El Reglamento (UE) 2023/2854 (Data Act) es de aplicación desde el 12 de septiembre de 2025. Regula el acceso y reutilización de datos generados por productos conectados, los contratos B2B sobre datos, la portabilidad entre proveedores cloud y la disponibilidad de datos para organismos públicos. La interacción con la IA aparece en cuatro frentes.
Los artículos 3 a 6 obligan al fabricante de productos conectados a poner los datos generados a disposición del usuario y, a petición de este, de un tercero. Esto cambia la economía del entrenamiento de modelos: el fabricante deja de tener exclusividad sobre los datos de uso de sus dispositivos. Para una empresa que entrena IA con datos de productos propios, eso obliga a renegociar lo que es exclusivo.
Para una empresa que recibe datos de un tercer fabricante (por ejemplo, un servicio de mantenimiento predictivo), aparece una vía nueva de obtención lícita de datos. La calidad de esa vía depende de cláusulas razonables, no abusivas (artículo 13).
El artículo 13 prohíbe cláusulas contractuales abusivas en relaciones B2B sobre datos cuando una parte tiene posición dominante. La Comisión publica modelos de cláusulas. Para contratos de IA esto significa que cláusulas tipo "todos los datos generados pertenecen al proveedor sin contraprestación" o "la salida del modelo se puede usar para reentrenar sin restricción" pueden ser nulas.
La práctica recomendada al firmar un contrato de IA: distinguir explícitamente entre datos del cliente, salidas del modelo, modelo afinado y derechos de uso para reentrenamiento. Sin esa distinción explícita, el Data Act introduce ambigüedad que ninguna parte controla.
Los artículos 23 a 31 obligan a los proveedores de servicios de tratamiento de datos (cloud, IA gestionada) a facilitar el cambio a otro proveedor. Esto incluye eliminar barreras técnicas, contractuales, comerciales y económicas. Las tarifas de salida deben reducirse progresivamente y eliminarse en tres años desde la entrada en vigor.
Para una empresa que despliega IA en cloud, esto cambia la estrategia de exit plan exigida por DORA y por la Ley de IA. La portabilidad pasa de ser solo un objetivo de gobernanza a un derecho legal exigible al proveedor.
El Data Act se centra en datos no personales y datos mixtos generados por productos. El RGPD sigue prevaleciendo cuando los datos son personales. La Ley de IA fija obligaciones sobre los sistemas que procesan esos datos. Las tres normas no se sustituyen; coexisten con criterios distintos de aplicación.
Práctica operativa: cualquier flujo de datos que entre en un sistema de IA debe documentarse con tres etiquetas (origen Data Act / RGPD / mixto), base jurídica si aplica, y cláusula contractual de uso. Esto convierte una pregunta del regulador en una consulta a base de datos en lugar de una investigación archivística.
Ready to scope your project? Submit a short brief and we reply within one business day.
Cuéntanos qué quieres construir. Respondemos en un día hábil.