El Reglamento (UE) 2023/2854, también conocido como “Reglamento de datos” o “Data Act”, entró en vigor en enero de 2024 y es aplicable a partir de septiembre de 2025. Aunque su propósito central es abrir el acceso a los datos generados por productos conectados (tractores, coches, electrodomésticos inteligentes, maquinaria industrial) y romper el monopolio que hasta ahora tenían los fabricantes sobre esa información, lo cierto es que el legislador europeo no se quedó ahí. También decidió facilitar el cambio entre proveedores de servicios de tratamiento de datos para abrir el mercado en la nube en la UE.
Y aquí no puedo no detenerme en la palabra “nube”. La idea de la “nube”, como es sabido, es en gran parte metafórica y de marketing. Sin duda es más fácil de vender que tus datos están siempre accesibles desde cualquier sitio en “la nube” que decir “tus archivos están repartidos en cientos de racks (llamase racks, las estanterías) con discos duros en un hangar refrigerado de Ámsterdam o Virginia o quien sabe dónde”. Pero más allá del marketing, la nube no es un espacio inmaterial donde flotan los datos, sino una infraestructura crítica que necesita reglas claras de competencia, seguridad y soberanía digital.
Esta conexión entre lo etéreo y lo muy tangible se entiende mejor si pensamos en los servicios conectados. Los datos que generan los aparatos conectados (el coche, la lavadora, la televisión) no se quedan en la máquina, sino que viajan a plataformas digitales y muchas veces acaban almacenados y procesados en la nube. Es decir, la nube es la infraestructura “invisible” que sostiene el llamado Internet de las cosas (IoT). Por eso el Data Act regula ambos planos: primero, el acceso a los datos de los productos conectados; y después, la portabilidad y la interoperabilidad de los servicios de nube que gestionan esos mismos datos. Sin la doble regulación, el derecho de acceso quedaría cojo: de nada sirve que el usuario pueda exigir los datos del coche si luego el proveedor de cloud se los retiene o encarece su traslado.
El Data Act impone la obligación de garantizar interfaces y formatos normalizados, de reducir progresivamente los costes asociados a la migración de datos hasta hacerlos desaparecer, y de facilitar un traspaso sin obstáculos técnicos ni contractuales injustificados. En otras palabras: que la nube no sea un cielo cerrado donde es muy fácil entrar, pero del que resulta casi imposible salir sin pagar peaje (es decir, sin pagar los costes que el propio reglamento define como los “costes de salida de datos”). Estos costes se refieren a los gastos que los proveedores de servicios de tratamiento de datos pueden cobrar a los clientes por transferir sus datos a otro proveedor o a una infraestructura de TIC local. El artículo 29 establece que, a partir del 12 de enero de 2027, los proveedores de servicios de tratamiento de datos no podrán imponer ningún coste por cambio. Sin embargo, entre el 11 de enero de 2024 y el 12 de enero de 2027, podrán imponer costes reducidos, que no deben exceder los costes directamente relacionados con el proceso de cambio. Además, los proveedores deben proporcionar información clara sobre estos costes antes de la celebración del contrato.
En definitiva, aunque la parte más comentada del Data Act es la relativa al acceso a los datos de productos conectados, el reglamento también se ocupa de la nube con la misma lógica: evitar posiciones de dominio, favorecer la competencia y garantizar que los usuarios, ya sean empresas o consumidores, puedan ejercer un control real sobre sus datos y servicios digitales.
Camilla Nobili
Abogada Cremades & Calvo Sotelo Abogados
