El «Reglamento sobre normas armonizadas para un acceso y uso justos de los datos» (UE) 2023/2854 (Data Act) comienza a aplicarse el 12 de septiembre de 2025 y redefine cómo se accede, comparte y porta el dato en la UE. Si fabricas productos conectados, contratas servicios cloud o participas en espacios de datos, te afecta. En este artículo sintetizamos qué cambia y qué revisar ya —IoT, cambio de proveedor (cloud switching) e interoperabilidad/smart contracts— con una checklist práctica para tu equipo. Comenzamos.
El 12 de septiembre de 2025 marca la entrada en aplicación del «Reglamento sobre normas armonizadas para un acceso y uso justos de los datos» (UE) 2023/2854 (Data Act). Este reglamento fue aprobado por el Consejo de la Unión Europea el 27 de noviembre de 2023 y entró en vigor el 11 de enero de 2024, pero la mayoría de sus obligaciones son aplicables a partir de hoy.
Su objetivo es crear un mercado único europeo de datos justo, seguro y favorable a la innovación, dinamizando un mercado en el que, según estimaciones de la Comisión, más del 80% de los datos industriales (generados por sensores) permanecen hoy infrautilizados.
Pese a su envergadura apenas ha tenido eco en el debate público nacional ni en la agenda empresarial, a diferencia de otros países como Alemania o Francia. Sin embargo, se trata de una pieza clave dentro de la estrategia global de la Unión Europea en materia de datos: junto con el Reglamento de Gobernanza de Datos (DGA), el Reglamento de Mercados Digitales (DMA), la Ley de Servicios Digitales (DSA) y el Reglamento de Inteligencia Artificial (RIA), conforma la arquitectura de un ecosistema digital interoperable. Su verdadero alcance no está solo en lo que regula, sino en cómo reordena las reglas de juego para el acceso, el uso, la portabilidad y el intercambio de datos en el mercado europeo.
Al igual que el resto de normas aprobadas en los últimos años en materia digital, el Data Act obliga también a las empresas no comunitarias que operen en el mercado europeo;
Respecto de las materias que regula, el Reglamento es una norma muy peculiar y compleja. Se podría calificar como un «popurrí» con tres pilares fundamentales.
-
Primer pilar: Internet de las cosas
El primero, y que constituye su corazón, es el régimen jurídico que establece para los datos generados por productos conectados y servicios relacionados. Es decir, el Internet de las Cosas (IoT). Todos los sectores, desde el turismo, la agricultura hasta la movilidad, la construcción, la sanidad y la industria aeroespacial se verán afectados.
Su punto de partida no es la propiedad sobre los datos, sino el control de facto de acceso a ellos que tienen los fabricantes y proveedores de cualquier producto y servicio conectado.
Para corregir esta asimetría, el reglamento combina un derecho positivo de acceso en favor del usuario con un derecho limitado de denegación por parte del titular, aspirando a crear un equilibrio que está inspirado en la lógica de la propiedad industrial pero que se complementa con elementos de derecho contractual, competencia y protección de datos.
El objetivo es desbloquear el potencial de la innovación y, al mismo tiempo, evitar monopolios de facto en el acceso a los datos. Sin embargo, como ocurre con todo régimen de nueva implantación, su aplicación llegará con luces y sombras, ya que persisten numerosas dudas interpretativas en torno a aspectos clave de la norma que iremos desgranando.
-
Segundo pilar: Portabilidad en la nube
En segundo pilar busca fomentar la portabilidad en los servicios en la nube. Para ello, el Capítulo VI establece un marco contractual específico que regula el cambio de proveedor. La norma impone determinadas obligaciones a los prestadores de estos servicios con el fin de reducir los llamados efectos de bloqueo (vendor lock-in), que, según los estudios de impacto de la Comisión, se deben tanto a la falta de interoperabilidad técnica entre sistemas como a los altos costes de migración.
La aplicación de este régimen imperativo exigirá, en la práctica, revisar contratos vigentes —en particular las cláusulas sobre resolución anticipada— e incluso replantear determinados modelos de negocio.
-
Tercer pilar: Interoperabilidad en espacios de datos europeos
El tercer pilar que regula el Data Act son los requisitos de interoperabilidad de los espacios comunes europeos de datos y de los mecanismos y servicios de intercambios de datos, incluidos los smart contracts en su Cap. VIII. Es un capítulo de carácter técnico cuyo objetivo es el fomento de la transferibilidad de datos de diferentes fuentes y el uso paralelo de datos por distintos servicios.
Por supuesto, el Reglamento mantiene un alcance horizontal: se aplica a datos personales y no personales en ámbitos que van desde el uso de productos y servicios IoT hasta la compartición obligatoria de datos entre empresas y los servicios de intermediación. Para ello, se coordina con el RGPD, la DGA y con la normativa de consumo y de propiedad intelectual, excluyendo expresamente sectores como defensa y seguridad pública. También anticipa su interacción con los futuros espacios europeos de datos, como el recientemente aprobado Reglamento (UE) 2025/327 sobre el Espacio Europeo de Datos Sanitarios, que comenzará a aplicarse de forma escalonada a partir de 2027.
En definitiva, el Data Act no configura un único régimen uniforme, sino un conjunto de regímenes jurídicos diversos que se añaden a un ecosistema normativo ya complejo, en el que confluyen el derecho de la competencia, el derecho contractual, la protección de datos y la regulación sectorial. A ello suma innovaciones propias, como el régimen sobre cláusulas abusivas en contratos B2B (art. 13) o la posibilidad de que fabricantes y proveedores de IoT introduzcan medidas tecnológicas de protección frente a usos no autorizados (art. 11).
Estas dificultades ya se han reflejado en los debates organizados por la Comisión Europea durante el verano. En dichas reuniones, los participantes señalaron que la fragmentación en la aplicación de las normas en la UE y la superposición de legislación digital generan una notable complejidad para las empresas. Representantes de la industria destacaron problemas de interoperabilidad y de calidad de los datos, así como la necesidad de mayor transparencia y de una definición más clara de los derechos de acceso a los datos de IoT. También reclamaron incentivos para usar los mecanismos de intermediación de datos ya existentes y un mejor acceso a los datos del sector público. Como posibles soluciones, se mencionaron instrumentos de apoyo regulatorio y entornos de prueba (sandboxes), especialmente útiles para que las empresas puedan desenvolverse en un marco normativo tan denso.
La Comisión, a través del Grupo de Expertos debería recomendar, antes del 12 de septiembre, términos y condiciones modelo y cláusulas estándar sobre acceso y uso de datos, incluidas guías sobre la compensación razonable y la protección de secretos empresariales, y sobre contratos de cambio de proveedor y salida (switching) con portabilidad de datos, obligación con la que no ha cumplido y que genera aun mayor incertidumbre sobre la aplicación de un régimen ya de por sí complejo.
En conclusión, el Data Act despliega regímenes jurídicos diferenciados según la materia (desde datos de IoT, nube, interoperabilidad, hasta transferencias internacionales de datos o cláusulas abusivas entre empresas). Se trata de un mosaico normativo que combina desafíos y oportunidades, y cuya complejidad exigirá a empresas, juristas y autoridades un esfuerzo constante de interpretación y adaptación. Precisamente por ello conviene seguirlo de cerca: más allá de las dudas que aún genera, marcará la forma en que los datos se acceden, comparten y aprovechan en Europa y más allá de sus fronteras.
'Check-list express': qué revisar ya
- Inventario de productos/servicios conectados y flujos de datos (qué datos, quién accede, con qué base jurídica y si es necesario un contrato adicional).
- Contratos cloud: portabilidad, terminación, egress/exit plan y cronograma de transición
- Políticas/procesos para solicitudes de acceso y compartición (incluyendo salvaguardas de secretos empresariales, seguridad…).
- Revisión de cláusulas contractuales B2B para detectar y suprimir términos abusivos.
- Preparación para interoperabilidad y participación (o no) en espacios de datos del sector.