Cuando hablamos de normativa que afecta a startups hay que tener en cuenta dos dimensiones: al igual que si fuera un edificio, la startup cuenta con una estructura (el continente) que dentro puede albergar muy distintos negocios, desarrollos o productos (el contenido).
El "continente" de la startup es su estructura societaria, que no es diferente de la de cualquier otra empresa. Habitualmente este continente toma forma de sociedad de responsabilidad limitada (S.L.) y se rige por la Ley de Sociedades de Capital.
Esta sociedad cuenta con los mismos órganos de gobierno que cualquier otra empresa: la Junta General con la soberanía de los socios, y el órgano de administración que se encarga de representar a la Sociedad en su gestión diaria. El órgano de administración suele ser en fases tempranas un administrador único o varios administradores (usualmente solidarios, es decir, que pueden actuar indistintamente por separado), y en cuanto entran inversores es habitual que se cambie a un Consejo de Administración: un órgano colegiado, formado por un mínimo de tres miembros, donde suelen estar representados los Socios fundadores pero también los inversores.
Los socios pueden pactar sus obligaciones y derechos en un pacto parasocial ("pacto de socios") que es un contrato no contemplado en la Ley, pero cuya validez y obligatoriedad se admite. Ciertos acuerdos de este Pacto de Socios pueden trasladarse a los Estatutos de la Sociedad, que sería una especie de reglamente interno de funcionamiento. Los Estatutos sociales sí están previstos en nuestra normativa, con un contenido mínimo, y se inscriben en el Registro Mercantil.
Estos documentos sirven como cimientos del edificio que sería la startup, al asegurar la permanencia de los socios fundadores, o establecer limitaciones para que no puedan transferir libremente sus participaciones. Al mismo tiempo, estas obligaciones sirven para anclar el contenido de la empresa a su estructura mediante pactos de no competencia de los fundadores o la obligación de realizar determinados trabajos para la empresa.
Como cualquier sociedad de capital, una startup con forma de S.L. tiene además un capital social dividido en participaciones sociales ("acciones" para entendernos). Si la empresa fuera un edificio, esta "estancia" será probablemente ampliada mediante entrada de nuevos socios en rondas de inversión con entrada al capital. Estas ampliaciones tienen una parte que va al capital social (nominal) y otra que no se reflejará en el mismo sino que servirá como fondos para sufragar la actividad (prima de asunción) o lo que hemos denominado "contenido" de la empresa.
Este contenido está a su vez regulado por normativa general que afecta a cualquier actividad, como por ejemplo las obligaciones fiscales y laborales, para las que las startups (siempre que obtengan la acreditación de ENISA como tales) cuentan con algunas ventajas que les reconoce la Ley 28/2022 de fomento del ecosistema de las empresas emergentes, conocida como "Ley de Startups". Entre estas ventajas está la reducción del tipo impositivo del impuesto de sociedades del 25% al 15%, o algunos beneficios laborales para trabajadores.
También hay que tener en cuenta la normativa relativa a los derechos de propiedad intelectual e industrial, para asegurarse en primer lugar de que no se vulneran derechos de otros, y en segundo y principal de que la actividad de la startup está convenientemente protegida.
Además de la normativa aplicable a todas las empresas, cada startup debe cumplir con normativa sectorial aplicable a la actividad concreta que desarrolle. Los supuestos son tan variados como los negocios que se crean y el público al que se dirigen. A veces es incluso el canal de comercialización el que determina la aplicación de determinadas normas. Por ejemplo, una tienda online dirigida al público general debe contemplar la legislación para consumidores, y cualquier web debe cumplir con los requisitos de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, así como los del Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
Estas últimas normas afectan a todas las startups que trabajen con datos, y por tanto de forma directa a las que usen IA. Para garantizar el cumplimiento debe existir una estrategia o política de privacidad desde el primer momento, antes de diseñar, recabar o tratar la base de datos o dataset. Especialmente cuando hablamos de datos especialmente sensible, como serían por ejemplo aquellos que tengan relación con la salud, como por ejemplo las imágenes obtenidas en pruebas médicas.
El Reglamento General de Protección de Datos (RGPD) impone -entre otros- el principio de minimización de datos y privacy by design, que exige también contar con una política de protección de datos en las primeras fases de diseño de cualquier software en cuanto a la recogida y tratamiento de datos, para evitar que se recaben o usen datos no estrictamente necesarios para el funcionamiento del mismo o el servicio que se preste.
Las obligaciones normativas son todavía mayores cuando el sector de actividad de la startup cuenta con regulación específica, en cuyo caso es habitual que existan organismos supervisores (que pueden ser estatales o supraestatales) que deben emitir determinadas licencias o autorizaciones para poder salir a mercado. Es el caso de startups del sector salud cuando comercializan determinados productos o servicios que se consideren de carácter médico, de aquellas del sector inversor o cripto que deben contar con autorización de la CNMV.
En definitiva, el ecosistema normativo de las startups es amplio, complejo y muy variado; una especie de pirámide de Maslow normativa para las startups, en la que se debe asegurar el cumplimiento normativo "de base" y desde los primeros pasos. Solo desde esta base sólida se puede construir poco a poco una estructura sólida de cumplimiento que permita controlar y neutralizar riesgos, con la tranquilidad necesaria para dedicar toda la energía al desarrollo del negocio.