La gestión de datos personales y no personales atraviesa hoy todos los sectores económicos: desde la automoción hasta la salud digital. En un escenario en el que cada dispositivo conectado genera información valiosa, la UE ha apostado por un marco regulatorio que garantice transparencia, acceso justo y competencia leal.
Qué cambia con el Data Act
El reglamento no crea una base jurídica nueva, sino que refuerza derechos ya existentes: complementa la portabilidad del art. 20 RGPD el acceso del art. 15 RGPD. La clave está en que ahora las empresas deben garantizar:
- Acceso inmediato y gratuito de los usuarios a los datos generados por dispositivos (ej. un coche conectado que comparte datos de consumo o mantenimiento).
- Portabilidad real en la nube, sin trabas técnicas ni comerciales (ej. migrar de un proveedor cloud a otro sin costes ocultos ni formatos incompatibles).
- Prohibición de cláusulas abusivas y mayor transparencia sobre la ubicación de los datos, reforzando el equilibrio en el mercado frente a posiciones de abuso dominante.
Esto exige, esencialmente, que las compañías definan protocolos internos eficaces (importante resaltar la eficiencia), con medidas oportunas: plazos claros de respuesta, responsables designados, autenticación segura y mecanismos de salvaguarda. Cuando entren en juego secretos comerciales o derechos de terceros, se recomiendan fórmulas como las “clean rooms” en lugar de negar el acceso de forma general.
Data by design: el paralelismo con el RGPD
El Data Act introduce el principio de data by design, que recuerda al privacy by design del RGPD: las obligaciones de acceso, portabilidad e interoperabilidad deben pensarse desde el diseño del producto o servicio y durante todo su ciclo de vida.
Esto implica que fabricantes y proveedores no solo deben abrir sus sistemas a los usuarios, sino hacerlo con garantías técnicas y organizativas desde el inicio y mantener ese compromiso monitorizando sus sistemas y permaneciendo atentos a los avances en el estado de la técnica.
En la práctica, supone que un fabricante de electrodomésticos inteligentes deberá prever, desde la fase de desarrollo, cómo ofrecer al usuario acceso en tiempo real a los datos de uso, o que una empresa de software cloud tendrá que estructurar sus servicios para que la migración a otro proveedor sea técnicamente viable y contractual y económicamente justa.
Consecuencias para empresas y usuarios
Por tanto, es fundamental entender que el Data Act no otorga “propiedad” de los datos al usuario, pero sí rompe el bloqueo de acceso que mantenían ciertas dependencias tecnológicas, impulsando un mercado de datos más dinámico y competitivo.
Para las empresas, la consecuencia es clara: será necesario auditar y adaptar sistemas, contratos y procesos internos para cumplir con las nuevas exigencias regulatorias.
En resumen, el Data Act no solo refuerza derechos existentes, sino que convierte en obligación práctica requisitos exigentes como la portabilidad efectiva, interoperabilidad garantizada y relaciones más equilibradas en el ecosistema digital europeo.
Si tienes cualquier tipo de duda, puedes escribirnos a contacto@metricson.com y las resolveremos.
Artículo escrito por:
Abogado especialista en privacidad y contratación tecnológica
Sobre Metricson
Metricson es una firma líder en servicios legales orientados a empresas innovadoras y tecnológicas, con una sólida especialización en privacidad y seguridad. Desde su fundación en 2009, hemos brindado asesoramiento a más de 1.400 clientes de 15 países diferentes, entre los que se encuentran startups, inversores, grandes empresas, universidades, instituciones y gobiernos. Además, en Metricson somos expertos en identificar y gestionar brechas de seguridad en las empresas, ayudándolas a protegerse frente a riesgos y amenazas.
Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!
