y servicios asociados, y es de aplicación general desde el 12 de septiembre de 2025. Da derecho al usuario, sea empresa o particular, a acceder a los datos que genera con su dispositivo y a compartirlos con terceros. Afecta a fabricantes de productos conectados, proveedores de servicios en la nube y usuarios de productos IoT. Incluye reglas de portabilidad y cambio de proveedor cloud. Los requisitos de diseño de acceso para los nuevos productos conectados se aplican desde el 12 de septiembre de 2026.

eIDAS2: identidad digital europea

El Reglamento eIDAS2 (Reglamento UE 2024/1183) actualiza el marco europeo de identidad digital y servicios de confianza, y fue aprobado en 2024. Su novedad principal es la cartera europea de identidad digital (EUDI Wallet), que los Estados miembros deben poner a disposición de ciudadanos y empresas para identificarse y firmar documentos en toda la UE. Regula también la firma electrónica, los sellos de tiempo y los certificados cualificados, herramientas habituales en la contratación digital entre empresas.

Tabla maestra del marco regulatorio digital

NormaQué regulaA quién aplicaAplicaciónSanción máxima
RGPD (UE 2016/679)Datos personalesToda empresa que trate datos personalesDesde 25 may 201820 M€ o 4 % facturación mundial
AI Act (UE 2024/1689)Sistemas de inteligencia artificialProveedores y usuarios de IAPor fases: feb 2025, ago 2025, ago 202635 M€ o 7 % facturación mundial
NIS2 (UE 2022/2555)Ciberseguridad de servicios esenciales e importantes18 sectores, ≥50 empleados o >10 M€UE desde 2023; transposición en España pendienteEsenciales 10 M€/2 %; importantes 7 M€/1,4 %
DORA (UE 2022/2554)Resiliencia operativa digitalSector financiero (21 categorías)Desde 17 ene 2025Medidas y multas de la autoridad competente
MiCA (UE 2023/1114)CriptoactivosEmisores y proveedores de servicios de criptoactivosStablecoins jun 2024; régimen general 30 dic 2024Según la autoridad nacional
DSA (UE 2022/2065)Servicios digitales y plataformasIntermediarios y plataformas onlinePlena desde 17 feb 2024Hasta 6 % facturación mundial
DMA (UE 2022/1925)Mercados digitalesGrandes plataformas «guardianes de acceso»Obligaciones desde 2023-2024Hasta 10 % (20 % por reincidencia)
Data Act (UE 2023/2854)Acceso y uso de datos de productos conectadosFabricantes, proveedores cloud y usuarios IoTDesde 12 sep 2025Según la autoridad nacional
eIDAS2 (UE 2024/1183)Identidad digital y servicios de confianzaEstados, empresas y ciudadanosAprobado en 2024; despliegue de la EUDI Wallet en cursoSegún la autoridad nacional

¿Cómo saber qué normativa digital aplica a mi empresa?

Para saber qué normativa digital aplica a una empresa hay que cruzar tres variables: qué datos trata, qué actividad desarrolla y qué tamaño y sector tiene. Ninguna norma aplica a todas las empresas por igual, y casi ninguna empresa queda sujeta a una sola. El método consiste en mapear estas tres variables antes de diseñar cualquier medida de cumplimiento.

Según el tipo de dato que tratas

Si tu empresa trata datos personales, el RGPD aplica siempre, sea cual sea tu tamaño. Si tus productos conectados o servicios en la nube generan datos de uso, entra en juego el Data Act desde septiembre de 2025. Una empresa de healthtech que trata datos clínicos suma, además, las categorías especiales del RGPD y, si usa IA para diagnóstico, las obligaciones de alto riesgo del AI Act.

Según tu actividad

La actividad determina las capas adicionales. Una plataforma online o un marketplace queda bajo la DSA. Una fintech, entidad de pago o proveedor de criptoactivos suma DORA y, en su caso, MiCA. Una empresa que desarrolla o integra sistemas de inteligencia artificial entra en el AI Act. Un proveedor de servicios esenciales en energía, sanidad, transporte o infraestructura digital queda sujeto a NIS2 cuando se complete su transposición en España.

Según tu tamaño y sector

El tamaño activa o desactiva obligaciones. NIS2 exige, como regla general, cincuenta o más empleados o más de diez millones de euros de facturación, con excepciones para sectores muy críticos. El Data Act exime de algunas obligaciones a las microempresas y pequeñas empresas, salvo que pertenezcan a un grupo que supere los umbrales. DORA aplica un principio de proporcionalidad según el tamaño y el perfil de riesgo. Conocer los umbrales evita tanto el incumplimiento como el sobrecumplimiento de normas que no aplican.

