En enero de 2024, la Unión Europea dio un paso significativo en su estrategia digital con la entrada en vigor del Reglamento (UE) 2023/2854, conocido como Data Act, aprobado en diciembre de 2023 y publicado en el Diario Oficial el 22 de diciembre de ese año. Aunque su aplicación general está prevista a partir del 12 de septiembre de 2025, la normativa ya marca el rumbo hacia una economía de datos más justa y accesible.
El reglamento establece obligaciones directas para fabricantes de productos conectados (IoT) y proveedores de servicios digitales, imponiendo criterios de diseño y transparencia que empoderan al usuario para acceder y compartir los datos generados por sus dispositivos, siempre con respeto al secreto empresarial y la propiedad intelectual.
Aprovechar el valor generado por los datos
Se trata de lograr una redistribución más equitativa del valor generado por los datos. Hasta ahora, gran parte de los datos industriales e interacciones con dispositivos conectados permanecían en manos de grandes empresas, que los utilizaban para afianzar su liderazgo y modelo de negocio.
Con esta nueva regulación, tanto consumidores como empresas usuarias adquieren un derecho de acceso, incluso en tiempo real, a los datos derivados del uso de productos conectados ---como sensores industriales, electrodomésticos inteligentes o vehículos conectados—, con la posibilidad de cederlos a terceros bajo condiciones justas, razonables y transparentes.
Implicaciones para el Internet de las Cosas y para proveedores de 'cloud'
Este cambio normativo tiene implicaciones profundas para el ecosistema IoT. Los fabricantes de dispositivos conectados tendrán que rediseñarlos, asegurando que los datos sean accesibles directamente o mediante interfaces claras, y ofreciendo información previa sobre qué datos se recopilan y cómo pueden ser consultados o eliminados.
Además, los proveedores cloud deberán facilitar la portabilidad de datos y la capacidad de cambiar de proveedor sin trabas —el llamado cloud switching—, lo que implica reconfiguraciones técnicas y contractuales que ya deben prepararse desde hoy para evitar sanciones, que pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocios global, de acuerdo con el artículo 33 de la Data Act. La urgencia de adaptación se traduce en que muchas empresas deberán revisar contratos, políticas y arquitecturas de datos, no solo para garantizar el cumplimiento, sino también para aprovechar las nuevas oportunidades de innovación y colaboración que surgen con un acceso más abierto a la información.
La 'Data Act' y su relación con la IA y la 'AI Act'
En este escenario, no sorprende que el Reglamento (UE) 2024/1689, conocido como AI Act, entre en juego como complemento necesario. La AI Act, aprobado en junio de 2024 entró en vigor el 1 de agosto de 2024. Su objetivo es garantizar un marco seguro, transparente y equitativo para el desarrollo y uso de la inteligencia artificial, estableciendo obligaciones en materia de evaluación de riesgos, transparencia, calidad y control, así como categorizaciones según niveles de riesgo (artículos 6 a 9 AI Act).
La convergencia entre la Data Act y la AI Act genera zonas de intersección significativas desde una perspectiva legal y tecnológica. Por un lado, disponer de datos accesibles y portables desde dispositivos IoT, gracias a la Data Act, es esencial para alimentar modelos de IA con datos relevantes y diversos, garantizando que el desarrollo de sistemas inteligentes no dependa exclusivamente de grandes proveedores con acceso privilegiado.
Por otro lado, la AI Act impone límites, especialmente en sistemas de alto riesgo, que deben tener en cuenta la calidad, robustez y trazabilidad de los datos utilizados, asegurando que el avance tecnológico vaya acompañado de responsabilidad y respeto a los derechos fundamentales.
La regulación y la soberanía digital
Desde la mirada del derecho digital, este contexto plantea historias fascinantes: la Data Act empodera a los generadores de datos (usuarios, empresas) y promueve competencia y transparencia; la AI Act impone exigencias adicionales según el uso algorítmico de esos datos, buscando regular cómo se procesan, interpretan o automatizan decisiones que afectan a personas o ecosistemas.
Los dispositivos IoT, fuente primordial de datos, se convierten en puntos críticos: se los obliga a ser interoperables, diseñados para compartir, y además, sus datos podrían alimentar sistemas de IA que deben cumplir con criterios éticos y de seguridad. Ambas regulaciones empujan hacia una infraestructura digital europea más soberana, abierta y confiable.
En definitiva, la entrada en aplicación de la Data Act a partir del 12 de septiembre de 2025 redefine el acceso a los datos del IoT, obligando a fabricantes y proveedores a repensar productos, contratos y arquitecturas. La progresiva exigibilidad de la AI Act, con sus exigencias diferenciadas por nivel de riesgo, añade un marco de control y responsabilidad sobre el uso de esos datos en sistemas inteligentes.
Juntas, estas normas marcan una visión estratégica: Europa no solo aspira a ser un mercado digital atractivo, sino también un modelo regulatorio que equilibra innovación, equidad, seguridad y derechos fundamentales. La tarea para los operadores y para los juristas es doble: garantizar el cumplimiento mientras se aprovechan las oportunidades para promover una digitalización ética y competitiva.