Ley de datos: lo que los equipos informáticos deben aplicar ahora

La Ley de Datos se aplicará a partir del 12 de septiembre de 2025. Rompe los silos de datos, obliga a fabricantes y operadores a facilitar el acceso a los datos y tiene un profundo impacto en los procesos, desde el IoT a la nube. Te beneficiarás si armonizas desde el principio el inventario de datos, las interfaces y los controles de seguridad.

Breve resumen

  • Aplicable a partir del 12/09/2025, obligación de diseño para nuevos productos a partir del 12/09/2026.
  • Los usuarios reciben acceso a los datos de productos y servicios; la divulgación a terceros es posible previa solicitud. Quedan excluidos los guardianes.
  • Se refuerza el cambio de nube y la multi-nube; se exigen condiciones y tarifas justas.
  • No existe una base jurídica independiente para los datos personales; prevalece el GDPR.
  • La UE recomienda cláusulas contractuales tipo; hay borradores disponibles, finalizados pero aún en proceso de elaboración.

Por qué el tema es relevante ahora

El periodo de gracia finaliza cuando la Ley de Datos entre en vigor el 12 de septiembre de 2025. Las empresas deben facilitar, asegurar contractualmente y proteger técnicamente el acceso a los datos. Los retrasos no sólo afectan al cumplimiento, sino también a los modelos de negocio: En el futuro, el mantenimiento, los servicios posventa y las ofertas basadas en datos dependerán de flujos de datos transparentes y seguros.

Además de la Ley de Datos, la Ley de Ciberresiliencia es otra normativa de la UE que conlleva nuevas obligaciones para los fabricantes y tiene un impacto directo en el funcionamiento seguro de soluciones como el Sophos Firewall.

Qué está cambiando o qué es nuevo

  • Acceso a los datos: Los usuarios de productos en red tienen acceso a los datos brutos y a determinados datos procesados generados durante su uso. Se requiere el suministro directo a terceros previa solicitud. Se excluye como destinatarios a los guardianes según la DMA.
  • Diseño de productos: A partir del 12 de septiembre de 2026, los productos conectados deben diseñarse de forma que los datos estén directamente disponibles de serie.
  • Cambio de nube: La Ley de Datos reduce los efectos de bloqueo, fomenta la multi-nube y regula las condiciones justas al cambiar.
  • Normas contractuales: Los acuerdos de licencia de datos entre propietarios y usuarios pasan a ser obligatorios. La UE publica cláusulas modelo no vinculantes de apoyo.

Resumen técnico

Términos y funciones

  • Propietario de los datos: Entidad con autoridad para acceder a los datos del producto o servicio, a menudo el fabricante u operador. Los proveedores de servicios con responsabilidad operativa también pueden ser propietarios de los datos. En el futuro, deberán establecer procesos que permitan a los usuarios acceder sin demora.
  • Usuarios: Usuarios legítimos del producto o servicio, incluidas las empresas. También se incluyen los operadores de flotas, los agricultores o los clientes finales que trabajan con dispositivos conectados en red. Los usuarios no sólo tienen derecho a la información, sino también derecho directo de acceso a sus datos.
  • Terceros: Receptores de datos autorizados por los usuarios, pero no guardianes. Los terceros pueden ser socios de servicios, talleres independientes, instituciones de investigación o proveedores de software. Deben integrarse mediante interfaces seguras.

Tipos de datos

  • Capturados: Datos de productos y datos de servicios asociados procedentes del uso, incluidos datos de sensores, mensajes de estado, datos de ubicación y metadatos. También se incluyen los registros de datos procesados si están destinados a un uso posterior.
  • No se registran: Datos de contenido, como documentos, imágenes o comunicaciones. Quedan fuera del ámbito de aplicación.
  • Interfaz con el GDPR: A menudo es posible la referencia personal; la Ley de Datos no crea su propia base jurídica. Cualquier divulgación también debe cumplir el GDPR, incluida la verificación de la base jurídica y, si es necesario, el consentimiento.

Interfaces

  • Es preferible el acceso directo; de lo contrario, una provisión normalizada, legible por máquina y, preferiblemente, en tiempo real. Para las empresas, esto significa establecer API, funciones de exportación de datos y procesos claramente documentados. Las comprobaciones de supervisión, autenticación y autorización también forman parte de la arquitectura de la interfaz.

Guía práctica

Preparación

  1. Inventario de datos: Enumera sistemas, productos, sensores y esquemas de datos. Prevé referencias personales, comprueba el grado de agregación. También hay que tener en cuenta las fuentes de datos externas, los sistemas de archivo y los datos de copia de seguridad.
  2. Clasificación: Separar los datos de productos y servicios de los datos de contenido. Asigna una referencia GDPR y una base jurídica por registro de datos. Crea documentación adicional sobre categorías y ciclos de vida.
  3. Contratos: Prepara cláusulas de licencia de datos para contratos nuevos y existentes; comprueba los borradores de TCP y adáptalos si es necesario. Además, crea directrices internas y formación para los gestores de contratos.

Realización

  1. Interfaces: Establecer API o exportación, implementar AuthN/AuthZ, documentar formatos de salida. Proporciona también versiones y entornos de prueba.
  2. Autorización de terceros: establece procesos para las comprobaciones de consentimiento y autorización; integra firmemente las comprobaciones de gatekeeper. Además, utiliza patrones de acceso basados en roles y tokens de tiempo limitado.
  3. Conmutación en la nube: Planificar rutas de conmutación, transferencia de datos y mapeo; definir estrategias multi-nube. Planifica migraciones de prueba y comprobaciones de rendimiento.
  4. Protección de secretos: Evalúa los filtros de secretos comerciales, minimización y seudonimización. Comprueba procedimientos técnicos como el enmascaramiento de datos o la privacidad diferencial.
  5. Gestión de cambios: documenta y comunica los procesos de actualización y cambio de las interfaces.