El ómnibus digital: la UE quiere simplificar el marco

El ómnibus digital es un paquete legislativo que la Comisión Europea presentó el 19 de noviembre de 2025 para simplificar y reordenar el marco regulatorio digital. Su objetivo es reducir cargas administrativas, armonizar obligaciones dispersas y mejorar la coherencia entre normas como el RGPD, el AI Act, NIS2, DORA y eIDAS2. Una de sus medidas es crear un punto único de notificación de incidentes, de modo que una misma brecha de seguridad no obligue a notificar por separado bajo cada norma.

El paquete incluye también una propuesta para modificar el AI Act y aplazar las obligaciones de los sistemas de alto riesgo. A fecha de hoy esta propuesta sigue en negociación entre las instituciones europeas y no ha sido aprobada. Mientras eso no ocurra, el calendario en vigor del AI Act se mantiene. Para una empresa, esto significa una cosa práctica: conviene seguir preparándose con las fechas vigentes y no planificar sobre cambios que aún no son derecho.

Cómo cumplir el marco regulatorio digital de forma integral

Cumplir el marco regulatorio digital de forma integral consiste en gestionar todas las normas aplicables como un único sistema, no como obligaciones aisladas. El proceso tiene cuatro fases: un diagnóstico que identifica qué normas aplican a la empresa, un análisis de los gaps de cumplimiento en cada una, una hoja de ruta que prioriza las actuaciones, y una monitorización continua que actualiza el programa conforme cambia la normativa. Este enfoque evita duplicar esfuerzos, porque muchas obligaciones (registros, políticas, notificaciones) se comparten entre varias normas.

En nuestra experiencia, el error más frecuente en una empresa tecnológica no es incumplir una norma concreta. Es no tener un mapa de qué normas le aplican a la vez, y descubrirlo tarde. Un ejemplo ilustra el patrón. Una scaleup de healthtech con producto basado en IA llega a una ronda de financiación, y la due diligence revela que está sujeta de golpe a cuatro marcos solapados. El RGPD por los datos clínicos, el AI Act por el sistema de diagnóstico, el Data Act por los datos del dispositivo conectado y, por su volumen, las futuras obligaciones de NIS2. Cada uno con su autoridad y su calendario. Resolverlo a contrarreloj durante la ronda cuesta semanas. Hacerlo con un mapa previo cuesta días. Por eso ofrecemos un asesoramiento integral en derecho de nuevas tecnologías que aborda todas las capas en un solo programa de cumplimiento.

Preguntas frecuentes

¿Qué normativa digital es obligatoria para una pyme en España?

Para casi cualquier pyme española, el RGPD es obligatorio desde el primer empleado, porque trata datos personales de clientes y trabajadores. A partir de ahí, depende de la actividad: una tienda online suma la DSA y la normativa de comercio electrónico; una empresa con productos conectados, el Data Act; y una que use inteligencia artificial, el AI Act. NIS2 solo aplica si la pyme opera en un sector esencial o importante y supera los umbrales de tamaño.

¿Quién vigila el cumplimiento del marco regulatorio digital en España?

No existe una autoridad única. La AEPD supervisa la protección de datos, AESIA la inteligencia artificial, el INCIBE y el CCN la ciberseguridad, la CNMC los servicios digitales bajo la DSA, y el Banco de España y la CNMV las normas financieras como DORA y MiCA. Esta multiplicidad de supervisores es una de las razones por las que el cumplimiento conviene gestionarlo de forma coordinada.

¿Qué pasa si mi empresa no cumple la normativa digital?

Las consecuencias varían según la norma, pero las sanciones son elevadas. El RGPD prevé multas de hasta 20 millones de euros o el 4 % de la facturación mundial, y el AI Act llega a 35 millones de euros o el 7 %. Además de las multas, las autoridades pueden ordenar la suspensión de actividades, exigir auditorías o, en el caso de NIS2, atribuir responsabilidad personal a los directivos. El daño reputacional y el bloqueo en procesos de inversión suelen pesar tanto como la sanción económica.

¿Necesito un abogado especializado en derecho digital o me vale un asesor general?

El marco regulatorio digital exige conocer varias regulaciones europeas a la vez, entender la tecnología que regulan y anticipar cómo encajan entre sí. Un asesor general puede cubrir aspectos puntuales, pero el valor de un abogado especializado está en el mapa completo: saber qué normas aplican, en qué orden abordarlas y cómo evitar trabajo duplicado. Cuanto más tecnológica es la actividad, más capas se solapan y más relevante es esa visión integral.

Socio Director at Innovatech legal |  + posts

Marta Suárez-Mansilla, Socia Directora de Innovatech y abogada especializada en derecho tecnológico. Formada en Copyright por Harvard Law School y en Blockchain por BerkeleyX, acumula más de 8 años de experiencia asesorando a empresas tecnológicas.