El EU Data Act ya está en vigor ¿cumple tu organización con las nuevas exigencias del Reglamento?

Este artículo ofrece una visión práctica sobre la aplicación del EU Data Act, detallando en qué consiste este nuevo Reglamento y cuáles son las principales obligaciones que impone a las empresas. Asimismo, se describen las acciones que deben implementarse para asegurar el cumplimiento efectivo de dichas obligaciones.

El EU Data Act: Todo lo que necesitas saber sobre el nuevo Reglamento

La Unión Europea ha dado un paso decisivo en la regulación del entorno digital con la entrada en vigor del EU Data Act, una normativa que tendrá un impacto significativo en fabricantes, proveedores de servicios y usuarios de productos conectados o servicios relacionados.

A continuación, te explicamos los aspectos clave de este Reglamento y analizamos cómo puede influir en la operativa de tu empresa.

¿Qué es el EU Data Act y por qué es relevante para tu empresa?

El EU Data Act, en vigor desde el 11 de enero de 2024 y aplicable a partir del 12 de septiembre de 2025, marca un cambio de paradigma en la gestión y acceso a los datos generados por productos conectados y servicios digitales relacionados.

En primer lugar, es importante entender qué se considera un producto conectado. Se trata de cualquier dispositivo que obtenga, genere o recoja datos relativos a su uso o entorno y que, además, pueda comunicar dichos datos. Ejemplos de ello son los relojes inteligentes, los frigoríficos conectados o los ascensores que transmiten información sobre su funcionamiento.

Asimismo, los servicios relacionados hacen referencia a aquellos servicios digitales que están vinculados al funcionamiento del producto conectado. Por ejemplo, una aplicación móvil que permite controlar a distancia un sistema de calefacción inteligente, o una plataforma en la nube que analiza los datos recogidos por sensores de un vehículo para ofrecer recomendaciones de mantenimiento.

El Reglamento reconoce a los usuarios finales —tanto particulares como empresas— el derecho a acceder, utilizar y compartir los datos, sean personales o no personales, generados por estos productos y servicios.

Por tanto, si tu empresa fabrica, introduce o comercializa productos conectados, o si actúa como proveedor de servicios relacionados en el mercado de la UE, este Reglamento te afecta de manera directa, con independencia del lugar donde esté establecida la compañía.

¿Qué obligaciones debe cumplir tu empresa ante el EU Data Act?

Si tu empresa se encuentra dentro del ámbito de aplicación del EU Data Act, es decir, si ostenta el control efectivo sobre el acceso y la gestión de los datos generados por productos conectados o servicios relacionados, resulta imprescindible que comience a prepararse para cumplir con las nuevas obligaciones legales. A continuación, se detallan las principales medidas que deben adoptarse:

Los productos conectados y los servicios relacionados deberán estar diseñados para garantizar que los datos generados, así como los metadatos necesarios para su interpretación, sean accesibles de forma sencilla, segura y gratuita, utilizando un formato estructurado y de uso común. En caso de que el usuario no pueda acceder directamente a estos datos, el titular de los mismos estará obligado a facilitárselos sin demora, asegurando que el acceso se realice con la misma calidad y facilidad que la disponible para el propio titular.

Cabe destacar que, a partir del 12 de septiembre de 2026, todos los nuevos productos conectados y servicios relacionados deberán permitir el acceso directo del usuario a los datos generados, en consonancia con el principio de “acceso por diseño” introducido por el Reglamento.

Por otro lado, antes de formalizar un contrato de compraventa, alquiler o arrendamiento de un producto conectado, la empresa deberá informar al usuario, como mínimo, sobre los siguientes aspectos:

Tipo, formato y volumen estimado de los datos generados.
Si el producto genera datos de forma continua y en tiempo real.
Ubicación y periodo de almacenamiento de los datos.
Modalidades de acceso, extracción o supresión de los datos por parte del usuario, así como las condiciones aplicables.

Asimismo, antes de celebrar un contrato de prestación de un servicio relacionado, será obligatorio informar al usuario, a título ilustrativo que no limitativo, de: (i) Tipo, volumen estimado y frecuencia de recopilación de los datos del producto, (ii) Modalidades de acceso o extracción de los datos, medidas de almacenamiento y duración de la conservación, (iii) Si el proveedor utilizará los datos fácilmente disponibles, con qué finalidad y si los compartirá con terceros, (iv),Identidad y datos de contacto del titular de los datos, así como la dirección geográfica en la que está establecido, etc.

El Reglamento establece un régimen transitorio para la aplicación de sus disposiciones contractuales. Así, para los contratos celebrados a partir del 12 de septiembre de 2025, las obligaciones del Reglamento serán de aplicación inmediata. Sin embargo, para los contratos suscritos el 12 de septiembre de 2025 o antes, las nuevas obligaciones solo serán exigibles a partir del 12 de septiembre de 2027, siempre que se trate de contratos de duración indefinida o cuyo vencimiento esté previsto al menos diez años después del 11 de enero de 2024.

