El Data Act es el Reglamento europeo que regula el acceso, uso, compartición y portabilidad de los datos generados por productos conectados y servicios digitales. Para las empresas, su impacto va mucho más allá del cumplimiento legal: afecta a la estrategia cloud, la interoperabilidad, la salida de proveedores, la soberanía del dato y la continuidad del negocio.
Qué es el Data Act y por qué importa ahora
El Data Act, o Reglamento de Datos europeo, es el Reglamento (UE) 2023/2854 sobre normas armonizadas para un acceso justo a los datos y su utilización. Entró en vigor el 11 de enero de 2024 y es aplicable, con carácter general, desde el 12 de septiembre de 2025. El texto oficial puede consultarse en EUR-Lex y en la publicación recogida por el BOE.
Su objetivo es crear un mercado europeo del dato más equilibrado, competitivo e innovador. En la práctica, busca que empresas y usuarios tengan más control sobre los datos que generan al utilizar productos conectados, servicios digitales, plataformas tecnológicas o infraestructuras cloud.
Dicho de forma sencilla: el Data Act establece nuevas reglas para que los datos puedan ser accesibles, utilizables, compartidos y portables con menos barreras injustificadas.
La Comisión Europea vincula esta norma con una economía del dato más justa, en la que consumidores y empresas puedan acceder a los datos generados por dispositivos conectados y servicios relacionados. También destaca su impacto en el cambio entre proveedores cloud y en la interoperabilidad de los datos.
Esto afecta a sectores muy diversos: industria, automoción, energía, sanidad, logística, agricultura, telecomunicaciones, servicios digitales, software, IoT, cloud y cualquier organización que genere, aloje, procese o explote datos dentro de su actividad.
Para un CIO, la lectura más importante es esta: El Data Act no es solo una norma sobre datos. Es una norma sobre control tecnológico, dependencia de proveedores y capacidad real de mover información crítica sin poner en riesgo la operación.
Durante años, muchas empresas han construido sus arquitecturas digitales sobre plataformas cloud, servicios gestionados, aplicaciones SaaS y ecosistemas de datos muy potentes, pero no siempre fáciles de abandonar.
El Data Act introduce presión regulatoria sobre esa realidad: exige más transparencia, más portabilidad, más interoperabilidad y menos barreras para acceder a los datos o cambiar de proveedor.
La pregunta ya no es únicamente “¿cumplo con la norma?”.
La pregunta que debería hacerse cualquier organización es: ¿tengo control real sobre mis datos y sobre la infraestructura que los sostiene?
Cómo afecta el Data Act a las empresas
El Data Act afecta a las empresas desde varios ángulos. No todas las organizaciones tendrán las mismas obligaciones, pero casi todas las medianas y grandes empresas deberían revisar su impacto.
Afecta especialmente a cuatro tipos de organizaciones.
- En primer lugar, a las empresas que fabrican, comercializan o integran productos conectados. Hablamos de maquinaria industrial, dispositivos médicos, vehículos conectados, sensores, equipos energéticos, sistemas de climatización, dispositivos IoT, soluciones de monitorización o cualquier producto capaz de generar datos durante su uso.
- En segundo lugar, a las empresas usuarias de productos conectados. Una compañía industrial, logística, sanitaria o energética puede no fabricar esos dispositivos, pero sí utilizarlos en su operación diaria. En ese caso, le interesa saber qué datos se generan, quién puede acceder a ellos, cómo se comparten, en qué condiciones y qué derechos tiene sobre esa información.
- En tercer lugar, a los proveedores tecnológicos y proveedores cloud. Los proveedores de servicios de tratamiento de datos, entre ellos servicios cloud, deben facilitar el cambio de proveedor y reducir barreras técnicas, contractuales y económicas que dificulten la portabilidad.
La Comisión Europea señala expresamente que el Data Act establece nuevas normas para que los clientes puedan cambiar entre proveedores de servicios de tratamiento de datos y favorecer la interoperabilidad. - Y, por último, afecta a cualquier organización que dependa de los datos para operar, innovar, automatizar procesos, alimentar modelos de inteligencia artificial, cumplir con requisitos regulatorios o mantener la continuidad del negocio.
