Desde el 12 de septiembre de 2025 es aplicable el Reglamento (UE) 2023/2854, conocido como Data Act, que impone obligaciones directas a las empresas que produzcan, distribuyan o gestionen productos conectados o servicios relacionados. Esta normativa no sustituye al RGPD, pero lo complementa: mientras el RGPD protege los datos personales, la Data Act regula el acceso justo, uso y cesión de los datos generados por dispositivos y servicios (personales o no personales).
Con la entrada en vigor, los usuarios —tanto consumidores como empresas— pasan a tener un derecho legalmente exigible para acceder a los datos generados por sus productos conectados y para compartirlos con terceros. Las empresas que mantengan retención unilateral de esos datos ya no pueden hacerlo sin justificación conforme al nuevo marco normativo.
- Qué datos deben ponerse a disposición
Las empresas estarán obligadas a facilitar los datos brutos y pretratados generados por el uso del dispositivo o servicio conectado, incluidos los metadatos asociados (por ejemplo: registros de sensores, estado funcional, telemetría, datos de rendimiento, ubicación, consumo, etc.). Se trata de datos que el dispositivo o sistema ya genera y puede exponer sin necesidad de cálculos adicionales complejos.
No obstante, quedarán fuera del ámbito obligatorio aquellos datos inferidos o derivados, como predicciones, análisis avanzados o modelos construidos con algoritmos internos que suponen una inversión adicional del fabricante. Es decir: lo que el usuario mismo genera con su uso, sí; lo que el fabricante procesa internamente y “transforma”, no necesariamente.
- Derechos de los usuarios y cesión a terceros
A partir del 12 de septiembre de 2025:
-
- Los usuarios tienen derecho a acceder gratuitamente a esos datos brutos y pretratados en formato estructurado, incluso en tiempo real cuando sea viable.
- Los datos deben entregarse con la misma calidad, integridad y detalle que posee el fabricante o proveedor.
- Los usuarios podrán designar terceros autorizados —por ejemplo, proveedores de servicios, talleres o plataformas de análisis— para que reciban esos datos en su nombre.
- Las empresas deberán habilitar mecanismos técnicos (API, portales de datos) y condiciones contractuales que garanticen que este acceso sea sencillo, seguro y no discriminatorio.
- Solo podrá denegarse el acceso si la empresa demuestra fehacientemente un perjuicio económico grave y justificado (no basta con invocar riesgos genéricos).
- Qué deben empezar a hacer las empresas ya
Para cumplir de forma eficaz con la Data Act, las empresas deberán:
-
- Identificar los productos conectados que generan datos, y clasificar qué datos son brutos/pretratados frente a datos inferidos o derivados.
- Revisar y adaptar sus contratos con usuarios y proveedores para incluir cláusulas de acceso, cesión, confidencialidad y condiciones justas, razonables y no discriminatorias.
- Diseñar o ajustar sus sistemas tecnológicos para permitir acceso seguro a los datos.
- Prepararse para la obligación de “access by design” que operará desde el 12 de septiembre de 2026, momento en el que los productos nuevos deberán estar ya diseñados para que los datos sean accesibles por defecto.
- Implantar medidas robustas de seguridad, control de acceso, protección de secretos comerciales y confidencialidad.
La Data Act, por tanto, marca un punto de inflexión en la gestión de los datos en Europa. A partir de ahora, el acceso a la información generada por productos conectados será una obligación legal que otorga a los usuarios mayor control y transparencia sobre sus datos y exige a las empresas transformar sus contratos, sistemas y procesos.
