La nueva normativa establece obligaciones para el acceso, intercambio y protección de datos generados por productos y servicios conectados

Data Act: La nueva era de los datos en Europa

Tribuna
Las claves de la EU Data Act_img

1. Contexto, el producto conectado

En los últimos años, el mercado europeo ha registrado un notable incremento en la oferta de productos conectados a internet. Tales dispositivos, que se integran en la denominada Internet de las cosas (IoT[1]), generan un volumen creciente de datos susceptibles de reutilización dentro de la Unión Europea, lo que constituye un elemento clave para promover la innovación, reforzar la competitividad y consolidar el mercado interior digital. La norma reconoce a los datos (personales o no personales) como un recurso de altísimo valor y con gran potencial para impulsar el crecimiento económico en Europa.

La Data Act transformará el ecosistema digital europeo al establecer nuevas obligaciones para el acceso, intercambio y protección de datos generados por productos y servicios conectados, limitando el uso abusivo de los datos y garantizando un marco de competencia equilibrado.

Por una parte, los usuarios, tendrán derecho a acceder y utilizar los datos que ellos mismos generan pudiendo un usuario hacer uso de un producto conectado. Asimismo, podrá tener la posibilidad de acceder a los datos que este producto genera, incluso compartirlos con terceros o más aún, utilizarlos para contratar otros nuevos servicios.

Por otra parte, se fijan obligaciones de intercambio de datos entre empresas y entre estas y el sector público, con el objetivo de fomentar un entorno digital más abierto, seguro y competitivo.

2. Cronología de la Data Act

La Ley de Datos (Data Act), fue publicada en el Diario Oficial de la Unión Europea el 22 de diciembre de 2023. Entró en vigor el 11 de enero de 2024 y será plenamente aplicable a partir del 12 de septiembre de 2025.

Conviene destacar que esta norma se integra en un marco regulador europeo más amplio y complementa otras dos disposiciones fundamentales. En primer lugar, la Ley de Gobernanza de Datos (Data Governance Act), en vigor desde el 23 de junio de 2022 y aplicable desde septiembre de 2023, que establece los mecanismos necesarios para facilitar el intercambio de datos entre empresas, particulares y administraciones públicas, reforzando la disponibilidad de datos y eliminando obstáculos técnicos a su reutilización. En segundo lugar, se conecta con el Reglamento General de Protección de Datos (RGPD), que constituye la referencia esencial en materia de protección de datos personales. Así, cuando el solicitante de acceso a los datos no sea su propio titular, estos solo podrán ponerse a disposición si existe una base jurídica válida, por ejemplo, el consentimiento.

En conjunto, estas normas conforman un marco jurídico coherente que busca reforzar la confianza en el intercambio de datos, aportar seguridad sobre quién puede acceder a ellos, generar valor a partir de su uso y garantizar unas condiciones justas para todas las partes implicadas.

3. ¿Cuáles son las principales finalidades de la norma?

La finalidad de la Data Act es democratizar el acceso a los datos, incrementar la innovación, y el crecimiento económico sostenible.

Hasta ahora, la mayoría de los datos generados por dispositivos y servicios conectados permanecían bajo el control exclusivo de los fabricantes o de las grandes plataformas tecnológicas, lo que restringía las oportunidades de innovación, reducía la competencia en el mercado europeo y limitaba los derechos de los usuarios.

La Ley de Datos pretende revertir esta situación mediante la creación de un marco jurídico uniforme en toda la UE que promueva la transparencia, garantice condiciones de acceso más equitativas y permita una distribución justa de los beneficios derivados de los datos entre todos los actores del ecosistema digital.

A continuación, se presentan las principales finalidades de la EU Data Act, acompañadas de ejemplos prácticos para facilitar su comprensión:

  • Otorgar al consumidor un mayor poder sobre sus datos y fomentar la innovación en los servicios posventa, garantizando que los usuarios puedan acceder a la información generada por los dispositivos que utilizan y compartirla libremente con terceros de su elección.

Ejemplo: un usuario de una lavadora inteligente puede solicitar al fabricante los datos de uso y compartirlos con un servicio técnico independiente, ampliando así sus opciones de mantenimiento posventa.

  • Impulsar la competencia y abaratar costes promoviendo el intercambio de datos y estableciendo estándares comunes de interoperabilidad.

Ejemplo: un propietario de un vehículo puede solicitar a la marca los datos generados por su coche y compartirlos con un taller de su elección, evitando depender en exclusiva del servicio oficial y accediendo a reparaciones más competitivas

  • Reforzar la seguridad y la eficiencia en situaciones de interés público, permitiendo que las administraciones accedan a datos del sector privado en casos de emergencia o cuando lo exija una obligación legal.