La clave está en entender que el Data Act no solo regula quién puede acceder a un dato. También obliga a revisar cómo se genera, dónde se almacena, con quién se comparte, en qué formato se entrega, bajo qué contrato y con qué garantías puede trasladarse.
Para una empresa, esto tiene implicaciones directas en gobierno del dato, arquitectura cloud, contratos con proveedores, interoperabilidad entre plataformas, estrategia multicloud, seguridad, cumplimiento, costes de salida y continuidad de negocio.
Abordar el Data Act únicamente desde el área legal sería insuficiente. Legal debe participar, pero IT, seguridad, compras, operaciones y negocio también deben estar involucrados.
El Data Act no es un proyecto jurídico aislado. Es una revisión del grado de control que la empresa tiene sobre su ecosistema digital.
Data Act y cloud: portabilidad, interoperabilidad y fin del lock-in
Uno de los impactos más relevantes del Data Act para las empresas está en el cloud.
Durante años, muchas organizaciones han tenido dificultades para cambiar de proveedor cloud, migrar cargas, recuperar datos o integrar servicios entre plataformas sin asumir costes elevados, complejidad técnica o interrupciones operativas. Ese fenómeno se conoce habitualmente como vendor lock-in.
El Data Act no elimina por sí solo el lock-in tecnológico, pero sí cambia el marco de juego: obliga a reducir barreras para el cambio de proveedor y refuerza la portabilidad e interoperabilidad de los servicios de tratamiento de datos.
Esto significa que las empresas deben poder trasladar sus datos y activos digitales a otro proveedor con menos fricción. Y que los proveedores deben ofrecer condiciones más claras, documentación suficiente y mecanismos que faciliten esa transición.
Para los CIO, esto abre una conversación estratégica: la portabilidad cloud ya no es solo una buena práctica de arquitectura. Es una exigencia que debe estar reflejada en contratos, diseños técnicos, planes de salida y decisiones de proveedor.
Un proveedor cloud ya no debería evaluarse solo por precio, rendimiento o escalabilidad. También debería evaluarse por su capacidad para facilitar la salida, documentar procesos, evitar costes ocultos, reducir dependencias y garantizar continuidad si la empresa necesita mover sus datos o cargas a otro entorno.
Esta exigencia cambia la forma de evaluar cualquier decisión cloud. Ya no basta con preguntarse si una carga de trabajo encaja mejor en cloud público, privado o híbrido por criterios de rendimiento, coste o escalabilidad. También hay que valorar qué nivel de control conserva la empresa, cómo puede recuperar sus datos, qué dependencia genera cada proveedor y qué margen real existe para mover servicios sin interrumpir el negocio.
En este punto, la estrategia cloud y multicloud debe analizarse con una mirada más amplia: arquitectura, cumplimiento, seguridad, continuidad y reversibilidad.
Riesgos habituales en cloud y cómo los aborda el Data Act
Costes de salida poco claros
El Data Act impulsa mayor transparencia sobre las condiciones de cambio. IT debe revisar tarifas, cláusulas de terminación y costes asociados a la migración.
Datos difíciles de exportar
La norma refuerza la portabilidad. La empresa debe validar formatos, APIs, procesos de extracción y reutilización posterior de los datos.
Dependencia excesiva de un proveedor
El Data Act busca reducir barreras técnicas y contractuales. El CIO debería revisar si la arquitectura permite una estrategia híbrida, multicloud o de reversibilidad.
Migraciones complejas
Cambiar de proveedor no puede depender de conocimiento no documentado. Es necesario disponer de planes de salida, documentación técnica y soporte durante la transición.
Falta de interoperabilidad
La norma impulsa un entorno más compatible entre servicios. La empresa debe analizar integraciones, dependencias propietarias y posibles puntos de bloqueo.
Riesgo de interrupción
La portabilidad no sirve de mucho si compromete la operación. Por eso debe conectarse con backup, recuperación ante desastres, monitorización y continuidad de negocio.
