Ana Ruiz Durán, abogada área TMT. AGM Abogados
¿Has oído hablar del Reglamento de Datos o AI Act?
Si no lo conocías, es importante que sepas que el Reglamento de Datos de la UE (Data Act), aprobado el 13 de diciembre de 2023 y en vigor desde el 11 de enero de 2024, es aplicable desde el pasado 12 de septiembre de 2025. Esta normativa marca un antes y un después en el acceso y uso de los datos generados por dispositivos conectados.
El objetivo principal de la Data Act es facilitar el intercambio y la reutilización de datos entre los diferentes actores del Mercado Único Digital. Así, los productos conectados deben diseñarse y fabricarse de manera que los usuarios puedan acceder, utilizar y compartir sus datos de manera sencilla y segura, con las particularidades que explicaremos a continuación.
¿Qué regula la Data Act?
Para entender su alcance, primero debemos definir qué es un dispositivo conectado y qué se entiende por Mercado Único Digital.
Un dispositivo conectado es cualquier equipo físico (como un coche inteligente, un reloj digital, un electrodoméstico con WiFi o una máquina industrial) que, mediante sensores o software, recoge, genera y transmite datos a través de Internet o de otras redes de comunicación. La Data Act regula el acceso y uso de los datos generados por estos dispositivos, promoviendo un uso justo, seguro y transparente tanto para usuarios como para empresas.
El Mercado Único Digital es una estrategia de la Unión Europea (UE) que busca garantizar el libre acceso, circulación y aprovechamiento de bienes, servicios, personas y capitales en el entorno digital, eliminando barreras entre países miembros y creando un espacio común para la economía digital europea. Su finalidad es fomentar la innovación, la competencia y la protección de los derechos de los usuarios y consumidores.
Además, junto a esta normativa, existen otras regulaciones relevantes como la Digital Markets Act (DMA) y la Digital Services Act (DSA), que también aplican en este entorno digital y que conviene conocer.
Cabe destacar que la Data Act se aplica tanto a datos personales como no personales, y que el Reglamento General de Protección de Datos (RGPD) sigue prevaleciendo en lo relativo a la privacidad de los usuarios.
¿A quién afecta la Data Act?
La normativa afecta principalmente a:
- Fabricantes de productos conectados y proveedores de servicios relacionados (automoción, electrodomésticos, maquinaria industrial), sin importar su lugar de establecimiento.
- Usuarios en la UE de dichos productos o servicios.
- Titulares de datos que los ponen a disposición de destinatarios en la UE.
- Destinatarios de datos ubicados en la UEe
- Organismos públicos y autoridades de la UE que requieran datos en casos excepcionales.
- Proveedores de servicios de tratamiento de datos que operen con clientes de la UE.
- Participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes.
Excepciones:
- Microempresas y pequeñas empresas: están exentas de dichas obligaciones de manera general y continuada, siempre que no formen parte de un grupo empresarial más grande ni actúen como subcontratistas en la fabricación o diseño de dispositivos conectados o en la prestación de servicios relacionados.
- Medianas empresas: aquellas que hayan adquirido esta condición en los últimos 12 meses estarán exentas durante el primer año desde que ostentan dicha condición.
Impacto de la Data Act en el mercado
La Data Act no solo establece obligaciones legales, sino que también abre nuevas oportunidades y reconoce derechos para que empresas y usuarios gestionen y aprovechen los datos de forma más eficiente los datos. Su objetivo es fomentar un ecosistema de datos más justo, competitivo e innovador en el Mercado Único Digital europeo.
Para empresas:
- Identificación y clasificación de datos deberán establecer procedimientos para distinguir entre datos personales y no personales, y clasificarlos según su origen y régimen jurídico. El objetivo es garantizar un uso lícito, seguro y conforme a la normativa aplicable.
- Seguridad y gobernanza: deberán proteger los datos compartidos, definir responsabilidades y cumplir con el RGPD.
- Interoperabilidad y portabilidad de datos: se busca facilitar la transferencia de datos y reutilización de datos entre plataformas, evitando dependencias tecnológicas.
- Contratos y acuerdos justos: la Data Act introduce reglas para impedir desequilibrios contractuales que dificulten el acceso de los usuarios a sus datos. Una cláusula contractual será considerada abusiva si se aparta de las buenas prácticas comerciales, vulnera la buena fe o atenta contra la lealtad profesional.
- Información al usuario: en relación con el derecho de acceso, la empresa debe informar claramente sobre los datos generados por el dispositivo y cómo pueden accederse y compartirse.
- Confidencialidad: se establecen salvaguardias para los secretos comerciales. Si se demuestra una alta probabilidad de sufrir un grave perjuicio económico por la divulgación, la empresa podrá rechazar solicitudes de acceso a datos concretos considerados secretos comerciales.
- Interoperabilidad de servicios en la nube: se eliminan barreras técnicas para facilitar el cambio de proveedor de servicios en la nube o el uso simultáneo de varios. Se pretende facilitar la transferencia de datos exportables y activos digitales entre plataformas o hacia infraestructuras locales, mejorando la interoperabilidad en todo el ecosistema europeo de datos.
Para usuarios:
- Acceso a los datos generados: derecho a acceder gratuitamente a los datos generados por sus dispositivos. Este acceso debe ser gratuito, sencillo y seguro, en un formato estructurado, de lectura automática y, cuando sea posible, en tiempo real y de forma continua.
- Compartición controlada de datos: podrán decidir con qué terceros comparten sus datos, favoreciendo así un mercado más abierto y competitivo.
- Portabilidad y trazabilidad: los datos deben poder transferirse fácilmente a otras plataformas o servicios, garantizando la continuidad de uso y evitando bloqueos por parte de los fabricantes o proveedores originales.
- Transparencia: deben recibir información clara sobre cómo se utilizan, comparten y procesan sus datos, así como sobre las condiciones de acceso de terceros.
- Protección frente a usos desleales: los datos no podrán ser utilizados por los usuarios o por terceros autorizados para desarrollar productos conectados que compitan directamente con el dispositivo original.
Es fundamental subrayar que ninguna disposición de la Data Act puede interpretarse de forma que limite el derecho a la protección de los datos personales o a la confidencialidad de las comunicaciones. En caso de conflicto, prevalecerá siempre el RGPD.