El Reglamento de Datos de la UE explicado para compradores de datos

El Reglamento de Datos de la UE es una de las piezas más significativas de la estrategia europea de datos, y cambia el marco en el que se localizan y comparten los datos externos. Esta guía explica qué es, qué exige y qué significa en la práctica para las organizaciones que compran y usan datos, sin la jerga jurídica.

Cobertura en toda la UE. DataSupplier localiza y entrega estos datos en los 27 países de la Unión Europea —incluidos Alemania, Francia, España, Italia, Países Bajos y Polonia— y en el EEE, en el formato y la cadencia que necesite.

Qué es el Reglamento de Datos

El Reglamento de Datos es, formalmente, el Reglamento (UE) 2023/2854 sobre normas armonizadas para un acceso justo a los datos y su uso. Entró en vigor el 11 de enero de 2024 y se aplica desde el 12 de septiembre de 2025, con algunas disposiciones que se incorporan más tarde. Mientras el GDPR rige los datos personales, el Reglamento de Datos aborda el mundo mucho mayor de los datos generados por productos conectados y servicios relacionados, tanto personales como no personales, y las condiciones en las que se puede acceder a ellos y compartirlos.

Por qué existe

El objetivo de la Comisión Europea es una economía de datos más justa y competitiva: dar a los usuarios mayor control sobre los datos que generan sus dispositivos conectados, reducir la dependencia de un único fabricante o proveedor de nube, y permitir que más datos fluyan hacia quienes pueden crear valor con ellos, todo ello protegiendo los datos personales y los secretos comerciales.

Los derechos y obligaciones esenciales

• Acceso a los datos de productos conectados. Los usuarios de productos conectados —desde máquinas industriales hasta vehículos y dispositivos inteligentes— obtienen el derecho a acceder a los datos que genera su uso y a compartirlos con los terceros que elijan.
• Obligaciones de los titulares de datos. Los fabricantes y proveedores de servicios deben poner esos datos a disposición de los usuarios y, a petición, de terceros designados, en condiciones justas, razonables y no discriminatorias.
• Protección frente a cláusulas contractuales abusivas en los acuerdos de intercambio de datos, en particular para las empresas más pequeñas.
• Cambio de nube. El Reglamento facilita el cambio entre proveedores de tratamiento de datos (p. ej., de nube), con tarifas de cambio que se reducen progresivamente.
• Acceso del sector público a los datos en circunstancias excepcionales, como emergencias.

El calendario que importa

La mayoría de las obligaciones se aplican desde el 12 de septiembre de 2025. Algunas llegan más tarde: la obligación de diseñar los nuevos productos conectados para el acceso a los datos se aplica a los productos comercializados a partir de septiembre de 2026, y ciertas disposiciones de interoperabilidad y cambio se incorporan progresivamente hasta 2027. Para los compradores, lo práctico es que el régimen de acceso ya está vigente.

Cómo interactúa con el GDPR

El Reglamento de Datos se aplica tanto a datos personales como no personales, pero no prevalece sobre la legislación de protección de datos. Cuando los datos son personales, el GDPR sigue rigiendo: la base legal, los derechos de los interesados y las normas de transferencia siguen aplicándose. En conjuntos de datos mixtos, ambos marcos operan juntos, y los acuerdos de sourcing deben cumplir cada uno.

Sanciones

La aplicación corresponde a las autoridades nacionales, y los Estados miembros fijan las sanciones por incumplimiento. Para ciertas infracciones pueden ser significativas. Los comentarios sobre el Reglamento apuntan a multas del orden de hasta 20 millones de euros o el 4 % del volumen de negocio anual mundial, reflejando el tramo superior del GDPR. El régimen exacto depende del Estado miembro.

Qué significa para el sourcing de datos externos

Para las organizaciones que compran datos, el Reglamento de Datos es sobre todo una oportunidad. Ahora puede ponerse a disposición más datos generados por productos conectados, y cambiar de proveedor es más fácil. Pero eleva el listón de la documentación: los derechos de acceso, los términos de licencia y la base legal de uso deben estar claros y evidenciados. Un proceso de sourcing bien gestionado, con la información de procedencia, licencias y cumplimiento recogida de forma estándar, es exactamente lo que premia el nuevo entorno.

A quién afecta

El Reglamento de Datos tiene un alcance amplio. Alcanza a los fabricantes de productos conectados comercializados en el mercado de la UE y a los proveedores de servicios relacionados, a los titulares de datos que controlan los datos que esos productos generan, a los usuarios (consumidores y empresas) que los operan, y a los proveedores de servicios de tratamiento de datos como las plataformas de nube y de edge. Es importante que se aplica con independencia de dónde esté establecida una empresa: lo que importa es si el producto o servicio se ofrece a usuarios en la Unión. Las microempresas y pequeñas empresas están exentas de varias obligaciones, y existen normas adaptadas para que la carga recaiga de forma proporcionada.

Para un comprador de datos, la pregunta práctica suele ser qué parte es el titular de los datos del conjunto que desea, y si el usuario cuyo producto los generó puede ordenar que se compartan con usted como tercero. Esa relación triangular —titular, usuario, destinatario— es el mecanismo que crea el Reglamento, y es nuevo.

Los secretos comerciales y los límites del acceso

El derecho a acceder a los datos de productos conectados no es absoluto. El Reglamento lo equilibra con la protección de los secretos comerciales: los titulares pueden exigir medidas proporcionadas para preservar la confidencialidad y, en casos excepcionales, pueden negar o suspender el intercambio cuando la divulgación causaría un grave perjuicio económico. Los datos obtenidos al amparo del Reglamento tampoco pueden usarse para desarrollar un producto directamente competidor. Para los compradores, esto significa que el acceso es real pero condicionado, y los términos contractuales sobre confidencialidad y uso permitido importan tanto como el propio derecho de acceso.

Qué deben preguntar los compradores a los proveedores de datos

Tanto si localiza datos de productos conectados directamente como a través de un socio, una breve lista de due diligence le mantiene sobre terreno firme:

• ¿Quién es el titular de los datos y cuál es la base legal para que se compartan con nosotros?
• ¿Hay datos personales dentro del conjunto y cómo se cumple el GDPR junto con el Reglamento de Datos?
• ¿Cuáles son los términos de confidencialidad y uso permitido, incluida cualquier restricción sobre productos competidores?
• En el caso de datos procedentes de la nube, ¿cumplen los términos de cambio y portabilidad el calendario del Reglamento?
• ¿Qué procedencia y documentación acompañan a los datos?

Errores frecuentes

Se repiten tres malentendidos. Primero, que el Reglamento de Datos sustituye al GDPR: no lo hace; ambos se aplican juntos, y el GDPR prevalece para los datos personales. Segundo, que hace «gratuitos» todos los datos de máquinas: en realidad, el acceso se produce en condiciones justas, razonables y no discriminatorias, y los titulares pueden cobrar a los destinatarios una compensación razonable. Tercero, que nada cambia hasta que aparezca un caso sancionador, cuando en realidad el régimen de acceso se aplica desde septiembre de 2025 y configura lo que puede obtenerse hoy.

Este artículo es información general, no asesoramiento jurídico. Confirme las obligaciones para su situación con asesores cualificados.

Fuentes y lecturas adicionales

• Comisión Europea, Reglamento de Datos, digital-strategy.ec.europa.eu (aplicable desde el 12 de septiembre de 2025).
• EUR-Lex, Reglamento (UE) 2023/2854 (texto completo).
• Comisión Europea, Reglamento de Datos: preguntas frecuentes y materiales de orientación.
• EUR-Lex, Reglamento (UE) 2016/679 (GDPR).