El Reglamento (UE) 2023/2854, sobre normas armonizadas para un acceso justo a los datos y su utilización, conocido como Data Act, es el eje central de la Estrategia Europea de Datos, que tiene como objetivo la creación de un mercado único de datosque permita que estos fluyan libremente por la Unión Europea, y de unos sectores a otros, en beneficio de las empresas, el personal investigador y las administraciones públicas.
Sin embargo, a pesar de su enorme calado, cuando el Data Act fue publicado en el Diario Oficial de la Unión Europea el 22 de diciembre de 2023 pasó prácticamente desapercibido. Incluso ahora, que ya es de aplicación (lo es desde el 12 de septiembre de 2025 de forma directa en todos los Estados miembros) sigue siendo una normativa discreta y casi desconocida. Dada su gran complejidad, el objetivo de este artículo es exponer, de forma sucinta y resumida, las principales novedades de esta normativa.
Objetivo Principal
El Data Act busca impulsar la economía de datos al equilibrar el acceso y uso de los datos generados por productos conectados (conocido como Internet de las Cosas) y servicios relacionados (por ejemplo, el software que los hace funcionar), otorgando más control a los usuarios finales sobre sus propios datos, personales o no personales.
Para ello, la norma otorga una serie de derechos a los usuarios que se traducen en obligaciones para los fabricantes y proveedores.
Puntos Clave
- Derecho de acceso: El Data Act confiere a los usuarios finales (consumidores oempresas) el derecho a acceder a los datos que se generan a través del uso de sus productos conectados. Estos datos deben ser accesibles de manera sencilla y gratuita para el usuario.
- Derecho de compartir datos con terceros: Los usuarios finales no solo pueden acceder a sus datos, sino que también pueden solicitar al fabricante que los comparta directamente con un tercero de su elección. Esto abre la puerta a nuevos servicios basados en datos.
- Transferencia de datos B2B y B2G (Business-to-Government): El Data Act facilita el intercambio de datos entre empresas. Además, bajo ciertas circunstancias excepcionales (como una emergencia pública), las empresas podrían estar obligadas a compartir sus datos con organismos públicos de la UE.
- Protección de propiedad intelectual y secretos empresariales: Aunque no puede negarse el acceso a la información justificándolo en la existencia de secretos empresariales, las empresas no están obligadas a revelar datos que comprometan su propiedad intelectual o sus secretos empresariales de forma indiscriminada.
- Interoperabilidad y estándares técnicos: El Data Act busca promover la interoperabilidad de los datos y los servicios. Esto podría llevar a la creación de estándares técnicos comunes para facilitar el intercambio de datos y reducir los costes de conmutación para los usuarios.
Sanciones y autoridad competente
Se prevén sanciones de hasta 20 millones de euros o el 4% del volumen del negocio.
Los Estados miembros deben nombrar a la autoridad competente para la supervisión y aplicación de la norma. En España aún no se ha designado el organismo al que le serán atribuidas estas competencias, que podría ser uno o varios, al igual que ocurre con el Reglamento de IA. No obstante, esta norma podría ser ejecutada ante la jurisdicción ordinaria y otros organismos competentes según la materia (i.e. la Agencia Española de Protección de Datos cuando exista implicación de datos personales).
Impacto en las empresas
Para los usuarios de los productos conectados y servicios relacionados que generan los datos, ya sean consumidores o empresas, sin duda alguna supone un mayor control sobre su información y, además, podrán beneficiarse de una competencia más justa y de nuevos servicios personalizados. Sin embargo, también han de enfrentarse a la responsabilidad de gestionar y asegurar sus datos, y de elegir a terceros de confianza para el uso de los mismos.
Por su parte, para los fabricantes de productos conectados y proveedores de serviciosrelacionados, esta normativa ofrece oportunidades para el crecimiento y la competitividad ya que podrían generar nuevas fuentes de ingresos a través de servicios de datos de valor añadido, mejorando la transparencia y la confianza con los clientes.
Sin embargo, como contrapartida, deberán cumplir una serie de obligaciones compartiendo datos que hasta ahora habían sido de su propiedad. Desde el punto de vista práctico esto conlleva una serie de desafíos como revisar sus modelos de negocio, invertir en la infraestructura técnica para habilitar el acceso y la transferencia de datosdesde el diseño, la salvaguarda de sus secretos empresariales, la adaptación de políticas de privacidad y la revisión de los contratos existentes. Para facilitar esta labor y evitar cláusulas abusivas, la Comisión está preparando cláusulas contractuales tipo que ayudarán a alcanzar acuerdos justos entre las partes para el acceso, portabilidad, condiciones de uso y confidencialidad.
Septiembre de 2028 es la fecha fijada por la Comisión para la revisión de la norma. Entonces veremos el efecto real que ha supuesto y si ha alcanzado los objetivos marcados. Mientras tanto, las empresas afectadas por la misma deben hacer un ejercicio importante de adaptación para dar cumplimiento a las exigentes obligaciones impuestas.