Ejemplo: durante una crisis sanitaria, las autoridades podrían solicitar a empresas de transporte datos de movilidad para gestionar confinamientos, o a plataformas de alquiler de vehículos información sobre su flota para coordinar evacuaciones.

  • Proteger a las pymes frente abusos contractuales en el intercambio de datos, mediante la puesta a disposición de modelos de cláusulas no vinculantes que favorezcan la equidad y el equilibrio en las negociaciones de intercambio de datos.

Ejemplo: una pyme tecnológica que negocia con una gran multinacional no se verá obligada a aceptar cláusulas desequilibradas para ceder sus datos ya que podrá apoyarse en modelos de cláusulas propuestos por la UE que garantizan condiciones justas.

  • Establecer límites al intercambio internacional de datos, asegurando que las transferencias fuera de la UE se ajusten al marco jurídico europeo.

Ejemplo: si una empresa europea utiliza un servicio en la nube gestionado por una compañía con sede en EE. UU., el proveedor no podrá transferir los datos a autoridades estadounidenses si la solicitud es contraria al marco legal europeo.

4. ¿Cuál es el Alcance de la Norma?

El alcance del EU Data Act se define como amplio y de naturaleza transversal, pues no se circunscribe únicamente a los fabricantes de productos conectados ni a los proveedores de servicios digitales, sino que se extiende igualmente a los usuarios, a los titulares y destinatarios de datos, a las instituciones y organismos públicos de la Unión, así como a los prestadores de servicios de tratamiento de datos.

Bajo este alcance, la Data Act establece una serie de garantías para proteger aquellos datos que son generados y compartidos, independientemente de si se trata de datos personales o no personales.

Profundizando en estas garantías, la norma establece que todo tratamiento de datos, es decir, cualquier operación automatizada que suponga, por ejemplo, el uso, la comunicación, el almacenamiento o la modificación de información, que permita identificar a una persona física deberá realizarse en conformidad con las disposiciones del Reglamento General de Protección de Datos (RGPD), el cual prevalecerá en caso de conflicto con la Data Act.

El alcance de esta normativa afectará a:

  1. Fabricantes y proveedores: fabricantes de productos conectados y proveedores de servicios relacionados introducidos en el mercado de la UE, sin importar dónde estén establecidos.
  2. Usuarios: usuarios de la UE que utilicen esos productos conectados o servicios relacionados.
  3. Titulares y destinatarios de datos: titulares de datos, estén o no en la UE, que pongan datos a disposición de destinatarios en la Unión. Destinatarios de datos situados en la UE.
  4. Sector público e instituciones de la UE: organismos públicos, la Comisión, el Banco Central Europeo y organismos de la Unión que soliciten datos por necesidades excepcionales de interés público.
  5. Servicios de tratamiento de datos (cloud, edge, etc.): proveedores de servicios de tratamiento de datos, con independencia de su lugar de establecimiento, cuando presten servicios a clientes de la UE.
  6. Espacios de datos y contratos inteligentes: participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes. La Comisión Europea ha propuesto la creación de espacios comunes de datos europeos, que se están desarrollando ya en diversos ámbitos, como la salud, el musical, o el sector de la movilidad sostenible.

5. ¿Cuáles son las medidas más destacables de la Norma?

En sintonía con la finalidad y objetivos de la norma, la Data Act establece la regulación de las cuestiones principales que se indican a continuación:

1. Intercambio de datos entre empresas y consumidores, a petición de los consumidores, en el contexto de la IO (Internet de las cosas)

  • Los usuarios de objetos IoT (particulares y empresas) tienen derecho a acceder, usar y portar los datos generados por los dispositivos o servicios que utilizan.
  • Este acceso debe ser gratuito y en un formato completo, estructurado, de utilización habitual, para que no se convierta en un derecho teórico sin aplicación práctica.
  • Los usuarios podrán compartir los datos con terceros de su elección, de forma segura, gratuita, sin demora indebida, con la misma calidad como si fuese el Usuario, en un formato completo, estructurado, de uso habitual, y, cuando sea posible, de forma continua y en tiempo real.

 2. Intercambio de datos entre empresas

  • La Data Act establece las condiciones de intercambio de datos entre la empresa, titular de los datos, y otra empresa destinataria de los datos, pudiendo establecerse una compensación por el intercambio.
  • El intercambio debe realizarse bajo condiciones justas, razonables y no discriminatorias y de manera transparente.
  • Se prohíben las cláusulas contractuales abusivas en relación con el acceso y uso de los datos que grandes empresas podían imponer en acuerdos de intercambio, lo que protege especialmente a pymes y startups.

