26 de marzo de 9:30 a 13:00.
Ponentes: Abogados y expertos líderes en su sector. Pendiente de confirmar.
Asistentes: Online y gratuito.
9:30 a 10:30. Debate 1: confianza digital y ciberresiliencia como obligación de base (RGPD, NIS2, ISO 27001, ENS)
Este congreso está diseñado para que los principales abogados especialistas en tecnología, fiscalidad, privacidad y regulatorio debatan, con un enfoque práctico, qué exige hoy el ordenamiento jurídico y las normas técnicas a un fabricante de software y, sobre todo, cómo convertir el cumplimiento en un activo defensivo y comercial. La agenda se estructura en tres debates con una lógica de “ciclo de vida” del producto: primero la confianza digital y el cumplimiento transversal (seguridad, privacidad y resiliencia), después la regulación “por producto” y por uso de tecnologías emergentes (incluida la IA), y finalmente el bloque de cumplimiento transaccional y sectorial (facturación, trabajo, salud e identidad/firma), que es donde la responsabilidad civil, administrativa e incluso penal suele materializarse con más facilidad si se implementa mal.
Este debate agrupa las normas que actúan como columna vertebral para cualquier fabricante, independientemente del sector o del tipo de software, porque determinan si el producto y la organización están preparados para operar de forma segura, demostrar diligencia y responder ante incidentes. El hilo conductor es la responsabilidad por “no haber hecho lo mínimo exigible” en gobierno de seguridad, gestión de riesgos, proveedores y protección de datos, y cómo se prueba esa diligencia ante un cliente, una inspección o un juez. Se abordará cómo encajan RGPD y NIS2 en la práctica de un fabricante (roles, corresponsabilidad, cadena de subencargados, medidas técnicas y organizativas, notificación de brechas), y cómo ISO 27001 y el ENS funcionan como mecanismos de evidenciación y sistematización del cumplimiento (políticas, controles, auditorías, registros, continuidad, trazabilidad de decisiones). El debate debe aterrizar en preguntas que suelen generar litigio: qué nivel de seguridad es “razonable” según el tipo de dato, cómo contractualizar la seguridad (SLA, anexos, derecho de auditoría, gestión de vulnerabilidades, subprocesadores), qué hacer cuando el cliente exige medidas imposibles o contradictorias, y cómo se demuestra que un fabricante actuó con diligencia si ocurre un incidente real.
10:45 – 11:45. Debate 2: regulación del producto y de la innovación tecnológica (Cyber Act / ciberresiliencia de producto, propiedad intelectual, ISO 42001 de IA, RIA)
Este bloque se centra en la responsabilidad del fabricante no solo como “prestador de un servicio”, sino como productor de un software que incorpora componentes, dependencias, modelos, datasets y decisiones de diseño que pueden generar riesgo legal. La lógica del debate es “qué obligaciones nacen por diseñar y poner en el mercado un producto digital” y cómo se gestiona el riesgo legal de la innovación, especialmente cuando hay IA. Se tratará el Cyber Act (enfoque de ciberresiliencia por diseño y por defecto, gestión de vulnerabilidades y ciclo de vida, obligaciones en la cadena de suministro de software, SBOM y dependencias) como una nueva capa que empuja a los fabricantes a formalizar prácticas de ingeniería segura y a responder de forma trazable. A la vez, se debatirá propiedad intelectual en clave de fabricante: titularidad del código, licencias de terceros, open source y cumplimiento, cesiones, obra por encargo, límites de explotación, protección de bases de datos y del know-how, y cómo todo esto impacta en contratos, M&A y disputas por terminación de proyectos. El bloque de IA debe unir ISO 42001 (gobernanza y sistema de gestión de IA) con el RIA (riesgo, obligaciones por uso, transparencia, documentación, evaluación y controles), desde una perspectiva muy accionable: cuándo un fabricante queda atrapado por obligaciones de IA aunque “solo integre” componentes de terceros, cómo gestionar el dato de entrenamiento y los derechos asociados, cómo diseñar un expediente de evidencias (modelo, propósito, riesgos, medidas, pruebas, controles de sesgo, supervisión humana), y cómo evitar claims comerciales que luego se convierten en incumplimientos contractuales o publicidad engañosa.
12:00 – 13:00 Debate 3: cumplimiento transaccional y sectorial que genera inspecciones y sanciones inmediatas (Ley antifraude y VERI*FACTU, Ley crea y crece, digitalización certificada, registro horario, homologación de receta médica privada electrónica, eIDAS2 para identidad y firma)
Este debate agrupa las normas que, para un fabricante, impactan directamente en funcionalidades, integraciones, evidencias de inalterabilidad y trazabilidad, y que suelen implicar calendarios regulatorios, certificaciones/criterios técnicos, y exposición a sanciones por fallos de diseño. El hilo conductor es que ya no basta con “emitir un documento” o “guardar un registro”: se exige integridad, conservación, trazabilidad, interoperabilidad y, muy especialmente, capacidad de prueba ante terceros. En el bloque fiscal se debatirá ley antifraude y VERI*FACTU como obligaciones de diseño y de control del software (inalterabilidad, registro de eventos, trazabilidad de facturas, conservación, prevención de manipulación), y su relación con la Ley crea y crece y la factura electrónica B2B, incluyendo el impacto contractual: garantías del fabricante, cláusulas de actualización normativa, responsabilidades por parametrización y por uso indebido del cliente, y cómo se gestiona el roadmap cuando cambian requisitos técnicos. Se incorporará digitalización certificada como pieza probatoria y operativa (custodia, trazabilidad, firma/sello, evidencias), conectándola con eIDAS2 en identidad y firma, donde el debate debe tratar la evolución hacia identidades digitales y mecanismos de firma/sello más robustos, y cómo un fabricante puede ofrecer evidencias con validez transfronteriza y menor riesgo de impugnación. En el bloque laboral, registro horario se tratará como producto “probatorio”: qué se considera registro fiable, cómo evitar manipulación, qué evidencias mínimas debe poder aportar la empresa usuaria, y cómo se reparten responsabilidades entre fabricante y cliente. En el bloque salud, homologación de receta médica privada electrónica debe enfocarse en el riesgo sectorial (identidad del prescriptor, trazabilidad del acto clínico, integridad del documento, auditoría, custodia, interoperabilidad), y cómo un fabricante debe construir controles y evidencias reforzadas, porque los conflictos aquí suelen combinar sanción administrativa, reclamaciones de pacientes y riesgos reputacionales.
Resultado esperado del congreso
La propuesta de valor del evento es que cada debate cierre con conclusiones operativas para fabricantes de software: qué decisiones de producto hay que tomar ya, qué cláusulas contractuales son críticas para limitar exposición, qué evidencias conviene generar de forma continua para poder defender diligencia, y qué elementos del cumplimiento pueden convertirse en argumento comercial (diferenciación, acceso a mercados regulados, reducción de riesgo para el cliente, y mejora de valor del activo tecnológico). Se contrastará posturas jurídicas: responsabilidad del fabricante vs del cliente, cumplimiento “de mínimos” vs cumplimiento “probatorio”, y enfoque preventivo (sistemas de gestión, auditorías, controles) frente a enfoque reactivo (gestión de incidentes, litigios y reclamaciones).