La conclusión es clara: una empresa no debería esperar a querer cambiar de proveedor para descubrir si puede hacerlo.
La capacidad de salida debe diseñarse antes. Debe estar prevista en la arquitectura, negociada en el contrato y probada en la operación.
La fecha ya ha pasado: de prepararse a demostrar control real
Durante 2025 y 2026 muchas organizaciones hablaron del Data Act como una normativa para la que había que prepararse. Esa etapa ha quedado atrás.
El Reglamento ya es aplicable desde el 12 de septiembre de 2025, aunque mantiene hitos escalonados para determinados requisitos. El propio texto del Reglamento recoge aplicaciones progresivas para ciertos capítulos y contratos anteriores o de larga duración.
Esto cambia completamente el enfoque.
La pregunta ya no debería ser: “¿cuánto tiempo tenemos para prepararnos?”.
La pregunta correcta ahora es: ¿podemos demostrar que tenemos control real sobre nuestros datos, nuestros contratos cloud y nuestra capacidad de salida?
Este matiz es importante. Prepararse para una fecha puede terminar en un proyecto documental. Demostrar control exige algo más: evidencias técnicas, procesos operativos, contratos revisados, mapas de dependencias, planes de migración y capacidad real de actuación si el negocio necesita cambiar de proveedor, recuperar información o compartir datos con un tercero.
El Data Act no se supera con una declaración de intenciones. Se demuestra con arquitectura, gobierno, documentación y operación real.
Para muchas empresas, este será el punto más delicado. No porque desconozcan la norma, sino porque sus entornos tecnológicos han crecido durante años mediante adquisiciones, integraciones, proyectos urgentes, servicios SaaS, clouds públicas, clouds privadas, plataformas heredadas y proveedores especializados.
El resultado suele ser una arquitectura funcional, pero no siempre reversible.
Y ahí está el verdadero riesgo.
Una organización puede tener sus datos disponibles en el día a día, pero no necesariamente bajo control. Puede operar con normalidad, pero no saber cuánto tardaría en mover una carga crítica. Puede tener un proveedor cloud eficiente, pero no conocer el coste real de salida. Puede tener backup, pero no una estrategia de portabilidad.
El Data Act obliga a poner luz sobre esas zonas grises.
Qué debe revisar un CIO para cumplir el Data Act
El Data Act debe abordarse como un proyecto transversal, pero el CIO tiene un papel central. Su responsabilidad no es interpretar jurídicamente cada artículo, sino asegurar que la organización cuenta con la capacidad técnica, contractual y operativa para cumplir.
El punto de partida debería ser un diagnóstico claro.
Qué datos genera la organización
La empresa debe identificar qué datos se generan en productos conectados, maquinaria, sensores, plataformas digitales, aplicaciones, dispositivos IoT o servicios asociados.
No todos los datos tienen el mismo valor. Algunos serán operativos, otros técnicos, otros comerciales, otros personales y otros sensibles para la continuidad del negocio.
La primera tarea es saber qué existe.
Sin inventario no hay gobierno. Y sin gobierno no hay control.
Quién puede acceder a esos datos
El Data Act refuerza el acceso a datos generados por productos conectados y servicios relacionados. Eso obliga a revisar quién tiene capacidad de acceso: fabricante, proveedor, usuario, cliente, tercero designado, área interna o partner tecnológico.
Esta revisión debe incluir tanto permisos técnicos como condiciones contractuales.
En muchas organizaciones, el problema no está en que nadie sepa dónde están los datos. El problema es que nadie tiene una visión completa de quién los toca, quién los procesa y quién puede bloquear su acceso.
Dónde están alojados
Un dato puede generarse en una planta industrial, procesarse en una aplicación SaaS, almacenarse en una nube pública, replicarse en un backup gestionado y analizarse en una plataforma de BI.
Para cumplir y gobernar bien, no basta con saber que el dato existe. Hay que saber dónde vive, por dónde circula y quién lo administra.
