Glosario · Regulación de datos de la UE

Data Act

Regulación europea de 2024 que establece derechos de acceso y uso sobre los datos generados por dispositivos IoT y productos conectados, abordando los datos no personales junto al enfoque del RGPD sobre datos personales.

## Qué hace realmente la Data Act La Data Act (Reglamento (UE) 2023/2854) es la regulación de la UE que rige el acceso y uso de los datos generados por productos conectados y servicios relacionados. Entró en vigor en enero de 2024, con la mayoría de sus disposiciones aplicándose desde septiembre de 2025. Donde el RGPD aborda los datos personales, la Data Act aborda los **datos no personales** generados por dispositivos IoT y productos conectados. La ley crea derechos para los usuarios (consumidores y empresas) de acceder a los datos que generan sus dispositivos y compartirlos con terceros que elijan. ## Por qué existe la Data Act La ley surgió de preocupaciones operativas sobre el control de datos en la economía IoT: **1. Bloqueo de datos por los fabricantes.** Cuando un coche conectado genera datos sobre patrones de conducción, esos datos solían estar controlados exclusivamente por el fabricante del coche. Talleres de reparación, aseguradoras y proveedores de servicios postventa no podían acceder a ellos sin la cooperación del fabricante. **2. Competencia en servicios postventa.** El acceso restringido a los datos ha limitado la competencia en servicios relacionados con IoT (reparación, seguros, gestión de flotas, etc.). La Data Act lo aborda creando derechos de portabilidad de datos para productos conectados. **3. Preocupaciones de política de competencia.** La integración vertical en torno a los datos (fabricante → dispositivo → datos → servicios postventa) creó preocupaciones competitivas. La Data Act lo aborda mediante desagregación. **4. Necesidades de datos para entrenar IA.** Los sistemas de IA se benefician del acceso a datos operativos. La Data Act crea marcos jurídicos para compartir esos datos con salvaguardias adecuadas. ## Obligaciones esenciales La Data Act impone varias categorías de obligaciones: ### Derecho de acceso a los datos generados Los usuarios (las personas o empresas que operan productos conectados) tienen derecho a acceder a los datos que generan sus dispositivos. Los fabricantes deben: - Hacer los datos accesibles por defecto (o previa solicitud) - Proporcionar los datos en formato legible por máquina - Cubrir los datos generados, no solo las salidas configuradas - Ofrecer acceso sin coste o a costes justos y razonables ### Derecho a compartir datos con terceros Los usuarios pueden autorizar a terceros para que reciban los datos que generan sus dispositivos. Los fabricantes deben: - Permitir esa compartición sin obstáculos - Proporcionar mecanismos directos de acceso a los datos - Permitir a los usuarios elegir libremente los receptores ### Restricciones a competir con los usuarios Los fabricantes no pueden usar los datos generados por el dispositivo para competir con los usuarios en servicios postventa. La Data Act impide usar datos de clientes para perjudicar a los proveedores de servicios elegidos por el cliente. ### Derechos de cambio de proveedor cloud La Data Act incluye disposiciones sobre portabilidad de servicios cloud, abordando preocupaciones sobre bloqueo a nivel de proveedor cloud. Los proveedores cloud deben: - Permitir la portabilidad de los datos del cliente - Reducir los costes de cambio (eliminados para algunos tipos de cliente) - Proporcionar términos contractuales claros sobre el acceso a los datos - Soportar formatos y protocolos estándar ### Acceso de empresa a gobierno En circunstancias excepcionales específicas (emergencias públicas, tareas del sector público de interés público), los gobiernos pueden requerir compartir datos empresariales. Está fuertemente limitado: la ley pone límites claros para evitar la expansión. ## Por qué importa para las empresas europeas La Data Act crea varias implicaciones prácticas: ### Para fabricantes de productos IoT Si vendes productos conectados en la UE (consumidor o B2B), el cumplimiento de la Data Act es obligatorio: - Construir mecanismos de acceso a datos en la arquitectura del producto - Documentar los patrones de generación de datos - Permitir compartición de datos dirigida por el usuario con terceros - Evitar usar los datos del producto para competir con los usuarios en servicios postventa Es un trabajo sustancial de ingeniería de producto. Los productos nuevos diseñados desde 2024-2025 suelen incorporar el cumplimiento de la Data Act; los productos antiguos a menudo necesitan adaptación significativa. ### Para proveedores de servicios postventa Si proporcionas servicios que dependen de datos de productos conectados (reparación, seguros, gestión de flotas, servicios agrícolas, etc.), la Data Act crea nuevas oportunidades: - Solicitar acceso a datos en nombre de los clientes - Construir servicios que aprovechen datos antes bloqueados - Competir más eficazmente con servicios afiliados al fabricante ### Para proveedores cloud y clientes Las disposiciones de cambio de cloud crean implicaciones operativas: - Los proveedores cloud deben reducir la fricción al cambiar - La arquitectura del lado del cliente debe considerar requisitos de portabilidad - Las estrategias multinube se vuelven operativamente más fáciles ### Para los espacios de datos La Data Act permite ecosistemas más amplios de intercambio de datos. Los espacios de datos sectoriales (Catena-X para automoción, Manufacturing-X, etc.) ganan una base legal más sólida bajo la ley. ## La relación con el RGPD La Data Act y el RGPD son complementarios pero distintos: **RGPD**: aborda los datos personales (datos relativos a personas físicas identificables) **Data Act**: aborda los datos no personales (datos generados por máquinas, datos de sensores, datos operativos) Cuando los datos son personales según el RGPD (p. ej., patrones de conducción vinculados a personas concretas), se aplica el RGPD y las disposiciones de la Data Act son subordinadas. Cuando los datos son no personales (datos agregados de sensores, parámetros técnicos), se aplican principalmente las disposiciones de la Data Act. En la práctica, los datos IoT a menudo contienen elementos personales y no personales. El cumplimiento requiere aplicar ambas regulaciones de forma adecuada. ## Estructura sancionadora La aplicación de la Data Act usa autoridades supervisoras nacionales designadas por los Estados miembros. Las sanciones se determinan a nivel nacional, pero la ley permite sanciones sustanciales por incumplimiento. Para pymes, la ley incluye varias disposiciones de proporcionalidad y exenciones para evitar una carga de cumplimiento desproporcionada. ## Qué se ha entregado hasta 2026 Estado a mitad de implementación: **Operativo:** - La mayoría de los fabricantes de productos conectados han implementado el cumplimiento básico - Se hacen y procesan solicitudes de compartir datos - Los proveedores de servicios postventa construyen servicios que aprovechan datos - Las disposiciones de cambio de cloud están creando actividad real de cambio **Aún en desarrollo:** - Los espacios de datos sectoriales siguen madurando - Se están definiendo formatos y API de datos estandarizados - Coordinación transfronteriza de aplicación - Casos de uso de entrenamiento de IA bajo el marco Data Act ## Las disposiciones específicas de cloud son las más relevantes Para la mayoría de los compradores tecnológicos europeos, las disposiciones de cambio de cloud de la Data Act son las más operativamente relevantes. La ley ha acelerado el alejamiento del bloqueo cloud al: - Reducir la incertidumbre legal sobre cambio de cloud - Exigir a los proveedores que permitan portabilidad - Eliminar las tarifas de cambio para algunos tipos de cliente - Crear soporte para formatos estándar Esto complementa la narrativa más amplia de soberanía cloud europea, haciendo operativamente más fácil mover cargas desde hyperscalers estadounidenses a proveedores cloud europeos. ## Qué traen 2026-2027 - **Maduración continuada de la aplicación** a medida que las autoridades supervisoras nacionales establecen patrones - **Trabajo de estandarización** sobre formatos y API de datos - **Espacios de datos sectoriales** que continúan desarrollándose (Catena-X, Manufacturing-X expandiéndose) - **Intersección con el AI Act**: casos de uso de entrenamiento de IA bajo el marco Data Act - **Coordinación transfronteriza de aplicación** a medida que surjan más casos La Data Act seguirá evolucionando. Su interacción con el AI Act, el RGPD y regulaciones sectoriales será la historia de implementación en curso. ## Implicaciones prácticas Para las empresas europeas: 1. **Si vendes productos conectados**: el cumplimiento de la Data Act no es negociable; constrúyelo 2. **Si proporcionas servicios postventa**: aprovecha los derechos de acceso de la Data Act 3. **Si usas servicios cloud**: los derechos de cambio de cloud hacen más fácil estratégicamente la portabilidad 4. **Si participas en espacios de datos sectoriales**: la Data Act proporciona una base legal más fuerte 5. **Si eres B2B SaaS**: tus ofertas desplegadas en cloud deben soportar los requisitos de portabilidad de la Data Act La Data Act es menos famosa que el RGPD pero cada vez más relevante operativamente. Para el desarrollo del ecosistema tecnológico europeo, su impacto a largo plazo puede ser sustancial.

Alternativas UE relacionadas en BetterInEurope

Términos relacionados

← Volver al glosario