3. Intercambio de datos entre empresa y administraciones públicas

  • Las empresas estarán obligadas a compartir datos con organismos del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión en situaciones en las que se demuestre una necesidad excepcional, como, por ejemplo, emergencias públicas como pandemias o catástrofes naturales, ciberataques o apagones eléctricos generalizados.
  • El acceso de las administraciones debe ser proporcionado, justificado y limitado al tiempo necesario, con el fin de evitar un uso indebido de la información.
  • Cuando proceda, el titular de los datos tendrá derecho a recibir una compensación justa por el suministro de datos.

Es importante destacar que, aunque la Data Act no establece directamente un régimen sancionador propio, sí obliga a los Estados Miembros a definir normar específicas sobre infracciones y sanciones aplicables en caso de incumplimiento.

6. ¿Cuáles son los principales Retos la nueva Normativa?

La Data Act plantea relevantes desafíos de índole técnica, jurídica y organizativa, que exigirán a las entidades afectadas la realización de un análisis previo de situación, así como la elaboración de una planificación estratégica destinada a garantizar el cumplimiento normativo.

A continuación, se detallan los principales desafíos que esta normativa plantea:

Identificación y clasificación de datos

  • Diferenciar entre datos personales y no personales, y también según su origen y régimen jurídico (ej. datos protegidos por derechos de propiedad intelectual o secretos empresariales).
  • Establecer sistemas internos para saber qué datos pueden compartirse y cuáles requieren un tratamiento más restrictivo.

Protección de datos personales y cumplimiento del RGPD

  • Asegurar que el acceso a datos personales no comprometa la privacidad de los usuarios.
  • Aplicar medidas técnicas y organizativas suficientes para garantizar el cumplimiento del RGPD como norma especial.

Seguridad, calidad e interoperabilidad

  • Implementar políticas robustas de ciberseguridad para evitar accesos no autorizados.
  • Garantizar la calidad, trazabilidad, interoperabilidad y portabilidad de los datos, de forma que se puedan compartir sin perder fiabilidad ni usabilidad.

Gobernanza y responsabilidades

  • Establecer mecanismos claros de gobernanza de datos, definiendo las responsabilidades y obligaciones de cada parte.
  • Diseñar procedimientos internos que asignen roles claros de gestión, control y supervisión.

Contratación y relaciones con terceros

  • Revisar y adaptar contratos con clientes y proveedores para reflejar las nuevas obligaciones sobre acceso, uso y puesta en común de los datos generados por productos y servicios conectados.
  • Prevenir conflictos legales mediante cláusulas claras sobre titularidad, limitaciones de uso y confidencialidad.

Obligaciones de información y cooperación

  • Garantizar el cumplimiento de las obligaciones de información, notificación y cooperación previstas en la norma.
  • Coordinarse con usuarios, proveedores, intermediarios y autoridades competentes para responder adecuadamente a requerimientos.

Conclusión

La Ley de Datos marca un antes y un después en la consolidación del mercado único digital europeo. Su finalidad esencial es democratizar el acceso a los datos, evitando su concentración en manos de grandes plataformas y fabricantes, y garantizando un equilibrio entre los derechos de los usuarios y los intereses de las empresas. Si bien su implementación exigirá importantes ajustes técnicos, contractuales y organizativos, la Data Act establece un marco robusto para un uso de los datos más justo, transparente y compartido. Al mismo tiempo, impulsará la innovación y la cooperación entre actores públicos y privados en beneficio del interés general.

En definitiva, se erige como un instrumento decisivo para avanzar hacia una economía digital europea más inclusiva, competitiva y orientada al valor social de la información y la creación de un futuro digital propio de la Unión vinculado con el crecimiento social y económico.

En conclusión, la Data Act exigirá a las organizaciones incluidas en su ámbito de aplicación que desarrollen una planificación estratégica para su implementación, establezcan un modelo de gobernanza de datos, revisen en profundidad sus relaciones contractuales y lleven a cabo una reconfiguración, desde el diseño, de todos sus modelos de negocio basados en datos.

Preguntas frecuentes

1) ¿Cómo interactúa la Ley de Datos con el Reglamento General de Protección de Datos (RGPD)?

La Ley de Datos no regula la protección de datos personales, sino el acceso, uso e intercambio de datos en la economía de la UE. El RGPD se aplica plenamente a todo tratamiento de datos personales dentro de su ámbito. La Ley de Datos complementa al RGPD en aspectos como la portabilidad en tiempo real (IoT) y limita la reutilización de datos por terceros. En caso de conflicto, prevalece el RGPD.

