Ir al contenido
Avanet
Data Act: Qué deben implementar los equipos de TI ahora

Data Act: Qué deben implementar los equipos de TI ahora

8. AGOSTO 2025

El Data Act será aplicable a partir del 12.09.2025. Rompe los silos de datos, obliga a fabricantes y operadores a dar acceso a los datos e interviene profundamente en los procesos, desde IoT hasta la nube. Se beneficia si armoniza el inventario de datos, las interfaces y los controles de seguridad desde el principio.

Resumen breve

  • Aplicabilidad a partir del 12.09.2025, obligación de diseño para nuevos productos a partir del 12.09.2026.
  • Los usuarios reciben acceso a datos de productos y servicios; la transferencia a terceros es posible bajo solicitud. Los gatekeepers están excluidos.
  • Se refuerzan el cambio de nube y la multi-nube; requisitos sobre condiciones justas y tarifas.
  • Sin base legal independiente para datos personales; el RGPD sigue siendo prioritario.
  • La UE recomienda cláusulas contractuales tipo; hay borradores disponibles, la versión final aún está en parte en proceso.

Por qué el tema es relevante ahora

Con el inicio de la aplicación del Data Act el 12.09.2025, finaliza el periodo de gracia. Las empresas deben proporcionar acceso a los datos, asegurarlo contractualmente y protegerlo técnicamente. Los retrasos afectan no solo al cumplimiento, sino también a los modelos de negocio: el mantenimiento, los servicios posventa y las ofertas basadas en datos dependerán en el futuro de flujos de datos transparentes y seguros.

Además del Data Act, con el Cyber Resilience Act entra en vigor otro reglamento de la UE que trae nuevas obligaciones para los fabricantes y tiene efectos directos en el funcionamiento seguro de soluciones como Sophos Firewall.

Qué cambia o qué es nuevo

  • Acceso a datos: Los usuarios de productos conectados reciben acceso a datos brutos y ciertos datos procesados generados durante el uso. A petición, se requiere una provisión directa a terceros. Los gatekeepers según la DMA están excluidos como receptores.
  • Diseño de producto: A partir del 12.09.2026, los productos conectados deben diseñarse de manera que los datos estén disponibles directamente de forma predeterminada.
  • Cambio de nube: El Data Act reduce los efectos de bloqueo, promueve la multi-nube y regula condiciones justas para el cambio.
  • Reglas contractuales: Los acuerdos de licencia de datos entre el titular de los datos y el usuario se vuelven obligatorios. La UE publica cláusulas modelo no vinculantes como apoyo.

Resumen técnico

Términos y Roles

  • Titular de los datos: Entidad con autoridad de acceso a datos de productos o servicios, a menudo el fabricante u operador. También los proveedores de servicios responsables de las operaciones pueden ser titulares de datos. En el futuro, deberán establecer procesos para permitir a los usuarios el acceso sin demora.
  • Usuario: Usuario legítimo del producto o servicio, incl. empresas. Esto también incluye operadores de flotas, agricultores o clientes finales que trabajan con dispositivos conectados. Los usuarios reciben no solo un derecho a la información, sino un derecho inmediato de acceso a sus datos.
  • Tercero: Receptores de datos autorizados por los usuarios, pero no gatekeepers. Los terceros pueden ser socios de servicio, talleres independientes, instituciones de investigación o proveedores de software. Deben integrarse a través de interfaces seguras.

Tipos de datos

  • Incluidos: Datos de productos y datos de servicio asociados del uso, incluidos datos de sensores, mensajes de estado, datos de ubicación y metadatos. También se incluyen conjuntos de datos procesados si están destinados a la reutilización.
  • No incluidos: Datos de contenido como documentos, imágenes o comunicación. Estos permanecen fuera del ámbito de aplicación.
  • Interfaz RGPD: La referencia personal es a menudo posible; el Data Act no crea su propia base legal. Cada divulgación debe realizarse adicionalmente conforme al RGPD, incluida la verificación de la base legal y, si corresponde, el consentimiento.

Interfaces

  • Acceso directo preferido; de lo contrario, provisión estandarizada, legible por máquina y preferiblemente en tiempo real. Para las empresas, esto significa establecer API, funciones de exportación de datos y procesos claramente documentados. La monitorización, autenticación y verificación de autorización también pertenecen a la arquitectura de la interfaz.

Guía práctica

Preparación

  1. Inventario de datos: Listar sistemas, productos, sensores y esquemas de datos. Anticipar referencia personal, verificar niveles de agregación. También deben considerarse fuentes de datos externas, sistemas de archivo y datos de respaldo.
  2. Clasificación: Separar datos de productos y servicios de datos de contenido. Asignar referencia RGPD y bases legales por conjunto de datos. Adicionalmente, crear documentación de categorías y ciclos de vida.
  3. Contratos: Preparar cláusulas de licencia de datos para contratos nuevos y existentes; verificar borradores de MCT y adaptar si es necesario. Complementariamente, crear directrices internas y formación para responsables de contratos.

