Garrigues Digital_

Innovación legal en la economía 4.0

 

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

El Data Act y el acceso regulado a los datos: lo imprescindible

Begoña González Otero, of counsel de Propiedad Industrial e Intelectual de Garrigues y experta en derecho digital.

El reglamento europeo reconoce que, con frecuencia, para el acceso a los datos, los usuarios dependen tecnológicamente del fabricante o proveedor. En este contexto, analizamos los derechos de los usuarios y los deberes del titular de los datos, así como los necesarios equilibrios y límites, los posibles riesgos y lo que todo ello implica para las compañías. 

El «Reglamento sobre normas armonizadas para un acceso y uso justos de los datos» (UE) 2023/2854 (Data Act) ha comenzado a aplicarse el 12 de septiembre de 2025 y coloca en su centro un régimen de acceso regulado para los datos generados por productos conectados y servicios relacionados (IoT). Si fabricas o vendes dispositivos conectados, prestas servicios asociados, utilizas datos generados por esos productos, o eres usuario de los mismos, esto te afecta directamente.

El reglamento no se basa en una lógica de “propiedad del dato”, sino en el control de acceso, reconociendo que los usuarios a menudo dependen tecnológicamente del fabricante o proveedor. El Data Act busca corregir esa asimetría mediante un conjunto claro de derechos para usuarios y obligaciones para titulares de los datos, promoviendo un entorno más justo, interoperable y competitivo.

Qué cambia: derechos del usuario y deberes del titular de los datos

El corazón del régimen está en los artículos 4 y 5 del Data Act:

  • Acceso y uso por el usuario (art. 4): el usuario de un producto o servicio conectado —es decir, una persona física o jurídica que tenga derecho a usar legalmente dicho producto o servicio, ya sea como propietario, arrendatario, prestatario u otro título jurídico válido— tiene derecho a acceder y utilizar los datos generados mediante su uso, cuando no disponga de acceso directo a ellos. 

    Este derecho abarca tanto los datos introducidos de forma intencionada como aquellos generados indirectamente por el uso del producto, como por ejemplo datos sobre el entorno, el rendimiento, el consumo o las interacciones del dispositivo. Se incluyen los datos observados y pretratados, es decir, aquellos que el producto obtiene, genera o recoge sin que medie una inversión sustancial en su limpieza, agregación o transformación. No están cubiertos los datos inferidos o derivados, como resultados analíticos, evaluaciones predictivas o modelizaciones generadas por el fabricante u operador mediante tratamiento posterior. El titular de los datos (normalmente el fabricante o proveedor del producto) debe proporcionar estos datos sin coste para el usuario, sin demora indebida y en un formato estructurado, común y legible por máquina. Las condiciones deben ser justas, razonables, transparentes y no discriminatorias, y el acceso deberá respetar las salvaguardias necesarias para proteger los secretos comerciales, los derechos de propiedad intelectual de terceros y los datos personales.
  • Compartición con terceros (art. 5): el usuario tiene derecho a designar a un tercero —persona física o jurídica— para que reciba los datos generados por el uso del producto o servicio conectado. En tal caso, el titular de los datos (por ejemplo, el fabricante) está obligado a facilitar dicha transmisión, sin demora indebida, en formato estructurado, común y legible por máquina. Este derecho solo puede limitarse en circunstancias específicas justificadas (por ejemplo, protección de secretos comerciales o cumplimiento de otras normativas aplicables). 

    El titular no puede imponer condiciones técnicas, contractuales o económicas que obstaculicen injustificadamente el ejercicio efectivo de este derecho. 

    Es importante destacar que el reglamento excluye explícitamente como destinatarios a los denominados “guardianes de acceso” (gatekeepers) designados a través del Reglamento de Mercados Digitales (DMA), incluso si son indicados por el usuario. Esta exclusión esponde a la necesidad de evitar concentraciones indebidas de poder económico en el ecosistema digital y preservar una competencia justa.

Este binomio (acceso y compartición) se complementa con una pieza que pasa a menudo desapercibida y que cambia el juego contractual:

  • Contrato adicional de uso de datos no personales (arts. 4.13 y 4.14): el Data Act permite al titular utilizar los datos no personales generados por el producto o servicio, pero siempre bajo dos condiciones: (i) que exista un acuerdo transparente con el usuario que defina las finalidades de uso, y (ii) que dicho uso no derive en información que pueda menoscabar la posición competitiva del usuario en su mercado. Entre las finalidades legítimas se incluyen, por ejemplo, la mejora del funcionamiento del producto o servicio o la agregación de datos con el fin de poner a disposición de terceros los datos derivados resultantes, siempre que sean no identificables. En cambio, la cesión de datos no personales a terceros (art. 4.14) solo puede realizarse si está expresamente prevista en el contrato con el usuario. De este modo, el reglamento convierte al usuario en el verdadero “señor de la llave” de los usos secundarios de sus datos, a la vez que fomenta la apertura de mercados mediante licencias en condiciones justas, razonables y no discriminatorias (arts. 8 y 9). 

    Ejemplo: Una cooperativa agrícola utiliza una flota de tractores inteligentes conectados que registran datos sobre el uso del motor, humedad del suelo, velocidad de operación y consumo de combustible. Estos datos se almacenan en la nube del fabricante del tractor. 

    Uno de los socios de la cooperativa y agricultora responsable de una parcela concreta, solicita acceso a los datos de su tractor conforme al art. 4 del Data Act, ya que no puede acceder directamente a través de una interfaz. El fabricante, como titular de los datos, debe facilitarle gratuitamente esos datos en formato estructurado y legible por máquina, sin retrasos ni requisitos excesivos de identificación. 

    Posteriormente, la misma socia decide designar a una empresa local de análisis agrícola para que optimice el rendimiento del terreno a partir de esos datos. Conforme al art. 5, el fabricante está obligado a transferir directamente los datos a esa empresa, sin imponer condiciones técnicas o contractuales injustificadas. 

    Eso sí, si esta socia de la cooperativa quisiera enviar los datos a una empresa que presta servicios centrales de plataforma y ha sido designada como gatekeeper bajo el DMA, el fabricante estaría legalmente autorizado a rechazar esa transmisión. 

    El fabricante también puede querer utilizar los datos generados por los tractores para mejorar el diseño de futuros modelos o para elaborar estadísticas de consumo que luego agregue y ponga a disposición de terceros. Para ello, deberá contar con un contrato transparente con la cooperativa o con cada usuario, en el que se especifiquen esas finalidades. El reglamento le permite este uso, siempre que no extraiga información granular que pueda afectar la posición competitiva de la cooperativa o de cada agricultor. La cesión de los datos a terceros solo podrá realizarse si también está prevista en el contrato.

Junto a estos derechos contractuales, el Data Act refuerza el marco jurídico con una exigencia técnica de gran alcance: la accesibilidad de los datos por diseño y por defecto (art. 3). Obliga a diseñar productos y servicios de manera que los datos —y los metadatos necesarios— sean accesibles por defecto, con facilidad, seguridad, gratuitamente y en formato legible por máquina. Esta obligación aplica para productos y servicios introducidos en el mercado después del 12 de septiembre de 2026.

Principios de equilibrio y límites

El régimen busca equilibrar la apertura con la protección de incentivos a la inversión. Por eso articula:

  • Límites por secretos comerciales y derechos de PI: el acceso no puede revelar know-how protegido; pueden imponerse medidas técnicas para evitar usos no autorizados, siempre proporcionadas.
  • Compensación razonable (condiciones FRAND): cuando proceda, la puesta a disposición puede conllevar remuneración en condiciones equitativas, razonables y no discriminatorias, evitando onerosidades encubiertas.
  • Coordinación con el RGPD: el Data Act es horizontal (alcanza datos personales y no personales). Cuando haya datos personales, el tratamiento debe cumplir estrictamente el RGPD; el Data Act no crea una nueva base jurídica. Además, sus derechos complementan el derecho a la portabilidad del art. 20 del RGPD y el derecho de acceso del art. 15 del RGPD (art. 1.5 del Data Act).
  • Cláusulas abusivas B2B (art. 13): si una empresa impone unilateralmente términos que distorsionan el equilibrio (p. ej., exclusiones de responsabilidad desproporcionadas o renuncias incondicionales a derechos), podrán tenerse por no puestas. Es un “freno de mano” contractual para preservar la finalidad procompetitiva del régimen.

Qué implica para tu compañía (fabricantes, proveedores)

  • Reconfigurar el diseño y la arquitectura de datos: inventariar qué se genera, dónde se aloja, cómo se etiqueta y con qué metadatos. La accesibilidad por diseño exigirá data mapping detallado, APIs o canales de extracción fiables y documentación clara para usuarios y terceros.
  • Activar procesos de atención de solicitudes: el art. 4 concede a los usuarios el derecho a acceder y usar datos, y el art. 5 a compartirlos con terceros designados. Las compañías deben definir plazos de respuesta, responsables internos, autenticación de solicitantes y protocolos de salvaguarda. Cuando haya secretos comerciales o derechos de terceros involucrados, se recomienda usar soluciones de acceso seguro o “clean rooms”, evitando negativas generales que puedan considerarse desproporcionadas.
  • Negociar y estandarizar contratos adicionales para datos no personales: los arts. 4.13 y 4.14 obligan a que el titular de los datos solo pueda usarlos en virtud de un contrato con el usuario. Esto implica diseñar plantillas claras que delimiten finalidades de uso, condiciones FRAND (cuando aplique), medidas de seudonimización o agregación, y cláusulas de reversibilidad. Este contrato adicional se convierte en pieza estratégica para generar mercados secundarios de datos bajo control del usuario.
  • Alineamiento jurídico, técnico y de modelo de negocio: el acceso regulado no es solo cumplimiento; es estrategia de apertura controlada para habilitar servicios posventa, ecosistemas y mercados secundarios. Aquí es clave que los equipos legales, técnicos y de negocio trabajen de forma integrada.

Riesgos típicos y cómo mitigarlos

  • Confundir “dato inferido” con “dato pretratado”: revisa tus pipelines; lo que se derive mediante modelos/algoritmos puede quedar fuera del derecho de acceso. Documenta criterios.
  • Secretos mal invocados: la negativa basada en secreto debe ser proporcionada y justificada; considera soluciones de acceso seguro en vez de negar en bloque.
  • Condiciones FRAND opacas: prepara metodologías de cálculo y benchmarking interno para evitar alegaciones de discriminación.
  • RGPD descuidado: cuando haya datos personales, valida base jurídica, minimización, DPIA si procede y riesgos de reidentificación en conjuntos derivados.

España, Alemania, Francia y la aplicación y ejecución del régimen

La eficacia de este régimen dependerá en gran medida de su aplicación supervisora y judicial. El Capítulo IX del Data Act establece autoridades nacionales, sanciones y mecanismos alternativos de resolución de conflictos, pero su efectividad real puede variar según el país. España aún no ha designado autoridad ni coordinador de datos, lo que podría anticipar una mayor ejecución privada y un probable aumento de la litigiosidad en tribunales durante los primeros compases de aplicación. Alemania ha presentado un proyecto de ley de implementación (Data Act-Durchführungsgesetz) que prevé designar a la Bundesnetzagentur (BNetzA) como autoridad central y a la BfDI en materia de protección de datos; sin embargo, este borrador todavía no ha sido aprobado, por lo que el marco institucional alemán sigue siendo una propuesta en trámite. Francia, por su parte, ha reforzado la arquitectura institucional mediante la Ley SREN, que asigna un papel reforzado a autoridades como la CNIL y la ARCOM de cara a la aplicación de la normativa digital europea. Para las empresas que operan en varios países, esto significa que deberán adaptar sus procesos de respuesta, contratos y defensas técnicas a la casuística nacional mientras se consolida una interpretación más uniforme a nivel europeo.

‘Checklist’ exprés (solo régimen de acceso)

  • Inventario de datos IoT (primarios vs. pretratados vs. inferidos), metadatos y ubicación.
  • Canales de acceso/transferencia listos (APIs, formatos legibles, seguridad).
  • Procedimiento y acuerdo nivel servicio (SLA) para solicitudes del usuario y de terceros designados.
  • Plantilla de contrato adicional para datos no personales (usos, FRAND, salvaguardas).
  • Política de secretos comerciales/DPI con medidas técnicas de protección (si son necesarias).
  • Matriz de cumplimiento RGPD en escenarios mixtos (bases, portabilidad, DPIA).
  • Revisión de cláusulas B2B para detectar y suprimir términos potencialmente unilaterales abusivos.
  • Plan de accesibilidad por diseño (art. 3) para nuevos lanzamientos 2026–2027.

En resumen: el Data Act no entrega la “propiedad” del dato al usuario, pero sí rompe el bloqueo de acceso donde había dependencia tecnológica, creando obligaciones técnicas, contractuales y organizativas que abren el paso a un mercado de datos más dinámico. Prepararte ahora —con diseño accesible, contratos adecuados y procesos sólidos— marcará la diferencia entre reaccionar a la demanda o liderar tu ecosistema de datos.