2) ¿Qué implica la exclusión del “contenido” del ámbito material del capítulo II?
El “contenido” (texto, audio o audiovisual protegido por derechos de autor) queda fuera del ámbito del capítulo II, que solo regula el acceso a datos no creativos (ej. mediciones, registros técnicos). Así, deben compartirse datos de uso o funcionamiento, pero no el material creativo (p. ej., fotos, vídeos o películas).

3) ¿Qué determina si un producto conectado se halla dentro del ámbito de la Ley de Datos?
Un producto conectado queda cubierto por la Ley de Datos si ha sido “puesto en el mercado de la Unión” (artículo 2.22), es decir, cuando tras su fabricación se transfiere la propiedad o posesión entre agentes económicos dentro de la Unión.

Por ejemplo, no se considera que un producto se ha puesto en el mercado cuando un consumidor lo adquiere en un tercer país y lo introduce en la UE para uso personal, o cuando se fabrica en un Estado miembro con vistas a exportarlo.

4) ¿Qué ocurre si un producto conectado puesto en el mercado de la UE genera datos al usarse en el extranjero?
Cuando un producto conectado ha sido puesto en el mercado de la UE, los datos que genere durante su uso, tanto dentro como fuera de la Unión, deben estar a disposición del usuario conforme a la Ley de Datos. Esto se aplica también a productos de carácter móvil (como barcos, aviones, trenes o automóviles).

El mero hecho de que un producto circule por territorio o aguas de la UE no implica que haya sido puesto en el mercado, ya que no existe transferencia de propiedad. En cambio, la matriculación de un vehículo en un Estado miembro puede constituir un indicio de que sí se produjo dicha puesta en el mercado.

5) ¿Qué sucede si un producto conectado se revende (productos de segunda mano)?
En lo que respecta al derecho de acceso del usuario a los datos generados, la Ley de Datos no distingue entre productos de primera o segunda mano. En caso de reventa, el vendedor debe cumplir la “obligación de transparencia” del artículo 3, facilitando al nuevo propietario la información necesaria para ejercer sus derechos de acceso. Ello incluye la identificación de los titulares de los datos y las modalidades de acceso y uso.

6) ¿Qué se entiende por “usuarios”?
Conforme al artículo 2(12), un “usuario” es una persona física o jurídica que posee un producto conectado o a quien se han transferido temporalmente derechos de uso (p.ej., arrendamiento) o que recibe un servicio relacionado. Este usuario ostenta un derecho legal sobre los datos generados por el producto.

7) ¿Se aplica la Ley de Datos a usuarios establecidos fuera de la UE?
Según el artículo 1(3) (b), el usuario debe estar establecido en la UE. Un usuario puede solicitar acceso con independencia de que los datos se almacenen dentro o fuera del territorio de la Unión.

8) Como usuario, ¿cómo puedo acceder a mis datos?
Los artículos 3.2 y 3.3 obligan a vendedores, arrendadores o futuros prestadores de servicios relacionados a informar a los usuarios sobre los datos que genera su producto o servicio. Esta “obligación de transparencia” incluye indicar cómo acceder a los datos, ya sea de forma directa (artículo 3.1) o indirecta (artículo 4.1).

9) ¿Afecta el nuevo derecho de acceso a la protección de secretos comerciales? La Ley de Datos respeta la protección de secretos comerciales (no modifica la Directiva 2016/943) pero no permite que la simple calificación de secreto bloquee el acceso. El titular puede exigir salvaguardas de confidencialidad (cláusulas, NDA, protocolos). Además, cuenta con un “freno de emergencia”: puede suspender la entrega si no hay garantías adecuadas o negarse en casos excepcionales si demuestra riesgo de daño económico grave e irreparable, debiendo notificar a la autoridad y al usuario, que podrán recurrir.

10) ¿Debe el titular compartir datos si existen preocupaciones de seguridad?

No. El acceso puede restringirse o denegarse si compartir datos pone en riesgo la salud, seguridad o protección de las personas, según normativa de la UE o nacional (art. 4.2). Este “freno de emergencia de seguridad” debe notificarse a la autoridad competente, y el usuario puede impugnar la decisión ante dicha autoridad, tribunales o un órgano de resolución de controversias.

11) ¿Está prevista una evaluación futura de la norma?
Sí. La Comisión Europea deberá realizar una evaluación del funcionamiento del Data Act a más tardar el 12 de septiembre de 2028, con el fin de valorar su impacto y, en su caso, proponer modificaciones.

 

[1] El Internet de las cosas (IoT) es la tecnología que posibilita la interconexión de objetos físicos cotidianos a través de Internet. Esto incluye desde dispositivos domésticos comunes, como bombillas inteligentes, hasta equipos de salud, prendas y accesorios inteligentes, e incluso infraestructuras propias de las ciudades inteligentes.

ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación