Ir al contenido
Avanet
Data Act: qué deben implementar ahora los equipos de TI

Data Act: qué deben implementar ahora los equipos de TI

El Data Act será aplicable a partir del 12.09.2025. Rompe silos de datos, obliga a fabricantes y operadores a proporcionar acceso a los datos e incide profundamente en procesos que van desde IoT hasta la nube. Quien armonice pronto el inventario de datos, las interfaces y los controles de seguridad parte con ventaja.

Resumen breve

  • Aplicable a partir del 12.09.2025; obligación de diseño para nuevos productos desde el 12.09.2026.
  • Los usuarios obtienen acceso a datos de producto y de servicio; la cesión a terceros es posible previa solicitud. Los gatekeepers están excluidos.
  • Se refuerzan el cloud switching y la multi-cloud; hay requisitos sobre condiciones y tarifas justas.
  • No crea una base jurídica independiente para datos personales; el RGPD sigue teniendo prioridad.
  • La UE recomienda cláusulas contractuales tipo; existen borradores, aunque algunos textos finales aún están en desarrollo.

Por qué el tema es relevante ahora

Con el inicio de la aplicación del Data Act el 12.09.2025, termina el periodo de transición. Las empresas deben proporcionar accesos a datos, cubrirlos contractualmente y protegerlos técnicamente. Los retrasos afectan no solo al cumplimiento, sino también a los modelos de negocio: mantenimiento, servicios posventa y ofertas basadas en datos dependerán en adelante de flujos de datos transparentes y seguros.

Además del Data Act, el Cyber Resilience Act introduce otra regulación de la UE que trae nuevas obligaciones para los fabricantes y tiene efectos directos en la operación segura de soluciones como Sophos Firewall.

Qué cambia o qué es nuevo

  • Acceso a datos: los usuarios de productos conectados obtienen acceso a datos brutos y a determinados datos tratados que se generan durante el uso. A petición, debe habilitarse la entrega directa a terceros. Los gatekeepers según la DMA quedan excluidos como destinatarios.
  • Diseño de producto: a partir del 12.09.2026, los productos conectados deben diseñarse de forma que los datos estén disponibles directamente por defecto.
  • Cloud switching: el Data Act reduce los efectos de lock-in, fomenta la multi-cloud y regula condiciones justas para el cambio.
  • Reglas contractuales: los contratos de licencia de datos entre el titular de los datos y el usuario pasan a ser obligatorios. La UE publica cláusulas modelo no vinculantes como apoyo.

Resumen técnico

Términos y roles

  • Titular de los datos: entidad con control de acceso sobre datos de producto o de servicio, a menudo el fabricante u operador. También los proveedores que tienen responsabilidad operativa pueden ser titulares de datos. En adelante deberán establecer procesos para permitir a los usuarios el acceso sin demora.
  • Usuario: usuario legítimo del producto o servicio, incluidas empresas. Esto incluye también operadores de flotas, agricultores o clientes finales que trabajan con dispositivos conectados. Los usuarios no solo obtienen un derecho de información, sino un derecho directo de acceso a sus datos.
  • Tercero: destinatarios de los datos autorizados por los usuarios, pero no gatekeepers. Pueden ser partners de servicio, talleres independientes, instituciones de investigación o proveedores de software. Deben integrarse mediante interfaces seguras.

Tipos de datos

  • Incluidos: datos de producto y datos de servicio asociados derivados del uso, incluidos datos de sensores, mensajes de estado, datos de ubicación y metadatos. También se incluyen conjuntos de datos tratados cuando estén destinados a la reutilización.
  • No incluidos: datos de contenido como documentos, imágenes o comunicaciones. Permanecen fuera del ámbito de aplicación.
  • Interfaz con el RGPD: a menudo puede existir una relación con personas identificables; el Data Act no crea una base jurídica propia. Cada entrega debe ser además conforme al RGPD, incluida la comprobación de la base jurídica y, en su caso, del consentimiento.

Interfaces

  • Se prefiere el acceso directo; en caso contrario, una puesta a disposición estandarizada, legible por máquina y, si es posible, en tiempo real. Para las empresas, esto implica crear API, funciones de exportación de datos y procesos claramente documentados. La monitorización, la autenticación y la comprobación de autorizaciones también forman parte de la arquitectura de interfaces.

Guía práctica

Preparación

  1. Inventario de datos: listar sistemas, productos, sensores y esquemas de datos. Anticipar posibles datos personales y comprobar los niveles de agregación. También deben considerarse fuentes de datos externas, sistemas de archivo y datos de backup.
  2. Clasificación: separar datos de producto y de servicio de los datos de contenido. Asignar relación con el RGPD y bases jurídicas por conjunto de datos. Además, documentar categorías y ciclos de vida.
  3. Contratos: preparar cláusulas de licencia de datos para contratos nuevos y existentes; revisar los borradores de MCT y adaptarlos si es necesario. Complementar con directrices internas y formación para responsables contractuales.

