El gener de 2024, la Unió Europea va fer un pas significatiu en la seva estratègia digital amb l'entrada en vigor del Reglament (UE) 2023/2854, conegut com a Data Act, aprovat el desembre de 2023 i publicat al Diari Oficial el 22 de desembre d'aquell any. Encara que la seva aplicació general està prevista a partir del 12 de setembre de 2025, la normativa ja marca el rumb cap a una economia de dades més justa i accessible.
El reglament estableix obligacions directes per a fabricants de productes connectats (IoT) i proveïdors de serveis digitals, imposant criteris de disseny i transparència que empoderen l'usuari per accedir i compartir les dades generades pels seus dispositius, sempre amb respecte al secret empresarial i la propietat intel·lectual.
Aprofitar el valor generat per les dades
Es tracta d'aconseguir una redistribució més equitativa del valor generat per les dades. Fins ara, gran part de les dades industrials i interaccions amb dispositius connectats romanien en mans de grans empreses, que els utilitzaven per consolidar el seu lideratge i model de negoci.
Amb aquesta nova regulació, tant consumidors com empreses usuàries adquireixen un dret d'accés, fins i tot en temps real, a les dades derivades de l'ús de productes connectats ---com sensors industrials, electrodomèstics intel·ligents o vehicles connectats—, amb la possibilitat de cedir-los a tercers sota condicions justes, raonables i transparents.
Implicacions per a la Internet de les Coses i per a proveïdors de 'cloud'
Aquest canvi normatiu té implicacions profundes per a l'ecosistema IoT. Els fabricants de dispositius connectats hauran de redissenyar-los, assegurant que les dades siguin accessibles directament o mitjançant interfícies clares, i oferint informació prèvia sobre quines dades es recopilen i com poden ser consultats o eliminats.
A més, els proveïdors cloud hauran de facilitar la portabilitat de dades i la capacitat dfe canviar de proveïdor sense traves —l'anomenat cloud switching-, cosa que implica reconfiguracions tècniques i contractuals que ja s'han de preparar des d'avui per evitar sancions, que poden assolir fins a 20 milions d'euros o el 4% del volum de negocis global, d'acord amb l'article 33 de la Data Act. La urgència d'adaptació es tradueix que moltes empreses hauran de revisar contractes, polítiques i arquitectures de dades, no només per garantir el compliment, sinó també per aprofitar les noves oportunitats d'innovació i col·laboració que sorgeixen amb un accés més obert a la informació.
La 'Data Act' i la seva relació amb la IA i l'AI Act
En aquest escenari, no sorprèn que el Reglament (UE) 2024/1689, conegut com a AI Act, entri en joc com a complement necessari. L'AI Act, aprovat el juny de 2024 va entrar en vigor l'1 d'agost de 2024. El seu objectiu és garantir un marc segur, transparent i equitatiu per al desenvolupament i ús de la intel·ligència artificial, establint obligacions en matèria d'avaluació de riscos, transparència, qualitat i control, així com categoritzacions segons nivells de risc (articles 6 a 9 AI Act).
La convergència entre la Data Act i l'AI Act genera zones d'intersecció significatives des d'una perspectiva legal i tecnològica. D'una banda, disposar de dades accessibles i portables des de dispositius IoT, gràcies a la Data Act, és essencial per alimentar models d'IA amb dades rellevants i diverses, garantint que el desenvolupament de sistemes intel·ligents no depengui exclusivament de grans proveïdors amb accés privilegiat.
D'altra banda, l'AI Act imposa límits, especialment en sistemes d'alt risc, que han de tenir en compte la qualitat, robustesa i traçabilitat de les dades utilitzades, assegurant que l'avenç tecnològic vagi acompanyat de responsabilitat i respecte als drets fonamentals.
La regulació i la sobirania digital
Des de la mirada del dret digital, aquest context planteja històries fascinants: la Data Act empodera els generadors de dades (usuaris, empreses) i promou competència i transparència; l'AI Act imposa exigències addicionals segons l'ús algorítmic d'aquestes dades, buscant regular com es processen, interpreten o automatitzen decisions que afecten persones o ecosistemes.
Els dispositius IoT, font primordial de dades, es converteixen en punts crítics: se'ls obliga a ser interoperables, dissenyats per compartir, i a més, les seves dades podrien alimentar sistemes d'IA que han de complir criteris ètics i de seguretat. Ambdues regulacions empenyen cap a una infraestructura digital europea més sobirana, oberta i confiable.
En definitiva, l'entrada en aplicació de la Data Act a partir del 12 de setembre de 2025 redefineix l'accés a les dades del IoT, obligant fabricants i proveïdors a repensar productes, contractes i arquitectures. La progressiva exigibilitat de l'AI Act, amb les seves exigències diferenciades per nivell de risc, afegeix un marc de control i responsabilitat sobre l'ús d'aquestes dades en sistemes intel·ligents.
Juntes, aquestes normes marquen una visió estratègica: Europa no només aspira a ser un mercat digital atractiu, sinó també un model regulador que equilibra innovació, equitat, seguretat i drets fonamentals. La tasca per als operadors i per als juristes és doble: garantir el compliment mentre s'aprofiten les oportunitats per promoure una digitalització ètica i competitiva.