La “Data Act” y su reciente aplicabilidad directa en la UE
El Reglamento sobre normas armonizadas para un acceso y uso justo de los datos (UE) 2023/2854, más conocida como “Data Act”, que entró en vigor en enero de 2024, es directamente aplicable desde el pasado 12 de septiembre de 2025 en todos los Estados Miembros de la Unión Europea.
Este Reglamento tiene como finalidad la regulación del acceso y uso de los datos generados por dispositivos conectados y servicios digitales asociados, como dispositivos IoT, maquinaria industrial o vehículos y electrodomésticos inteligentes. Descansa sobre el principio de que el usuario de un dispositivo tiene derecho a acceder a los datos que este genera y compartirlos con terceros para que puedan utilizar esos datos para prestar su servicio al usuario.
Aunque es una normativa intersectorial, los principales sujetos obligados serán las compañías que fabriquen o comercialicen productos que generan datos y los proveedores de aplicaciones o software que permiten su funcionamiento. Hasta ahora, los datos generados permanecían bajo su control exclusivo lo que, además de limitar los derechos de los usuarios, reducía la competencia y la innovación en el mercado europeo.
En cuanto los secretos empresariales, no es la intención de la Data Act el forzar a las empresas a revelarlos, pudiendo estas oponerse a compartir los datos si previamente justifica, con base en elementos objetivos, que dicha divulgación entrañaría perjuicios económicos graves. Para ello, la norma establece mecanismos que permiten garantizar la preservación de la confidencialidad frente a terceros, adoptando una serie de medidas técnicas y organizativas de forma anticipada.
Con respecto a la autoridad de control que se encargará de supervisar su cumplimiento, será competencia de cada Estado Miembro su designación. En España esta designación aún está pendiente, pero dado que la norma ya es directamente aplicable, no es descartable que otra autoridad de control como la Agencia Española de Protección de Datos (AEPD) entre a analizar su cumplimiento de forma subsidiaria en el momento en que se vean afectados datos personales. Estas sinergias son precisamente las que hacen que la Data Act se entienda como complementario al Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), el cual prevalecerá en caso de conflicto.
En cuanto a su incumplimiento, las sanciones son igual de severas que las que impone el RGPD, pudiendo alcanzar los 20 millones de euros o el 4% del volumen de negocios global para las muy graves.
En el área de consultoría de Forvis Mazars, estamos a vuestra disposición para resolver cualquier cuestión relacionada con las diferentes normativas europeas que regulan el tratamiento de los datos y acompañar a su empresa, de la mano de un equipo multidisciplinar, en el cumplimiento y adecuación a dichas normativas.
Want to know more?