Aunque está en vigor desde el 11 de enero de 2024, es este 12 de septiembre cuando comienza a aplicarse el nuevo Reglamento de Datos de la Unión Europea (Data Act, en inglés), pensado para regular un mundo en el que todo está conectado. Una normativa cuyo cumplimiento, avisan los expertos legales, será complejo pero abrirá una ventana a muchas empresas, sobre todo pymes, que quieran jugar en el negocio de la economía basada en datos.
En la sociedad conectada en la que habitamos, cada vez más objetos —desde el móvil a la cafetera, pasando por los semáforos o los trenes, entre muchos otros elementos— están enganchados a la red, generando un volumen inmanejable de datos, que la firma de análisis IDC ya cifraba en 33 zettabytes en 2018 y que alcanzará, según la misma consultora, un volumen de 175 zettabytes este 2025. Fomentar que las empresas, las administraciones públicas y los ciudadanos europeos puedan extraer valor de estos datos, en la actualidad infrautilizados, y generar un PIB europeo adicional al actual de unos 270.000 millones de euros hasta 2028 —y todo ello dentro de un marco de impulso de “economía del dato más competitiva y justa”— es el objetivo de la Unión Europea con su Estrategia de Datos, que engloba acciones legales como el Reglamento de Gobernanza de Datos, presentado en noviembre de 2020 y aprobado por los colegisladores en noviembre de 2021, y el Reglamento de Datos, que entró en vigor el 11 de enero de 2024 pero empieza a aplicarse hoy 12 de septiembre de 2025.
Si bien, como explican desde la Comisión, el primero “crea los procesos y estructuras para facilitar el intercambio de datos por parte de las empresas, los particulares y el sector público”, el segundo “aclara quiénes pueden generar valor a partir de los datos y en qué condiciones”. El nuevo reglamento, por tanto, afecta tanto a los fabricantes de dispositivos conectados (como vehículos, electrodomésticos, maquinaria industrial, etc.) como a los proveedores de servicios cloud, las empresas que procesan o reutilizan datos industriales, aquellas administraciones públicas que precisen utilizar datos para responder a emergencias y, por último, a los consumidores y usuarios finales, que con esta normativa suman nuevos derechos sobre los datos que generan.
Retos del cumplimiento de la ‘Data Act’
El cumplimiento de este nuevo marco legal, según explica a COMPUTERWORLD el experto Miguel Recio, presidente de la APEP·IA (Asociación Profesional Española de Privacidad e Inteligencia Artificial), puede ser “complejo” al tener “algunos solapamientos con otra normativa clave aprobada hace casi una década, como es el Reglamento General de Protección de Datos (RGPD), que regula exclusivamente el manejo de los datos personales” y al que la UE dio luz verde en 2016, aunque su aplicación efectiva en las empresas y organizaciones comenzó en mayo de 2018.
“El nuevo Reglamento de Datos tiene mayor alcance que el ya instaurado RGPD: afecta a todos aquellos que traten datos, sean estos personales o no, aunque, obviamente, los personales deberían seguir rigiéndose por el RGPD; así que la complejidad de cumplir la nueva normativa viene precisamente de la interpretación que hay que realizar de forma conjunta con el reglamento de datos personales”, continúa el experto, que recuerda que si el cumplimiento del RGPD sigue dando problemas en muchas organizaciones, es previsible que el del nuevo también los dé. “No es nada fácil aplicar esta normativa en la práctica; yo recomendaría a las empresas y administraciones que cuenten con profesionales legales especializados en estos asuntos para garantizar el cumplimiento”.
Por otro lado, añade Recio, aunque la nueva Data Act es un reglamento y, por tanto, es directamente aplicable y vinculante en todos los Estados miembros de la Unión desde su entrada en vigor, la realidad es que estos deben establecer normas nacionales para establecer aspectos como quién es la autoridad competente de controlar el cumplimiento y de ejecutar las sanciones previstas en la nueva normativa. “Aquí, en España, también en otros países del marco de la Unión, vamos con retraso y aún no hay un borrador del proyecto de ley que se debería aprobar en el país para aplicar de verdad la nueva Data Act”, indica Recio. Por tanto, añade, “aunque la obligación de cumplir el nuevo reglamento está ahí, lo cierto es que, como aún no existe la necesaria ley nacional, si una empresa lo incumple, puede que no se le sancione”.
En realidad, cuenta el presidente de la APEP·IA, nada nuevo bajo el sol, “pues es el mismo caso de otras normativas europeas como la directiva de ciberseguridad NIS2, que aún no se ha traspuesto al mercado nacional, o el Reglamento de IA, cuyo proyecto de ley aún no ha llegado al Congreso español”. Una situación que, argumenta, “podría llevar a acarrear a España una sanción, algo que la UE, de momento, está evitando al haber más países retrasados en abordar sus acciones legales nacionales”.
Tsunami normativo europeo
Pero… ¿están las empresas preparadas para el nuevo Reglamento de Datos de la UE? Preguntado sobre este aspecto, el portavoz reconoce que “las empresas, en la UE, están siendo sometidas a todo un tsunami normativo, que les genera tensión al no haber un engranaje perfecto entre los nuevos reglamentos”. Un aspecto que, asegura, espera que se solvente con el tiempo.
Desde luego, traerá consigo en especial nuevos retos para, entre otros jugadores del mercado de TI, los proveedores de servicios cloud como AWS, Microsoft y Google Cloud, que están obligados a facilitar la interoperabilidad y la portabilidad de datos entre servicios en la nube y facilitar a los usuarios el cambio de proveedor.
La Comisión subraya, no obstante, que gracias a la Data Act, se empoderará tanto a las empresas como a los consumidores para que accedan, usen y compartan los datos generados por los dispositivos que poseen o utilizan; se evitará que haya monopolios de datos, al limitar el control exclusivo de los fabricantes sobre los datos generados por sus productos; se protegerá a las pymes frente a cláusulas contractuales abusivas impuestas por grandes actores tecnológicos; y se permitirá al sector público acceder a datos en situaciones excepcionales, como emergencias o catástrofes.
Fuente: Computerworld

