Por Luis Ignacio Vicente, Strategic Counsel at PONS IP y Begoña Otero, Legal Expert & Knowledge Architect, Affiliated Research Fellow Max Planck Institute for Innovation & Competition. Research Fellow TheGovLab.

En el vertiginoso panorama actual, donde la inteligencia artificial y la digitalización avanzan a gran velocidad, las dinámicas globales están marcadas por estrategias competitivas y desarrollos tecnológicos disruptivos. Iniciativas como DeepSeek en China y el ambicioso plan de Stargate promovido por la administración Trump en EE.UU. reflejan una carrera intensificada por la supremacía en IA, con implicaciones que van más allá de la innovación tecnológica y alcanzan la geopolítica y la seguridad económica.

El reciente Foro Económico Mundial de Davos ha reflejado la preocupación global por el avance de la IA y su impacto en la economía digital. El CEO de Microsoft, Satya Nadella, calificó el modelo chino como «increíblemente impresionante» y enfatizó la necesidad de tomar en serio los desarrollos en China. Esta declaración, sumada a las tensiones comerciales entre EE.UU. y China, refuerza la idea de que el control y acceso a los datos se ha convertido en un eje estratégico en la competencia tecnológica global.

El ascenso de DeepSeek, un modelo de IA desarrollado en China con costes de entrenamiento significativamente menores a los de sus competidores occidentales, ha generado un impacto inmediato en los mercados financieros y tecnológicos. Su rápida adopción y la caída en el valor de acciones de gigantes tecnológicos como Nvidia y ASML han puesto de manifiesto una realidad ineludible: la eficiencia en el acceso a datos puede ser más crucial que la simple capacidad de cálculo.

A medida que gobiernos y empresas buscan consolidar su dominio en el sector de la IA, se vuelve evidente que la competencia no solo se decidirá por la potencia de los chips o la escalabilidad de los modelos, sino por la gobernanza de los datos. La calidad, disponibilidad y regulación de estos influyen directamente en la competitividad de las empresas, en la seguridad jurídica de sus operaciones y en el equilibrio de poder en la economía digital global. En este contexto, el Reglamento de Datos de la UE (Reglamento UE 2023/2854), conocido como Data Act, busca redefinir las reglas del control, acceso y uso de datos generados por productos conectados y servicios relacionados (datos IoT), con el potencial de alterar las dinámicas del mercado y establecer nuevos estándares de equidad y competitividad, promoviendo su reutilización tanto por empresas como por el sector público.

El Data Act ha entrado en vigor el 11 de enero de 2024 y aunque la mayoría sus obligaciones serán aplicables desde el 12 de septiembre de 2025, alguna obligación, como se explicará, entrará en vigor al año siguiente, a partir del 12 de septiembre de 2026. Este Reglamento europeo busca corregir las asimetrías existentes, distribuyendo el valor de los datos IoT de manera equitativa y fomentando un ecosistema digital más accesible. Sin embargo, su aplicación real plantea algunos interrogantes sobre su efectividad y consecuencias económicas.

EL PORQUÉ DE LOS DATOS IOT

Los datos IoT, en tanto recurso productivo, presentan características particulares que amplifican su valor económico. Su naturaleza no rival permite que su utilización por un operador del mercado no limite su disponibilidad para otros. Este rasgo subraya el potencial de los datos para ser compartidos ampliamente, maximizando su utilidad sin restringir el acceso a otros operadores. Sin embargo, la posibilidad de exclusión convierte a los datos en un recurso controlable, ya que quienes los poseen pueden restringir su acceso mediante mecanismos tecnológicos o legales. Así, el IoT, aunque genera datos susceptibles de ser, a priori, ampliamente reutilizables, también se convierte en un medio para establecer barreras de acceso que refuerzan la dependencia estructural de quienes no controlan estos mecanismos de acceso a los datos. Esta dependencia estructural se vuelve problemática cuando una empresa necesita los datos de otra para desarrollar o sostener su propio modelo de negocio, pero no tiene acceso a ellos. En este sentido, el control sobre los datos y la capacidad de acceder a ellos se convierten en elementos decisivos para la competitividad empresarial. El bloqueo del acceso a los usuarios (consumidores o empresas) de productos conectados que en muchos casos necesitan de esos datos para desarrollar su actividad en mercados secundarios puede determinar una pérdida de capacidad competitiva, discriminaciones injustificadas, frenos a la innovación y en última instancia daños para el consumidor. Por otro lado, la tecnología ya gobierna el acceso a los datos producidos por productos conectados y servicios derivados. Bloquear el acceso a estos datos es técnica y legalmente fácil de implementar. Cualquiera que no pueda acceder a la caja de datos de un dispositivo o sistema en línea queda sin más, fuera de juego. Por estas razones, los datos IoT han sido objeto de un enfoque normativo diferenciado. Por un lado, debido a la imposibilidad práctica de diferenciar entre datos personales y datos no personales, la categoría de datos IoT incluye ambas categorías. Por otro lado, y en consonancia con otra normativa europea sobre datos como el Reglamento de Gobernanza de Datos y la Directiva de Datos Abiertos, se excluye la protección jurídica del derecho sui generis de las bases de datos de aquellas bases de datos que contienen datos generados por el uso de productos conectados y servicios relacionados. Así, se garantiza que el acceso y uso de datos IoT no se vean obstaculizadas a través de la protección sui generis de bases de datos, evitando bloqueos estratégicos que podrían limitar su reutilización y el desarrollo de innovaciones basadas en ellos.

RÉGIMEN DE ACCESO REGULADO Y DE CONTROL DE CLÁUSUALAS CONTRACTUALES

El Data Act establece un régimen de acceso regulado sobre los datos IoT. Esta estructura normativa obliga a los titulares de los datos a adoptar una actitud proactiva para evitar prácticas anticompetitivas, facilitando el acceso y la reutilización de datos con el fin de estimular la innovación y el desarrollo de nuevos mercados. A diferencia de un modelo basado en la propiedad exclusiva de los datos, el Data Act se fundamenta en el control del acceso y en la necesidad de desbloquear barreras estructurales que han favorecido históricamente la concentración del poder de datos en manos de los fabricantes de productos conectados y proveedores de servicios relacionados. Este enfoque se inspira en el Derecho de propiedad industrial, incorporando elementos del Derecho de contratos, la protección de datos personales y la normativa de competencia desleal y defensa de la competencia para establecer un marco más equilibrado entre los titulares de datos y los usuarios.

El objetivo principal del Reglamento es reducir las asimetrías de poder en el acceso a los datos de IoT y facilitar su intercambio en beneficio de la sociedad y la economía digital. Para ello, impone una serie de mecanismos legales y contractuales que estructuran un acceso obligatorio a los datos, garantizando al mismo tiempo incentivos a la inversión y la competitividad en el mercado. Esta regulación busca prevenir la creación de monopolios de facto en el control de datos, promoviendo el desarrollo de mercados secundarios y la interoperabilidad de productos y servicios conectados. No obstante, la norma no elimina por completo las barreras de acceso, ya que permite que los titulares de datos mantengan ciertos derechos contractuales y establezcan condiciones de uso, lo que podría generar restricciones indirectas a la reutilización de datos en mercados clave como la automoción, la salud o la industria manufacturera.

Para alcanzar estos objetivos, el Data Act establece una serie de instrumentos que conforman, por un lado, un régimen jurídico de acceso obligatorio, y por otra parte, en el marco de contratos negociados voluntariamente, impone un régimen de control de cláusulas abusivas impuestas unilateralmente a otra empresa que afecta a los contratos entre empresas, y que por tanto adapta las normas de Derecho contractual.

RÉGIMEN OBLIGATORIO

El régimen de acceso obligatorio consta de tres instrumentos principales: la introducción de un derecho de acceso, uso y compartición de datos «incompleto» de carácter horizontal, tanto para empresas con consumidores (B2C) como entre empresas (B2B); la inclusión de un contrato de uso de datos adicional entre el titular de estos y el usuario, y el establecimiento de una precondición tecnológica impuesta al fabricante de productos conectados.

• Derecho de acceso, uso y compartición de los datos: Los usuarios de productos conectados y servicios relacionados tienen derecho a acceder a los datos generados por su uso, hacer uso de ellos y a compartirlos con terceros. Ahora bien, el alcance de estos derechos se limita a los datos brutos y pretratados, excluyendo datos inferidos. Los usuarios, en principio, pueden decidir con quién comparten estos datos (excepto con empresas designadas como guardianes de acceso según el Reglamento de Mercados Digitales) y para qué fines, previa solicitud al titular, respetando los secretos empresariales y los derechos de propiedad intelectual y permitiendo al titular de los datos solicitar una licencia remunerada en condiciones FRAND, es decir, justas, razonables y no discriminatorias. Es más, los derechos establecidos en estos artículos se establecen como complementarios del derecho de acceso de las personas interesadas y los derechos de portabilidad de los datos personales que establece el RGPD.
• Imposición de un contrato de uso de datos adicional: El Data Act obliga a los titulares de datos a celebrar un contrato adicional entre el titular de los datos y el usuario, que otorga a este último derechos exclusivos sobre la comercialización de los datos no personales. Además del consentimiento requerido para el tratamiento, uso y compartición de datos personales conforme al RGPD, el Data Act establece que el titular de los datos «solo utilizará cualquier dato fácilmente disponible que no sea personal sobre la base de un contrato con el usuario». Esto implica que, en ausencia de dicho contrato, el titular no podrá usar, compartir ni monetizar los datos no personales del producto conectado bajo su control exclusivo. En la práctica, la falta de claridad sobre los términos de este contrato  de uso adicional podría generar incertidumbre y disputas contractuales.
• Obligación de diseño accesible: Se establece el principio de «acceso por diseño y por defecto», que obliga a los fabricantes de productos conectados a garantizar la accesibilidad a los datos desde su concepción. Esta medida busca evitar que los fabricantes utilicen barreras tecnológicas para restringir el acceso, asegurando que los datos estén disponibles en formatos estructurados y legibles por máquina. Sin embargo, la implementación de esta obligación presenta desafíos técnicos y económicos, ya que exige modificaciones en la arquitectura de hardware y software de los dispositivos conectados, lo que podría incrementar los costes de producción y generar resistencia por parte de los fabricantes.

RÉGIMEN VOLUNTARIO

Respecto de los contratos de datos de carácter voluntario, en lo que respecta a contratos con consumidores, el Data Act retiene de manera explícita la aplicabilidad de la legislación general de la Unión Europea sobre protección del consumidor. Es en relación con los contratos entre empresas, donde el Reglamento introduce un régimen específico de control de cláusulas abusivas impuestas unilateralmente.

Este régimen específico establece un marco normativo diseñado para prevenir abusos en las relaciones contractuales entre empresas (B2B). Su objetivo es equilibrar las asimetrías de poder en los contratos relacionados con datos, en los que una parte puede imponer unilateralmente términos desventajosos aprovechándose de su posición superior de negociación. Su finalidad es el control de los términos contractuales excesivos cuando se ha abusado de una posición más fuerte en el mercado mediante el ejercicio de poder de negociación derivado de dicha posición.

El régimen se aplica tanto al titular de los datos como al receptor, regulando situaciones en las que cualquiera de ellos utilice su posición para imponer términos contractuales injustos. La dependencia de datos de una parte más débil puede ser un indicio de desigualdad en la negociación; sin embargo, el propio Reglamento establece que el criterio fundamental es la capacidad de una parte para imponer unilateralmente una cláusula abusiva, independientemente de las circunstancias específicas que originen esa desigualdad.

En la práctica esto conlleva el uso de un criterio automático: cualquier cláusula contractual que una parte no haya podido influir tras intentar negociar se considera unilateralmente impuesta y, por ende, abusiva. Este enfoque, basado en estrategias contractuales de «lo tomas o lo dejas», permite una evaluación objetiva mediante evidencias documentales del proceso de negociación. Sin embargo, este criterio también presenta vulnerabilidades, ya que puede ser eludido mediante formalismos negociadores, y si una parte carece de recursos o capacidad de negociación, las cláusulas abusivas podrían incorporarse al contrato sin ser objeto de control normativo.

Además, este régimen específico del Data Act no se limita a transacciones específicas sobre datos, sino que abarca cualquier contrato que incluya elementos de intercambio de datos. Un ejemplo ilustrativo es la relación entre un fabricante de automóviles y un proveedor de sensores avanzados. Aunque el proveedor depende del fabricante para integrar sus productos en un sistema más amplio, el fabricante podría imponer cláusulas restrictivas que limiten la capacidad del proveedor de colaborar con otros clientes, aprovechándose del interés estratégico del proveedor en el acuerdo global.

La aplicación de estos mecanismos será gradual. Mientras que los derechos de acceso y uso de datos y los contratos serán exigibles a partir del 12 de septiembre de 2025, la precondición de hacer los datos accesibles por diseño y por defecto a fabricantes y desarrolladores, se aplicará a los productos y servicios introducidos en el mercado después del 12 de septiembre de 2026. Estas obligaciones requieren que las empresas revisen sus prácticas contractuales actuales y establezcan nuevos acuerdos con usuarios y terceros para garantizar el cumplimiento normativo.

PRINCIPALES PUNTOS DE FRICCIÓN

Uno de los principales puntos de fricción es el acceso obligatorio a datos de productos conectados y servicios relacionados (datos IoT) y su impacto en los modelos de negocio basados en el control sobre los datos gracias a la existencia de una precondición tecnológica. Es decir, no se trata de ser propietario de los datos, sino de que gracias a las condiciones tecnológicas que dan acceso a ellos, quien los ostenta tiene un control fáctico y exclusivo sobre los mismos (lo que puede dar entender que se es dueño de esos datos, aunque jurídicamente no sea así). En teoría, el Data Act permite a los usuarios de dispositivos conectados – sean tanto consumidores (B2C) como empresarios (B2B) -acceder a los datos que estos generan, abriendo oportunidades para la optimización de procesos industriales, el desarrollo de servicios postventa y la creación de nuevos productos digitales. En la práctica, sin embargo, los titulares de datos podrán seguir ejerciendo un control significativo sobre los datos mediante restricciones contractuales, exclusiones legales basadas en la existencia de secretos empresariales y medidas tecnológicas de protección que limitarán su uso efectivo por terceros.

El caso de la industria de maquinaria agrícola en Alemania ilustra esta problemática. El Ministerio Federal de Alimentación y Agricultura (BMEL) ha desarrollado contratos modelo para regular el acceso a datos generados por maquinaria conectada, a fin de garantizar que los agricultores puedan acceder a los datos de sus maquinarias y compartirlos con terceros. No obstante, los fabricantes han expresado preocupación por la posible pérdida de control sobre información comercialmente sensible, lo que ha generado tensiones entre el acceso equitativo y la protección de secretos empresariales.

Otro aspecto crítico es la falta de claridad en la definición de datos y de cuáles son los datos que son objeto del régimen de acceso regulado que impone el Reglamento. El Data Act define los datos de manera muy amplia, abarcando cualquier representación digital de actos, hechos o información. Sin embargo, para delimitar qué datos están sujetos al régimen de acceso regulado, el Reglamento diferencia entre datos en bruto, pretratados, derivados e inferidos. Solo los datos en bruto y pretratados están dentro del ámbito del acceso regulado, siempre que el pretratamiento no haya requerido una inversión sustancial. Esta distinción genera incertidumbre, ya que el pretratamiento incluye operaciones como la calibración o eliminación de ruido, pero no queda claro qué otras transformaciones pueden considerarse parte de este proceso sin excluir los datos del régimen de acceso obligatorio. Además, la falta de criterios claros sobre qué constituye una inversión sustancial puede facilitar que los titulares de datos argumenten que ciertos costes superan el umbral permitido, restringiendo el acceso a los datos. Estas ambigüedades podrían generar disputas legales prolongadas y una aplicación desigual de la normativa en distintos sectores. Es especialmente problemática para el desarrollo de sistemas de IA, que dependen de grandes volúmenes de datos diversos y accesibles. Si los titulares de datos pueden limitar el acceso alegando pretratamiento o inversión significativa, muchas empresas que desarrollan IA, especialmente startups y PYMES, podrían enfrentar barreras significativas para obtener datos de calidad, reduciendo su capacidad para innovar y competir con actores dominantes que ya controlan grandes volúmenes de datos.

La ambigüedad en la delimitación de los datos accesibles también afecta la interacción del Data Act con otros marcos regulatorios. Al no distinguir explícitamente entre datos personales y no personales, la norma requiere compatibilidad con el Reglamento General de Protección de Datos y sus respectivas normas nacionales, lo que añade complejidad en escenarios donde los datos están entrelazados (datos mixtos). Asimismo, los datos inferidos y derivados quedan fuera del acceso obligatorio, lo que permite a los titulares retener información clave procesada mediante algoritmos propietarios. En el contexto de la IA, esto significa que las empresas que dependen de datos transformados o agregados para entrenar modelos podrían ver limitado su acceso a estos conjuntos de datos, dificultando la creación de modelos competitivos en sectores como la salud, la movilidad, la manufactura, la agricultura y otros. Además, esta incertidumbre regulatoria podría desincentivar la inversión en infraestructuras de datos compartidos, frenando la construcción de ecosistemas de IA abiertos y colaborativos en Europa. Si no se clarifican estos aspectos, el Data Act corre el riesgo de consolidar la ventaja de las grandes empresas tecnológicas con acceso privilegiado a datos, en lugar de fomentar un mercado más equitativo y dinámico en el desarrollo de sistemas de IA.

En el ámbito de la competencia, el Data Act introduce medidas para evitar cláusulas contractuales abusivas en relaciones B2B, limitando la capacidad de las grandes empresas para imponer términos desfavorables a sus socios comerciales. Sin embargo, no elimina completamente la posibilidad de que los actores dominantes estructuren acuerdos que sigan favoreciendo su control sobre los datos. Por ejemplo, la mayoría de las empresas del sector industrial encuestadas en Alemania recientemente consideran que el acceso a datos de sus propias máquinas mejoraría la eficiencia y automatización de procesos, pero también han expresado dudas sobre la seguridad de sus secretos empresariales y la viabilidad de compartir datos con competidores.

Respecto de las condiciones FRAND, ampliamente conocidas por los sectores de telecomunicaciones y las patentes esenciales sobre estándares, ha de decirse que su lógica en el ámbito de licencias sobre datos está por desarrollar. Por ejemplo, uno de los puntos clave que el Data Act dejar sin resolver es la relación entre los contratos celebrados entre el titular de los datos con un tercero y las condiciones FRAND. Estas condiciones están diseñadas como un estándar para autoridades, tribunales u órganos de resolución de disputas en solicitudes de acceso, pero no como un criterio para revisar contratos entre partes. Permitir que un tercero pueda impugnar un contrato argumentando falta de equidad o discriminación extendería la revisión más allá de lo previsto en propio Data Act, aplicándose incluso a contratos negociados individualmente.

Las PYMES enfrentan también un serio dilema regulatorio con el Data Act. Aunque la normativa introduce una exención para evitar cargas regulatorias desproporcionadas, esta misma medida podría excluirlas de los beneficios del acceso equitativo a datos. Además, existe el riesgo de que las grandes empresas reestructuren sus operaciones para aprovecharse de esta excepción, creando filiales o subsidiarias que eviten las obligaciones de compartición de datos mientras siguen controlando el acceso a información clave.

Por otra parte, el Data Act también regula aspectos sobre computación en la nube, con la intención de facilitar la transferencia de datos entre actores del ecosistema digital, para reducir el poder de mercado de los grandes proveedores. Sin embargo, la eliminación de las tarifas de cambio de proveedor y la exigencia de garantizar la «equivalencia funcional» en los servicios de cloud computing podría generar efectos adversos. Aunque estas medidas están diseñadas para fomentar la competencia y evitar bloqueos tecnológicos, en la práctica pueden beneficiar a los grandes actores del mercado al imponer costes adicionales a las PYMES, que no siempre pueden asumir la inversión en nuevas infraestructuras o en adaptar sus sistemas a estándares de interoperabilidad obligatorios.

Otro desafío para las PYMES radica en la incertidumbre sobre la estandarización de servicios en la nube. La obligación de garantizar la interoperabilidad podría limitar la capacidad de los proveedores más pequeños para diferenciarse en el mercado mediante soluciones innovadoras y especializadas. Si bien el Reglamento intenta reducir los costes de cambio de proveedor y fomentar la competencia, también puede frenar la inversión en investigación y desarrollo, ya que los proveedores podrían verse obligados a compartir innovaciones con sus competidores para cumplir con las exigencias regulatorias. Esto no solo afectaría la rentabilidad de las empresas emergentes, sino que también podría provocar una menor diversificación del mercado, perjudicando a aquellas PYMES que dependen de soluciones específicas y altamente personalizadas para sus operaciones.

El impacto del Data Act en la innovación en IA también es motivo de preocupación. La IA depende de grandes volúmenes de datos de calidad para entrenar modelos eficaces, y el Data Act podría, en teoría, facilitar el acceso a datos industriales. No obstante, sus restricciones contractuales y la exclusión de datos derivados pueden limitar el uso efectivo de estos datos para startups y PYMES en el desarrollo de soluciones innovadoras. La interacción con el Reglamento de Inteligencia Artificial (AI Act), que clasifica y regula el uso de modelos de IA según su nivel de riesgo, introduce una carga adicional de cumplimiento normativo que podría ralentizar la innovación y generar una ventaja competitiva para países con regulaciones más flexibles, como EE.UU. y China.

Para garantizar que las empresas españolas y europeas puedan beneficiarse del Data Act sin perder competitividad, será esencial adoptar estrategias proactivas, revisar contratos existentes y establecer colaboraciones estratégicas para compartir datos de manera segura y eficiente en la nueva economía digital europea.

¿CÓMO DEBEN PREPARARSE LAS EMPRESAS ESPAÑOLAS?

El Data Act supondrá un cambio fundamental en la gestión de los datos IoT en Europa, ofreciendo nuevas oportunidades para la innovación y la competencia, pero también imponiendo desafíos regulatorios y contractuales significativos. Este Reglamento también se alinea con las iniciativas estratégicas que el gobierno español está impulsando en materia de digitalización, inteligencia artificial y sostenibilidad. En el marco de la Estrategia Nacional de Inteligencia Artificial (ENIA) y los Planes de Recuperación y Resiliencia, hay una apuesta clara por la creación de espacios de datos sectoriales en ámbitos clave como la salud, la movilidad, la industria y la energía. Estas iniciativas buscan fomentar el intercambio seguro y eficiente de datos entre empresas, administraciones públicas y centros de investigación, lo que encaja con el objetivo del Data Act de democratizar el acceso a los datos generados por dispositivos conectados y servicios relacionados.

Sin embargo, para que esta transición sea efectiva, las empresas españolas debieran optar por una adaptación temprana a este nuevo marco normativo para evitar riesgos y maximizar beneficios. La revisión de contratos debe convertirse en una prioridad, asegurando que las cláusulas de acceso y uso de datos estén alineadas con las disposiciones del reglamento y evitando posibles ambigüedades que puedan derivar en disputas legales. Asimismo, la protección de la propiedad intelectual y los secretos empresariales requerirá estrategias más sofisticadas, dado que el acceso regulado a los datos puede generar tensiones entre la apertura y la confidencialidad de la información clave para el negocio.

Más allá del cumplimiento normativo, el Data Act abre la puerta a un ecosistema digital más equitativo, donde las empresas que sepan aprovechar el acceso a datos de IoT podrán desarrollar nuevos modelos de negocio y servicios basados en la interoperabilidad. Sin embargo, para que este potencial se traduzca en ventajas competitivas, será necesario que las empresas adopten un enfoque estratégico en la gestión de datos, invirtiendo en tecnologías que garanticen la trazabilidad y el cumplimiento regulatorio. La capacidad de navegar con éxito este entorno regulatorio determinará qué empresas logran consolidarse en la nueva economía del dato en Europa y cuáles se ven limitadas por barreras contractuales y técnicas que aún persisten en el marco normativo.

Además, el gobierno español ha situado la digitalización y la transición ecológica como pilares fundamentales para el crecimiento económico. La IA aplicada a la sostenibilidad, por ejemplo, requiere grandes volúmenes de datos provenientes de infraestructuras energéticas, dispositivos IoT en ciudades inteligentes o sistemas de gestión hídrica. El Data Act facilita el acceso a estos datos, promoviendo su reutilización en modelos predictivos y en optimización de recursos. No obstante, la falta de claridad en la delimitación de los datos sujetos al régimen de acceso regulado puede generar incertidumbre para empresas que buscan desarrollar soluciones basadas en IA. Para maximizar el impacto positivo de estas políticas, las empresas deben no solo cumplir con las nuevas regulaciones, sino también participar activamente en la configuración de estos espacios de datos, asegurando que los marcos contractuales y las normas técnicas favorezcan tanto la innovación como la competitividad en el mercado digital europeo.