Este punto es especialmente relevante en entornos híbridos y multicloud, donde la trazabilidad del dato puede diluirse entre proveedores, regiones, integraciones y servicios gestionados.
En qué formato puede exportarse
La portabilidad no consiste solo en descargar un archivo. Para que sea útil, el dato debe poder extraerse en formatos utilizables, documentados y, cuando proceda, interoperables.
Un export técnicamente posible pero imposible de reutilizar no resuelve el problema.
La pregunta no es solo “¿puedo sacar mis datos?”. La pregunta es: “¿puedo usarlos después sin reconstruir mi operación desde cero?”
Qué contratos cloud deben revisarse
Los contratos con proveedores tecnológicos deben analizarse con especial cuidado. El CIO debería coordinarse con legal y compras para revisar cláusulas de salida, costes de migración, tiempos de asistencia, disponibilidad de documentación, devolución o eliminación de datos, formatos de exportación, responsabilidades durante la transición, condiciones de interoperabilidad y penalizaciones o limitaciones prácticas.
La revisión contractual no debería centrarse solo en cumplir. Debería servir para responder a una pregunta mucho más operativa: si mañana necesitamos cambiar de proveedor, ¿qué obstáculos reales vamos a encontrar?
Qué dependencias técnicas existen
Muchas veces el lock-in no está solo en el contrato, sino en la arquitectura.
Puede estar en bases de datos propietarias, automatizaciones, servicios gestionados, APIs específicas, integraciones no documentadas, herramientas de seguridad, sistemas de identidad, modelos de IA o configuraciones difíciles de replicar.
La pregunta que debe hacerse IT es directa:
Si mañana necesitáramos mover esta carga o estos datos a otro entorno, ¿podríamos hacerlo sin comprometer la operación?
Responder a esta pregunta exige revisar tecnología, procesos y personas. Porque a veces la dependencia no está en la plataforma, sino en el conocimiento acumulado por un proveedor concreto.
Qué evidencias se pueden mostrar
Cumplir no es solo hacer. También es poder demostrar.
Por eso conviene documentar inventarios de datos, mapas de proveedores, matrices de riesgos, planes de reversibilidad, pruebas de restauración, pruebas de exportación, acuerdos de nivel de servicio, procedimientos de migración, responsables internos y evidencias de seguridad y continuidad.
Este punto es especialmente relevante para medianas y grandes empresas, donde el CIO debe justificar decisiones ante dirección, auditoría, compliance o consejo.
Antes de dar por cerrado el impacto del Data Act, conviene que el CIO pueda responder afirmativamente a estas preguntas:
- ¿Sabemos qué datos críticos genera nuestra organización?
- ¿Tenemos identificados los productos conectados y servicios digitales que los producen?
- ¿Sabemos qué proveedores acceden, almacenan o procesan esos datos?
- ¿Podemos exportar los datos en formatos utilizables?
- ¿Conocemos los costes reales de salida de nuestros proveedores cloud?
- ¿Tenemos documentado un plan de reversibilidad cloud?
- ¿Hemos revisado contratos firmados antes y después del 12 de septiembre de 2025?
- ¿Tenemos una arquitectura preparada para entornos híbridos o multicloud?
- ¿Podemos mantener continuidad si cambiamos de proveedor?
- ¿Tenemos evidencias técnicas que demuestren control sobre el dato?
Si varias respuestas son negativas, el reto no es solo regulatorio. Es estratégico.
Data Act, GDPR, NIS2 y DORA: cómo encajan
Una de las dudas más habituales es cómo se relaciona el Data Act con otras normativas europeas. La respuesta es sencilla: no sustituye a marcos como GDPR, NIS2 o DORA. Los complementa desde otro ángulo.
El GDPR se centra en la protección de datos personales. Su pregunta principal es: ¿tratamos los datos personales con base legal, seguridad y garantías adecuadas?
El Data Act se centra en el acceso, uso, compartición y portabilidad de datos. Su pregunta principal es: ¿podemos acceder, compartir y mover datos sin barreras injustificadas?
La Directiva NIS2 se centra en la ciberseguridad y la resiliencia. Su pregunta principal es: ¿estamos preparados para prevenir, detectar, responder y recuperarnos de incidentes?
DORA se centra en la resiliencia operativa digital del sector financiero. Su pregunta principal es: ¿controlamos adecuadamente los riesgos tecnológicos y a los terceros TIC críticos?
El Data Act no convierte automáticamente en lícito cualquier tratamiento de datos personales. Cuando existan datos personales, seguirá aplicando el GDPR. El Data Act regula el acceso y uso de datos, pero la protección de datos personales mantiene sus propias exigencias.
Para un CIO, la lectura práctica es la siguiente:
GDPR protege derechos sobre datos personales. NIS2 y DORA elevan la exigencia sobre resiliencia y terceros. Data Act añade una capa clave: acceso, portabilidad e interoperabilidad de los datos.
Vistas en conjunto, estas normas empujan a las empresas hacia un mismo destino: más control, más trazabilidad, más seguridad, más responsabilidad sobre proveedores y menos dependencia opaca de terceros tecnológicos.
Por eso, abordar cada normativa como un proyecto aislado suele generar ineficiencias.
Tiene más sentido construir una estrategia común de gobierno tecnológico que integre seguridad, continuidad, cumplimiento, gestión de proveedores, soberanía del dato, arquitectura cloud, portabilidad, evidencias y resiliencia operativa.
Cómo puede ayudar Alhambra IT a recuperar el control del dato
El Data Act introduce una presión clara: las empresas necesitan más control sobre sus datos y menos dependencia de arquitecturas difíciles de mover.
Pero ese control no se consigue solo revisando contratos. Requiere tecnología, arquitectura, gobierno, seguridad, soporte y acompañamiento experto.
En Alhambra IT llevamos más de tres décadas acompañando a las grandes empresas en la evolución de sus infraestructuras tecnológicas. Trabajamos en áreas como Cloud y Multicloud, Ciberseguridad, Proyectos IT, Desarrollo de Software Seguro, Comunicaciones Unificadas, Inteligencia Artificial y Consultoría IT, siempre con un enfoque de calidad, seguridad, confianza y acompañamiento cercano.
En un contexto marcado por el Data Act, este acompañamiento puede ser especialmente relevante en varios frentes.
Estrategia cloud y multicloud
La portabilidad no debería improvisarse. Una arquitectura cloud preparada para el Data Act debe contemplar desde el diseño la posibilidad de mover datos, cargas y servicios entre entornos con el menor impacto posible.
Esto implica revisar qué cargas deben estar en cloud pública, privada o híbrida; qué datos requieren mayor control; qué servicios generan más dependencia; qué componentes conviene desacoplar; qué mecanismos de backup y replicación existen; y qué plan de salida tiene cada proveedor.
La decisión no debería ser cloud sí o cloud no. La decisión correcta es qué modelo cloud permite crecer con seguridad, control y capacidad de reversibilidad.
Revisión de dependencia tecnológica
No todas las dependencias son negativas. Algunas son razonables y aportan valor. El problema aparece cuando la empresa desconoce su nivel real de dependencia o no tiene alternativa viable.
Un análisis de dependencia tecnológica permite identificar puntos críticos y priorizar acciones.
No se trata de eliminar todos los vínculos con proveedores, sino de evitar que una decisión tecnológica se convierta en una limitación estratégica.
Continuidad y recuperación
Cambiar de proveedor, mover datos o rediseñar una arquitectura no puede poner en riesgo la operación. Por eso, la portabilidad debe conectarse con continuidad de negocio, backup, recuperación ante desastres y monitorización.
La pregunta no es solo si la empresa puede mover sus datos. La pregunta es si puede hacerlo manteniendo servicio, seguridad y trazabilidad.
Un plan de salida cloud sin continuidad es solo un documento. Un plan de salida probado es una capacidad real de resiliencia.
Seguridad y cumplimiento
Data Act, GDPR, NIS2, DORA, ENS o ISO 27001 no deberían vivirse como obligaciones desconectadas. Todas exigen un gobierno tecnológico más maduro.