En el marco del nuevo Reglamento Europeo, las empresas que operan con productos conectados y servicios relacionados se ven obligadas a implementar medidas técnicas y organizativas adecuadas para salvaguardar la confidencialidad de los datos y proteger los secretos comerciales.

Adicionalmente, en materia de protección de datos, el EU Data Act no sustituye, sino que complementa las obligaciones ya establecidas por el Reglamento General de Protección de Datos. Por consiguiente, el acceso y uso de datos personales solo será legítimo si se apoya en una base legal válida conforme a la normativa vigente en protección de datos. De este modo, el EU Data Act y el RGPD coexisten y deben aplicarse de forma conjunta para garantizar una protección adecuada de la información.

El EU Data Act introduce importantes novedades para facilitar la transición entre proveedores de servicios en la nube, eliminando barreras técnicas, contractuales y económicas que hasta ahora dificultaban la migración de datos y activos digitales.

En virtud de estas disposiciones, los contratos deberán especificar de manera clara y detallada los derechos del cliente en caso de cambio de proveedor, incluyendo los procedimientos aplicables, los plazos —que no podrán exceder de 30 días naturales para completar la migración—, la asistencia técnica disponible y la eliminación de los datos una vez finalizado el proceso.

Además, a partir del 12 de enero de 2027, los proveedores de servicios de tratamiento de datos no podrán aplicar cargos por el cambio de proveedor; hasta esa fecha, únicamente podrán repercutir costes reducidos y directamente relacionados con la migración. Asimismo, los proveedores estarán obligados a proporcionar documentación suficiente que garantice la portabilidad de los datos y la interoperabilidad entre servicios de distintos proveedores.

Adicionalmente, el EU Data Act refuerza la seguridad durante todo el proceso de migración, exigiendo la adopción de medidas técnicas, organizativas y jurídicas que impidan el acceso o la transferencia internacional ilícita de datos no personales por parte de autoridades de terceros países, salvo que exista un acuerdo internacional o se cumplan estrictos requisitos legales.

En cumplimiento del EU Data Act, las empresas no podrán imponer cargos a los usuarios por el acceso a los datos generados ni por permitir que estos los compartan libremente con terceros de su elección. No obstante, el Reglamento contempla la posibilidad de que, en el marco de relaciones entre empresas, se pueda acordar una compensación económica por la puesta a disposición de dichos datos. En este sentido, para determinar la compensación aplicable, se tendrán en cuenta diversos factores, tales como:

Los costes incurridos para poner los datos a disposición, incluyendo los necesarios para el formateo, la difusión electrónica y el almacenamiento.
Las inversiones realizadas en la recogida y producción de los datos.
El volumen, formato y naturaleza de los datos compartidos.

Con el objetivo de garantizar la transparencia y la equidad en la determinación de estos costes, la Comisión Europea publicará directrices específicas que orientarán el cálculo de la compensación correspondiente.

¿Qué pasa si tu empresa no cumple con el EU Data Act?

El EU Data Act obliga a los Estados miembros de la Unión Europea a establecer un régimen sancionador específico para asegurar el cumplimiento de la normativa. Las autoridades nacionales podrán imponer sanciones proporcionales, efectivas y disuasorias a las empresas que no respeten las obligaciones del Reglamento.

A la hora de fijar las sanciones, se valorarán aspectos como la gravedad y duración de la infracción, los daños causados, los beneficios obtenidos, las medidas adoptadas para corregir la situación y los antecedentes de la empresa. Además, la Comisión Europea mantendrá un registro público de las sanciones y medidas adoptadas por los Estados miembros.

Conclusión

El EU Data Act marca el inicio de una nueva era en la regulación y gestión de datos en la Unión Europea, imponiendo obligaciones claras a fabricantes, titulares de datos y proveedores de servicios relacionados que introduzcan o comercialicen productos conectados, o que presten servicios de tratamiento de datos en el mercado comunitario. Así, la normativa exige garantizar el acceso, la transparencia y la portabilidad de los datos generados, reforzando los derechos de los usuarios y promoviendo un entorno digital más equitativo.

En este contexto, resulta imprescindible que las empresas revisen y actualicen sus procesos internos, contratos y medidas de seguridad, asegurando el cumplimiento del EU Data Act. Anticiparse a estas exigencias no solo permitirá evitar posibles sanciones, sino que también brindará la oportunidad de posicionarse estratégicamente en un mercado digital más abierto, competitivo y orientado al usuario.

Finalmente, para facilitar la comprensión de los plazos y obligaciones establecidos por el EU Data Act, a continuación, se incluye una línea de tiempo que resume de manera visual cuándo entra en aplicación cada uno de los puntos clave del Reglamento.

Artículo elaborado por Marta Llamazares Carreño, senior manager del área NewLaw de PwC Tax & Legal y Andrea Paso Martínez, associate del área NewLaw de PwC Tax & Legal.

Contacta con nosotros

Fernando Fernández-Miranda

Socio responsable de NewLaw Pulse, PwC Tax & Legal

© 2016 - 2025 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.