Implementación

  1. Interfaces: Establecer API o exportación, implementar AuthN/AuthZ, documentar formatos de salida. También proporcionar control de versiones y entornos de prueba.
  2. Autorización de terceros: Establecer procesos para consentimiento o verificación de autorización; integrar firmemente la verificación de gatekeeper. Adicionalmente, utilizar patrones de acceso basados en roles y tokens limitados en el tiempo.
  3. Cambio de nube: Planificar rutas de cambio, transferencia de datos y mapeo; definir estrategias multi-nube. Programar migraciones de prueba y comprobaciones de rendimiento.
  4. Protección de secretos comerciales: Evaluar filtros para secretos comerciales, minimización y seudonimización. Verificar procedimientos técnicos como enmascaramiento de datos o privacidad diferencial.
  5. Gestión de cambios: Documentar y comunicar procesos para actualizaciones y cambios en interfaces.

Validación

  • Casos de prueba: Autoservicio de usuario, liberación a terceros, revocación, escenarios de error. También incluir casos límite y pruebas de carga.
  • Registro: Documentar salidas, destinatarios, tiempos, base legal de manera auditable. Implementar almacenamiento a prueba de auditorías e informes regulares.
  • Pruebas de seguridad: Pruebas de penetración de API, limitación de tasa, detección de anomalías. Considerar escaneos de vulnerabilidades automatizados y programas de recompensas por errores.
  • Verificaciones de cumplimiento: Auditorías internas para asegurar el cumplimiento del RGPD y el Data Act.

Reversión y Monitorización

  • Ruta de reversión en caso de liberaciones erróneas. Documentar escenarios para recuperación y respuesta a incidentes.
  • Monitorización de salidas de datos vía firewall, IDS y SIEM; alertas por desviaciones de volumen o patrón. Adicionalmente, implementar paneles en tiempo real y procesos de escalada para equipos de seguridad.

Recomendaciones y Mejores Prácticas

Medidas recomendadas

  • Inventario y categorización de datos como paso obligatorio.
  • Enfoque API-first con esquemas consistentes.
  • Mínimo privilegio y consentimiento granular fino.
  • Automatizar verificación de gatekeeper.
  • Registro y pruebas a prueba de auditorías.
  • Probar cambio multi-nube temprano.

Tabla de asignación compacta

Medida Propósito Nota
Inventario de datos Transparencia y Alcance Base para verificación RGPD
Revisión MCT Claridad contractual Usar borradores UE, adaptar localmente
Límites de tasa API Protección contra abuso Combinar en firewall y API gateway
Filtro Gatekeeper Cumplimiento Comparación contra listas DMA
Reglas correlación SIEM Trazabilidad Integración en playbooks existentes
Diseño desde 2026 Seguridad futura Acceso directo por diseño

Impacto en Sophos y otras plataformas

  • Política de Firewall: Nuevos puntos finales de datos y API de administración necesitan reglas, inspección TLS tras evaluación de riesgos, Threat Feeds para detección de anomalías. Complementariamente, se recomienda una segmentación estrecha y el uso de reglas de control de aplicaciones para accesos basados en API.
  • Zero Trust: Zonas segmentadas y mTLS para accesos de terceros. Adicionalmente, rotación regular de certificados e integración en proveedores de identidad existentes para controlar permisos granulares.
  • SIEM/EDR: Correlacionar eventos sobre liberaciones de datos, especialmente volúmenes o destinatarios inusuales. Los casos de uso extendidos también deben cubrir errores de API, intentos de autenticación y consultas no autorizadas.
  • Nube: Establecer controles de salida y listas de verificación de salida contractuales para escenarios de cambio. Además, considerar planificación de capacidad, pruebas automatizadas de procesos de salida y políticas para clasificación y cifrado de datos.
  • Respaldo y Archivo: Los datos liberados bajo el Data Act deben estar asegurados por estrategias consistentes de respaldo y archivo. Esto permite una recuperación en caso de liberaciones erróneas o mal uso.
  • Informes: Los equipos de TI deben crear informes regulares sobre salidas de datos y pasarlos a los niveles de cumplimiento y gestión. Esto asegura transparencia y trazabilidad.

Preguntas frecuentes

¿Cómo se distinguen los datos personales de los no personales?

Se verifican contextos y vinculabilidad. Los datos de ubicación y uso a menudo son relacionables con personas. Sin base legal RGPD adecuada, no hay divulgación.

¿Se deben entregar datos a cualquier tercero?

Solo a petición del usuario y cumpliendo los requisitos. Los gatekeepers están excluidos.

¿A partir de cuándo es obligatorio el acceso directo?

Para nuevos productos y servicios que lleguen al mercado a partir del 12.09.2026. Hasta entonces, la provisión bajo solicitud debe funcionar.

¿Existen cláusulas modelo?

Sí, la UE está elaborando MCTs no vinculantes y SCCs para la nube; hay una declaración del EDPB sobre el borrador.

¿Qué papel juega el cambio de nube?

El Act promueve el cambio y la multi-nube. Las tarifas deben ser justas y no discriminatorias.

Conclusión

El Data Act traslada el control sobre los datos de productos y servicios a los usuarios y abre mercados para servicios relacionados con mantenimiento, análisis e integración. Para los equipos de TI, esto significa trabajo en tres frentes: inventario de datos y derecho, interfaces seguras y monitorización operativa. Además, surgen nuevas responsabilidades en las áreas de gestión de cumplimiento, documentación de procesos y formación de empleados. También la interacción con servicios en la nube y la integración en arquitecturas de seguridad existentes deben planificarse con antelación. Quien estandarice, automatice e implemente salvaguardas temprano reduce el esfuerzo y el riesgo y se posiciona simultáneamente para futuros desarrollos regulatorios y nuevos modelos de negocio en el entorno impulsado por datos.

Referencias

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.