El Reglamento (UE) 2023/2854, también conocido como Data Act o “Reglamento de Datos”, representa un salto significativo en la arquitectura normativa europea sobre datos. Se suma al RGPD y a la Data Governance Act, pero con un enfoque distinto: ya no solo en la protección de datos personales, sino también en el acceso, uso y compartición de datos generados por dispositivos conectados, servicios digitales y entornos industriales.
Este cambio normativo implica que las empresas, Administraciones Públicas y profesionales deben integrar nuevas obligaciones en materia de protección de datos, seguridad, contratos y gobernanza de datos. En este artículo técnico-profesional explicamos el alcance, los retos y las estrategias de cumplimiento del Data Act, siempre dentro del marco de la normativa de protección de datos.
Contexto y justificación del Reglamento (UE) 2023/2854
El Data Act fue aprobado el 13 de diciembre de 2023 y publicado en el Diario Oficial de la Unión Europea como Reglamento (UE) 2023/2854. Entró en vigor el 11 de enero de 2024 y la mayoría de sus disposiciones serán aplicables a partir del 12 de septiembre de 2025 (art. 50).
El objetivo principal es regular el acceso justo a los datos y su utilización, armonizando reglas entre los Estados miembros para evitar fragmentaciones. También busca fomentar la innovación, la competitividad y eliminar los silos informativos, especialmente en el ámbito de los datos generados por productos conectados (IoT), servicios en la nube y entornos digitales asociados.
El Data Act debe conjugarse con el RGPD. Mientras que el RGPD se centra en el tratamiento y protección de los datos personales, el Data Act regula el acceso y uso de datos que pueden incluir datos no personales, datos de uso o metadatos bajo condiciones justas. En caso de que los datos regulados sean personales, las obligaciones del RGPD como el consentimiento, los derechos de los interesados y los principios de tratamiento siguen aplicando plenamente.
Ámbito de aplicación del Data Act
El Data Act aplica a múltiples actores del ecosistema digital: fabricantes de productos conectados, proveedores de servicios en la nube, empresas que gestionan datos generados en espacios industriales o de consumo, así como intermediarios de datos.
El Reglamento regula datos generados por productos y servicios conectados, incluyendo datos de uso, metadatos, diagnósticos o del entorno. Para que sea aplicable, los datos pueden adquirirse por comunicación, conexión física o acceso directo al dispositivo.
Quedan excluidos ciertos supuestos, como datos procesados bajo la autoridad de la Unión o de los Estados miembros para funciones de seguridad pública, defensa o administración tributaria, así como aquellos sujetos a secreto profesional, actuaciones judiciales o salud pública (art. 1.3 y art. 2).
En cuanto a la aplicación temporal, el artículo 50 establece que aunque el Reglamento será aplicable desde el 12 de septiembre de 2025, determinadas obligaciones específicas tienen una aplicación diferida. Por ejemplo, los requisitos de diseño para acceso a datos de productos conectados entrarán en vigor a partir del 12 de septiembre de 2026.
Principios y derechos introducidos
Algunos de los principios y derechos clave del Data Act son los siguientes:
- Acceso justo y no discriminatorio: El usuario final, ya sea particular o empresa, tiene derecho a acceder a los datos generados por el producto o servicio que utiliza y a compartirlos con terceros en condiciones justas, razonables y no discriminatorias.
- Portabilidad reforzada: El derecho a la portabilidad se amplía más allá de los datos personales, incluyendo también datos de uso o generados por dispositivos.
- Interoperabilidad: Se exige que los datos estén en formatos legibles e interoperables, evitando barreras técnicas que limiten la reutilización por terceros.
- Prevención de cláusulas contractuales abusivas: Se prohíben disposiciones que excluyan injustificadamente el acceso o compartición de datos y se promueven compensaciones razonables junto con la transparencia.
- Protección de secretos comerciales: El acceso puede denegarse cuando exista un riesgo real de divulgación indebida, siempre con justificación adecuada.
Retos de cumplimiento bajo el prisma de protección de datos
Las organizaciones deberán abordar evaluaciones de impacto conjuntas que contemplen riesgos combinados como privacidad, seguridad de los datos, participación de terceros, interoperabilidad y responsabilidad contractual.
No basta con cumplir el RGPD. El Data Act exige que los datos sean accesibles y reutilizables sin vulnerar derechos personales ni revelar secretos industriales. Esto implica:
- Diseñar sistemas que permitan acceso seguro, interoperable y en formatos estándar, incluyendo APIs, registros de acceso y trazabilidad.
- Garantizar la separación entre datos personales y no personales, aplicando técnicas de anonimización o seudonimización cuando corresponda.
- Revisar modelos contractuales (IoT, nube, software) para alinearlos con los principios del Data Act, incorporando las cláusulas tipo recomendadas por la Comisión Europea, que aunque no son vinculantes sirven como guía.
Estrategias para la transición al cumplimiento
- Auditoría inicial de datos: Identificar qué datos son personales, no personales, metadatos o de uso.
- Revisión contractual: Analizar contratos vigentes con proveedores de IoT, nube y servicios digitales para detectar cláusulas que deberán adaptarse a partir de 2025 o 2026.
- Mapeo de flujos de datos y riesgos: Evaluar accesos, interfaces, riesgos de privacidad y mecanismos de seguridad con equipos legales y técnicos.
- Preparación técnica: Implementar medidas de interoperabilidad, trazabilidad, control de acceso y protección de secretos comerciales.
Impactos sectoriales y casos de uso
- Industria 4.0: Acceso a datos de IoT para optimizar mantenimiento, producción y eficiencia energética.
- Servicios en la nube: Nuevas obligaciones de portabilidad e interoperabilidad entre proveedores.
- Agricultura de precisión: Los productores podrán solicitar los datos generados por maquinaria.
- Movilidad y automoción: Los datos de vehículos conectados estarán sujetos a acceso y compartición regulados.
- Administraciones públicas: Posibilidad de acceder a determinados datos para mejorar servicios y políticas públicas, siempre dentro del marco previsto por el Reglamento.
Conclusión
La entrada en vigor del Reglamento (UE) 2023/2854 (Data Act) marca un hito en la evolución de la normativa europea sobre datos. Añadiendo nuevas obligaciones de acceso, interoperabilidad, gobernanza y responsabilidad que afectan a empresas, administraciones y profesionales.
Para anticiparse, resulta clave auditar los datos generados, rediseñar arquitecturas, revisar contratos, desplegar mecanismos técnicos seguros y coordinar una estrategia legal-tecnológica. En Protection Report contamos con un equipo profesional, preparado para acompañarte en la adaptación efectiva al Data Act. Podemos ayudarte a realizar auditorías, revisar contratos, definir planes de cumplimiento y apoyarte en el diálogo con la autoridad competente.