Implementación

  1. Interfaces: establecer una API o exportación, implementar AuthN/AuthZ y documentar los formatos de salida. También proporcionar versionado y entornos de prueba.
  2. Autorización de terceros: establecer procesos para consentimiento o comprobación de autorización; integrar de forma fija la verificación de gatekeepers. Además, utilizar patrones de acceso basados en roles y tokens con caducidad.
  3. Cloud switching: planificar rutas de cambio, transferencia de datos y mapeo; definir estrategias multi-cloud. Prever migraciones de prueba y comprobaciones de rendimiento.
  4. Protección de secretos comerciales: evaluar filtros para secretos comerciales, minimización y seudonimización. Revisar procedimientos técnicos como data masking o differential privacy.
  5. Gestión de cambios: documentar y comunicar procesos para actualizaciones y cambios en interfaces.

Validación

  • Casos de prueba: autoservicio de usuario, cesión a terceros, revocación y escenarios de error. Incluir también casos límite y pruebas de carga.
  • Registro: documentar de forma auditable entregas, destinatarios, momentos y base jurídica. Implementar almacenamiento trazable e informes periódicos.
  • Pruebas de seguridad: pruebas de penetración de API, rate limiting y detección de anomalías. Considerar escaneos automáticos de vulnerabilidades y programas de bug bounty.
  • Verificaciones de cumplimiento: auditorías internas para asegurar la conformidad con el RGPD y el Data Act.

Rollback y monitorización

  • Ruta de rollback en caso de entregas erróneas. Documentar escenarios de recuperación y respuesta a incidentes.
  • Monitorización de flujos de salida de datos mediante firewall, IDS y SIEM; alertas ante desviaciones de volumen o patrón. Además, implementar dashboards en tiempo real y procesos de escalado para equipos de seguridad.

Recomendaciones y buenas prácticas

Medidas recomendadas

  • Inventario y categorización de datos como paso obligatorio.
  • Enfoque API-first con esquemas consistentes.
  • Least privilege y consentimiento granular.
  • Automatizar la verificación de gatekeepers.
  • Logging y evidencias auditables.
  • Probar pronto el cambio multi-cloud.

Tabla de asignación compacta

MedidaFinalidadNota
Inventario de datosTransparencia y alcanceBase para la revisión RGPD
Revisión de MCTClaridad contractualUsar borradores de la UE y adaptarlos localmente
API rate limitsProtección contra abusosCombinar en firewall y API gateway
Filtro de gatekeepersCumplimientoComparación con listas DMA
Reglas de correlación SIEMTrazabilidadIntegración en playbooks existentes
Diseño desde 2026Seguridad futuraAcceso directo by design

Impacto en Sophos y otras plataformas

  • Política de firewall: los nuevos endpoints de datos y las API de administración necesitan reglas, TLS inspection tras una evaluación de riesgos y Threat Feeds para detectar anomalías. Además, se recomienda una segmentación estrecha y el uso de reglas de Application Control para accesos basados en API.
  • Zero Trust: zonas segmentadas y mTLS para accesos de terceros. Además, rotación periódica de certificados e integración con proveedores de identidad existentes para controlar permisos granulares.
  • SIEM/EDR: correlacionar eventos de cesión de datos, especialmente volúmenes o destinatarios inusuales. Los casos de uso ampliados también deben cubrir errores de API, intentos de autenticación y consultas no autorizadas.
  • Cloud: establecer controles de egress y listas de comprobación contractuales de salida para escenarios de cambio. Además, considerar planificación de capacidad, pruebas automatizadas de procesos de salida y políticas para clasificación y cifrado de datos.
  • Backup y archivo: los datos cedidos en virtud del Data Act deben estar protegidos por estrategias coherentes de backup y archivo. Esto permite la recuperación en caso de entregas erróneas o abuso.
  • Reporting: los equipos de TI deben elaborar informes periódicos sobre flujos de salida de datos y remitirlos a los niveles de compliance y management. Así se garantiza transparencia y trazabilidad.

Preguntas frecuentes

¿Cómo se distinguen los datos personales de los no personales?

Se revisan los contextos y la posibilidad de vinculación. Los datos de ubicación y uso a menudo pueden relacionarse con personas. Sin una base jurídica adecuada según el RGPD, no debe haber entrega.

¿Se deben entregar datos a cualquier tercero?

Solo a petición del usuario y cumpliendo los requisitos. Los gatekeepers están excluidos.

¿A partir de cuándo es obligatorio el acceso directo?

Para nuevos productos y servicios que salgan al mercado a partir del 12.09.2026. Hasta entonces, debe funcionar la puesta a disposición previa solicitud.

¿Existen cláusulas modelo?

Sí, la UE está elaborando MCT no vinculantes y SCC para la nube; existe una declaración del EDPB sobre el borrador.

¿Qué papel juega el cambio de nube?

El Data Act fomenta el cambio de proveedor y la multi-cloud. Las tarifas deben ser justas y no discriminatorias.

Conclusión

El Data Act desplaza el control sobre los datos de producto y de servicio hacia los usuarios y abre mercados para servicios de mantenimiento, análisis e integración. Para los equipos de TI, esto significa trabajar en tres frentes: inventario de datos y marco legal, interfaces seguras y monitorización operativa. Además, surgen nuevas responsabilidades en gestión de compliance, documentación de procesos y formación de empleados. También deben planificarse pronto la interacción con servicios cloud y la integración en arquitecturas de seguridad existentes. Quien estandarice, automatice e incorpore salvaguardas desde el principio reduce esfuerzo y riesgo, y se posiciona mejor para futuros desarrollos regulatorios y nuevos modelos de negocio en un entorno impulsado por datos.

Referencias

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.