Desde el 12 de Septiembre es de aplicación el Reglamento de Datos UE 2023/2854 (Data Act) el cual, aumenta la capacidad de los titulares de los datos para ejercer un control efectivo sobre los mismos, con el fin de garantizar una mayor transparencia en su tratamiento y consolidar sus derechos de acceso y utilización.
Su objetivo principal es garantizar un acceso y uso justo de los datos generados por productos conectados y servicios relacionados, reforzando los derechos de los usuarios sobre dichos datos y promoviendo la claridad, la competencia y la innovación en la economía del dato en la Unión Europea.
No se crean derechos nuevos para los fabricantes o titulares de datos, su facultad de uso debe estar siempre basada en un contrato transparente con el usuario.
¿Qué es un "producto conectado" y un "servicio relacionado"?
Un producto conectado es cualquier bien físico que obtiene, genera o recoge datos sobre su uso o entorno y que puede comunicarlos mediante servicios de comunicaciones electrónicas, una conexión física o un acceso en el propio dispositivo (un sensor en una cadena de suministro o un equipo de climatización inteligente en un edificio), siempre que su función principal no sea el almacenamiento, tratamiento o transmisión de datos en nombre de terceros.
Un servicio relacionado es aquel servicio digital estrechamente vinculado al producto que permite o amplía sus funciones (una aplicación que centraliza los datos de varios dispositivos, una plataforma de analítica de negocio que se nutre de esos datos), incluyendo software o plataformas que se conectan a dicho producto en el marco de su utilización.
Las novedades que este Reglamento aporta son:
- Derecho al usuario al acceso y uso de todos los datos generados por dispositivos y servicios conectados (IoT, coches, electrodomésticos inteligentes, maquinaria industrial, etc.).
- La portabilidad y compartición de datos con terceros, garantizando que el usuario (particular o empresa) pueda decidir con quién compartir los datos que generan sus dispositivos.
- Evita el monopolio, ya que el compartir los datos, ayuda a que surjan nuevos servicios que puedan competir con los ofrecidos por el "fabricante original". Impulsando de este modo la sana competencia e innovación.
- Facilita el que los clientes puedan cambiar de un proveedor de servicios a otro o que incluso, utilicen varios simultáneamente. Eliminando de este modo que el usuario esté "atrapado" con un mismo proveedor.
- Establece una salvaguarda en cuanto a la transferencia de datos fuera de la UE.
- Declara nulas ciertas cláusulas contractuales abusivas impuestas unilateralmente por una empresa a otra en lo que respecta al acceso y uso de datos.
- Permite que organismos del sector público, la Comisión Europea, el Banco Central Europeo o agencias de la UE soliciten datos (principalmente no personales) a empresas privadas en situaciones de "necesidad excepcional" (por ejemplo, una emergencia pública).
El Data Act es por tanto, la “llave” que da acceso y control sobre la gran cantidad de información que se genera con la interacción digital a través de productos y servicios, impulsando al mismo tiempo, la innovación y la competencia en toda la economía de datos. (Cámaras de videovigilancia inteligentes, alarmas con conexión móvil, sistemas de acceso electrónico, plataformas digitales asociadas a equipos, etc.)
Es una forma de blindar al titular frente al control absoluto que ejercían los fabricantes de dispositivos inteligentes y sistemas conectados, (coches, ascensores, smartwatch, electrodoméstico, etc.) garantizando que los datos no sean solo del fabricante, sino también del usuario, que decide cómo y con quién compartirlos.
¿Qué implica esto para una organización?
Conviene identificar si la organización utiliza equipos y servicios que incorporen capacidad de generación y transmisión de datos, o es proveedora de los mismos.
- En caso de ser usuarios de este tipo de productos, la novedad se traduce en nuevos derechos de acceso y portabilidad de los datos.
- En caso de ser fabricantes o proveedores, será necesario revisar el diseño de los productos, la información precontractual que se facilita a los clientes y los contratos en los que se establezcan condiciones de acceso a los datos.
Pero, para la gran mayoría de las organizaciones usuarias de productos conectados, el impacto práctico inmediato es limitado, pues no exige cambios en las políticas de privacidad, ni en la operativa diaria con datos personales.
Aquí dejamos el enlace al Reglamento completo.
Redactado por Carlota Moreno y Julia Peñamedrano, a fecha 12 de septiembre de 2025.