Validación

  • Casos de prueba: Autoservicio del usuario, liberación de terceros, cancelación, escenarios de error. Incluye también casos de borde y pruebas de carga.
  • Registro: documenta el gasto, los destinatarios, los tiempos y la base legal de forma auditable. Implementa un almacenamiento a prueba de auditorías e informes periódicos.
  • Pruebas de seguridad: pruebas de penetración de API, limitación de velocidad, detección de anomalías. Considera las exploraciones automatizadas de vulnerabilidades y los programas de recompensas por fallos.
  • Controles de cumplimiento: Auditorías internas para garantizar el cumplimiento del GDPR y de la Ley de Datos.

Retroceso y supervisión

  • Ruta de retroceso para versiones incorrectas. Documenta escenarios de recuperación y respuesta a incidentes.
  • Supervisión de las salidas de datos mediante cortafuegos, IDS y SIEM; alertas en caso de desviaciones de volumen o patrón. Además, implanta cuadros de mando en tiempo real y procesos de escalado para los equipos de seguridad.

Recomendaciones y buenas prácticas

Medidas recomendadas

  • Inventario de datos y categorización como paso obligatorio.
  • Enfoque «primero la API» con esquemas coherentes.
  • Consentimiento de mínimo privilegio y finamente granular.
  • Automatiza la comprobación del guardián.
  • Registro y pruebas a prueba de auditorías.
  • Prueba la conmutación multicloud desde el principio.

Tabla de asignación compacta

MidePropósitoNota
Inventario de datosTransparencia y alcanceBase para la auditoría GDPR
Revisión MCTClaridad contractualUtiliza los borradores de la UE, adáptalos localmente
Límites de la tasa APIProtección contra los abusosCombinar en cortafuegos y pasarela API
Filtro GatekeeperConformidadComparación con listas DMA
Reglas de correlación SIEMTrazabilidadIntegración en playbooks existentes
Diseño a partir de 2026Seguridad futuraAcceso directo por diseño

Impacto en Sophos y otras plataformas

  • Política de cortafuegos: Los nuevos puntos finales de datos y las API de administración requieren reglas, inspección TLS tras la evaluación de riesgos, alimentación de amenazas para la detección de anomalías. Además, se recomienda la segmentación en malla cerrada y el uso de reglas de control de aplicaciones para el acceso basado en API.
  • Zero Trust: zonas segmentadas y mTLS para el acceso de terceros. Además, rotación periódica de certificados e integración en los proveedores de identidad existentes para controlar las autorizaciones granulares.
  • SIEM/EDR: Correlaciona los eventos con las publicaciones de datos, especialmente volúmenes o destinatarios inusuales. Los casos de uso ampliados también deben cubrir los errores de API, los intentos de autenticación y las consultas no autorizadas.
  • Nube: Establece controles de salida y listas de comprobación de salida contractuales para los escenarios de conmutación. Además, ten en cuenta la planificación de la capacidad, las pruebas automatizadas de los procesos de salida y las políticas de clasificación y cifrado de datos.
  • Copia de seguridad y archivo: Los datos liberados en virtud de la Ley de Datos deben asegurarse mediante estrategias coherentes de copia de seguridad y archivo. Esto permite la recuperación en caso de liberación incorrecta o uso indebido.
  • Informes: Los equipos informáticos deben crear informes periódicos sobre las salidas de datos y transmitirlos a los niveles de cumplimiento y gestión. Esto garantiza la transparencia y la trazabilidad.

Preguntas más frecuentes

Cómo diferenciar entre datos personales y no personales
Se comprueban los contextos y la vinculabilidad. Los datos de localización y uso suelen ser datos personales. No se divulgan sin una base jurídica GDPR adecuada.

¿Tienes que facilitar datos a todos los terceros?

Sólo a petición del usuario y en cumplimiento de los requisitos. Quedan excluidos los porteros.

¿Cuándo es obligatorio el acceso directo?

Para los nuevos productos y servicios que salgan al mercado a partir del 12/09/2026. Hasta entonces, la prestación debe funcionar bajo pedido.

¿Existen cláusulas modelo?

Sí, la UE está desarrollando MCT no vinculantes y SCC en la nube; hay disponible una declaración del EDPB sobre el borrador.

¿Qué papel desempeña la conmutación en la nube?

La Ley promueve la conmutación y la multi-nube. Las tarifas deben ser justas y no discriminatorias.

Conclusión

La Ley de Datos traslada el control de los datos de productos y servicios al usuario y abre mercados para los servicios relacionados con el mantenimiento, el análisis y la integración. Para los equipos informáticos, esto significa trabajar en tres frentes: Inventario y ley de datos, interfaces seguras y supervisión operativa. Además, surgen nuevas responsabilidades en los ámbitos de la gestión del cumplimiento, la documentación de los procesos y la formación de los empleados. La interacción con los servicios en la nube y la integración en las arquitecturas de seguridad existentes también deben planificarse en una fase temprana. Quienes normalicen, automaticen y apliquen las salvaguardias en una fase temprana reducirán costes y riesgos, al tiempo que se posicionan para futuros desarrollos normativos y nuevos modelos empresariales en un entorno impulsado por los datos.

Fuentes

Patrizio
Patrizio

Patrizio es un experimentado especialista en redes especializado en cortafuegos, conmutadores y puntos de acceso de Sophos. Ayuda a los clientes o a su departamento informático en la configuración y migración de los cortafuegos de Sophos y garantiza una seguridad óptima de la red mediante una segmentación limpia y la gestión de reglas de cortafuegos.

Suscribirse al boletín

Enviamos un boletín mensual con todas las entradas del blog de ese mes.