15 de Abril de 2026
Data Act e IA en la empresa: riesgos y pasos para adaptarse
Autoría: Juan Feu Desongles
Especialista en cloud computing, ciberseguridad, big data e inteligencia artificial.
Tiempo de lectura: minutos
A muchas empresas el Data Act todavía les suena a norma “para más adelante”, cuando en realidad ya ha empezado a aplicarse en la Unión Europea desde el 12 de septiembre de 2025. Y no es una regulación menor. El Reglamento (UE) 2023/2854 cambia quién puede acceder a los datos generados por productos conectados y servicios relacionados, en qué condiciones pueden compartirse y qué obligaciones técnicas y contractuales deben asumir las organizaciones para hacerlo posible. La Comisión Europea lo presenta, como una norma pensada para dar a usuarios y empresas más control sobre los datos generados por dispositivos conectados, facilitar el intercambio de datos y reducir bloqueos en servicios cloud.
En este artículo veremos qué es y qué implica realmente el Data Act para las empresas, por qué no conviene seguir tratándolo como una norma lejana y qué riesgos puede generar una adaptación tardía o superficial. También repasaremos los principales pasos para prepararse con criterio y revisar decisiones que afectan a contratos, acceso a datos, arquitectura tecnológica, proveedores y proyectos de IA.
¿Qué es y a quien afecta?
El Data Act es el reglamento europeo que establece nuevas reglas sobre el acceso, uso y compartición de los datos generados por productos conectados y servicios relacionados. Su objetivo es dar más control sobre esos datos, facilitar su portabilidad, reducir bloqueos tecnológicos y fijar condiciones más justas en la relación entre fabricantes, proveedores, clientes y terceros que intervienen en ecosistemas digitales.
¿A quien afecta?
Afecta especialmente a fabricantes de dispositivos conectados, proveedores de servicios digitales, empresas que trabajan con plataformas, cloud, IoT o inteligencia artificial, y también a los equipos que toman decisiones sobre contratos, arquitectura tecnológica, interoperabilidad, compras, compliance, gobernanza del dato o transformación digital. Y sí, también puede afectar a pequeñas empresas: no porque todas estén en la misma situación, sino porque el alcance depende en gran medida del papel que desempeñan en la cadena de datos. En la práctica, cualquier organización que genere, utilice, comparta o dependa de datos procedentes de productos y servicios conectados debería revisar cómo se está preparando para este nuevo marco.
El error más común es leer el Data Act como si fuera solo una cuestión jurídica. No lo es. Afecta al diseño del producto, a la arquitectura de datos, a las APIs, a la trazabilidad, a los contratos con proveedores, a la forma de compartir información con terceros y a la capacidad real de cambiar de plataforma sin perder operatividad. La norma obliga a que determinados productos conectados comercializados en la UE estén diseñados para permitir el acceso y la compartición de datos; además, introduce reglas para el cambio entre proveedores de servicios de tratamiento de datos y prohíbe cláusulas contractuales abusivas que obstaculicen ese intercambio.
Riesgos derivados del DATA ACT IA
Pensar que todavía hay margen para esperar
Muchas empresas están tratando el Data Act como una norma relevante, pero no urgente. Ese es el primer error. Aunque no reproduce exactamente el sistema sancionador del RGPD, sí obliga a los Estados miembros a establecer regímenes sancionadores propios, con medidas que sean efectivas, proporcionadas y disuasorias. Es decir, no estamos ante una recomendación ni ante una norma de cumplimiento flexible: habrá control, consecuencias y capacidad de actuación por parte de las autoridades competentes.
El problema es que muchas organizaciones no llegarán al incumplimiento por una decisión consciente, sino por haber reaccionado tarde. Si una empresa no revisa a tiempo cómo accede, organiza, comparte o pone a disposición los datos generados por sus productos o servicios, puede encontrarse con que no tiene base técnica ni contractual para responder cuando la norma ya le exige hacerlo.
No poder garantizar el acceso a los datos
El núcleo del Data Act es claro: los usuarios de productos conectados y servicios relacionados deben poder acceder a los datos que generan y, en determinados casos, compartirlos con terceros. Si la empresa no puede hacerlo de forma real y operativa, no basta con que el derecho exista en contrato o en política interna. Ahí aparecen reclamaciones, conflictos contractuales y un mayor riesgo de incumplimiento.
Seguir negociando como si nada hubiera cambiado
El Data Act también obliga a revisar contratos tecnológicos y acuerdos B2B. Ya no basta con negociar precio, servicio o protección de datos personales: hay que revisar acceso al dato, condiciones de uso, portabilidad, salida del proveedor, transparencia y cláusulas abusivas. Quien no actualice contratos, pliegos y anexos técnicos puede mantener dependencias difíciles de sostener jurídica y operativamente.
Descubrir tarde que la arquitectura no estaba preparada
Uno de los mayores impactos del Data Act está en el diseño técnico. El acceso y la compartición de datos no pueden improvisarse cuando los pide un cliente o un tercero autorizado. Si no existen formatos utilizables, APIs, trazabilidad, control de accesos o mecanismos de exportación viables, la empresa puede verse obligada a rediseñar integraciones, interfaces o incluso partes del producto.
Quedar atrapado en el proveedor
El Reglamento también busca reducir el bloqueo tecnológico y facilitar el cambio entre proveedores de servicios de tratamiento de datos. Esto afecta de forma directa a decisiones sobre cloud, plataformas y ecosistemas de datos, especialmente en organizaciones que han construido su operativa sobre entornos muy cerrados o difíciles de migrar. El problema es que una solución cómoda a corto plazo, puede convertirse en una dependencia costosa si no permite mover datos, servicios o procesos con garantías. Y cuando esa dependencia se consolida, la empresa pierde capacidad de negociación, margen de decisión y autonomía para evolucionar su estrategia tecnológica sin asumir sobrecostes, retrasos o limitaciones operativas.
Cinco pasos para adaptarse al Data Act con criterio
Adaptarse al Data Act no consiste en revisar un contrato o añadir una cláusula. Exige revisar cómo fluye el dato dentro de la organización, quién lo controla, cómo se comparte y hasta qué punto la empresa puede responder de forma real a las nuevas exigencias. Para abordarlo con criterio, conviene avanzar en cinco niveles.
1. Localizar qué datos y qué entornos están realmente afectados
El primer paso es identificar dónde está el dato afectado. No todos los datos de la empresa entran en el mismo escenario, pero sí es imprescindible localizar qué productos conectados, servicios relacionados, plataformas y cadenas de terceros generan, almacenan o controlan información que pueda quedar dentro del ámbito del Data Act.
Este mapa inicial es clave porque permite distinguir qué áreas requieren una revisión prioritaria y cuáles tienen un impacto menor. Sin esa visibilidad, cualquier plan de adaptación corre el riesgo de quedarse en un cumplimiento superficial o mal enfocado.
2. Comprobar si el acceso a los datos es realmente viable
El segundo paso es revisar el modelo de acceso. La pregunta práctica es muy simple: si mañana un usuario o un tercero autorizado solicita acceso a los datos, ¿la empresa puede entregarlos de forma estructurada, trazable y utilizable?
Si la respuesta depende de desarrollos ad hoc, exportaciones manuales o de la intervención del proveedor, existe una debilidad clara. El Data Act empuja justamente en la dirección contraria: acceso oportuno, capacidad real de uso y compartición, y un diseño técnico que no convierta cada solicitud en una excepción difícil de gestionar.
3. Revisar contratos, pliegos y condiciones con terceros
El tercer paso es auditar contratos y pliegos. Aquí hay que revisar condiciones de uso, cláusulas de acceso, límites a la reutilización, obligaciones del proveedor, condiciones económicas, mecanismos de salida, continuidad del servicio y reparto de responsabilidades.
Este punto es especialmente importante porque muchas dependencias no se detectan en la tecnología, sino en lo que ya está firmado. Una empresa puede creer que controla sus datos y descubrir después que tiene restricciones contractuales, costes de salida o condiciones poco equilibradas que limitan su capacidad de actuación. Por eso conviene revisar también los modelos contractuales promovidos por la Comisión como referencia para detectar lagunas y desequilibrios.
4. Reforzar la base técnica que hace posible el cumplimiento
El cuarto paso es reforzar la arquitectura técnica. Aquí entran cuestiones como interoperabilidad, formatos, APIs, control de accesos, logging, trazabilidad y segregación de datos protegidos o sensibles.
Este paso es decisivo porque el Data Act no puede cumplirse solo con una política interna o una cláusula contractual. Necesita soporte técnico real. Si la arquitectura no está preparada para ofrecer acceso, registrar trazabilidad o facilitar portabilidad en condiciones viables, el cumplimiento será débil y costoso de sostener en la práctica.
5. Integrarlo en la gobernanza del dato y de la IA
El quinto paso es incorporar el Data Act a la gobernanza del dato y de la IA. No como un asunto aislado del departamento legal, sino como un criterio de decisión compartido entre negocio, tecnología, compras, compliance y dirección.
La razón es sencilla: la norma afecta a demasiadas capas a la vez como para abordarla de forma parcial. Impacta en producto, en proveedores, en contratos, en arquitectura y en estrategia de datos. Por eso, cuanto antes se incorpore a la toma de decisiones, más fácil será anticipar riesgos, evitar dependencias y convertir la adaptación en una ventaja operativa en lugar de en una corrección forzada.
Adaptarse bien también permite aprovechar mejor el valor de los datos
Prepararse para el Data Act no solo sirve para reducir riesgos. También puede ayudar a las organizaciones a replantear cómo utilizan y comparten los datos que generan sus productos y servicios. En muchos casos, ese proceso de adaptación obliga a revisar activos, relaciones con terceros y capacidades técnicas que hasta ahora no se estaban aprovechando del todo. Y ahí es donde puede aparecer una oportunidad: en la posibilidad de articular mejor la colaboración con clientes, partners o administraciones, diseñar servicios más conectados al uso del dato y posicionarse con más solidez en entornos donde la interoperabilidad, la portabilidad y la transparencia van a ser cada vez más decisivas.
Formarse para aplicar el Data Act con criterio
Entender el Data Act es solo el primer paso. Lo difícil viene después: traducir sus exigencias a decisiones concretas sobre acceso a datos, interoperabilidad, portabilidad, gobierno del dato y relación con proveedores tecnológicos. Ahí es donde muchas organizaciones descubren que no basta con conocer la norma, también necesitan criterios aplicables para llevarla a proyectos reales sin generar sobrecostes o dependencia.
Mi curso sobre Data Act IA está pensado precisamente para cubrir esa distancia entre la norma y la práctica. Es una formación 100 % online, basada en la obtención de competencias profesionales, orientada a quienes necesitan aplicar el Reglamento en contextos reales de transformación digital, datos e inteligencia artificial. No se limita a explicar qué dice la norma, sino que ayuda a interpretar su impacto en proyectos reales, identificar riesgos y trasladar los requisitos del Data Act a decisiones técnicas, contractuales y organizativas. Es una formación útil para quienes no solo necesitan entender qué cambia, sino saber cómo prepararse para actuar con mayor seguridad y criterio.