Integrar seguridad, cumplimiento y cloud permite reducir duplicidades, mejorar evidencias y tomar decisiones más coherentes.
En la práctica, esto significa que la estrategia de datos debe hablar con la estrategia de ciberseguridad, la arquitectura cloud, la gestión de proveedores y los planes de continuidad.
Acompañamiento experto
El Data Act tiene una dimensión legal, pero su impacto real se materializa en sistemas, contratos, procesos, arquitecturas y proveedores.
Por eso, el acompañamiento debe combinar visión técnica, conocimiento de negocio y capacidad de operación.
En Alhambra IT, la tecnología no se entiende como una entrega aislada, sino como un proceso de acompañamiento. Desde el análisis inicial hasta la implementación y el soporte continuo, el objetivo es que cada organización pueda evolucionar con más seguridad, eficiencia y confianza.
¿Necesitas revisar tu estrategia de datos y cloud ante el Data Act?
En Alhambra IT ayudamos a las organizaciones a evaluar su dependencia cloud, mejorar la portabilidad de datos, reforzar la continuidad de negocio y construir arquitecturas más seguras, gobernables y preparadas para el cumplimiento regulatorio.
Si tu empresa necesita revisar su estrategia de datos, dependencia cloud o capacidad de salida, podemos ayudarte a definir un plan realista, seguro y adaptado a tu negocio.
Solicítanos información aquí.
Conclusión: el Data Act va de control, no solo de cumplimiento
El Data Act marca un cambio importante en la forma en que las empresas deben entender sus datos.
Durante años, muchas organizaciones han priorizado rapidez, escalabilidad y adopción cloud. Ahora el reto es añadir una capa más: control real.
- Control sobre dónde están los datos.
- Control sobre quién accede a ellos.
- Control sobre cómo se exportan.
- Control sobre qué ocurre si cambia el proveedor.
- Control sobre la continuidad del negocio durante cualquier transición.
Para los CIO, el Data Act no debería verse únicamente como una obligación normativa. Es una oportunidad para revisar la estrategia cloud, reducir dependencias, reforzar la soberanía del dato y construir una arquitectura tecnológica más flexible, segura y preparada para el futuro.
La cuestión ya no es si hay que prepararse para el Data Act.
La cuestión es si tu empresa puede demostrar, hoy, que sus datos son accesibles, portables, interoperables y gobernables.
En Alhambra IT ayudamos a las organizaciones a evolucionar sus infraestructuras cloud, multicloud y de ciberseguridad con un enfoque seguro, escalable y alineado con las exigencias regulatorias actuales.
Si tu empresa necesita revisar su estrategia de datos, dependencia cloud o capacidad de salida, podemos ayudarte a definir un plan realista, seguro y adaptado a tu negocio.
Preguntas frecuentes sobre Data Act
¿Qué es el Data Act?
El Data Act es el Reglamento europeo de Datos, Reglamento (UE) 2023/2854, que establece normas para facilitar el acceso, uso, compartición y portabilidad de datos generados por productos conectados y servicios digitales. Su objetivo es impulsar una economía del dato más justa, competitiva e interoperable en la Unión Europea.
¿Cuándo es aplicable el Data Act?
El Data Act entró en vigor el 11 de enero de 2024 y es aplicable, con carácter general, desde el 12 de septiembre de 2025. Algunos requisitos tienen aplicación escalonada para determinados contratos, productos conectados y servicios relacionados.
¿A qué empresas afecta el Data Act?
El Data Act afecta a fabricantes de productos conectados, proveedores de servicios digitales, proveedores cloud, empresas usuarias de dispositivos IoT, organizaciones que generan o explotan datos industriales y compañías que dependen de datos para operar, innovar o prestar servicios.
¿Cómo afecta el Data Act a los servicios cloud?
El Data Act obliga a reducir barreras para cambiar de proveedor cloud, facilita la portabilidad de datos y activos digitales, e impulsa la interoperabilidad entre servicios de tratamiento de datos. Para las empresas, esto exige revisar contratos, formatos de exportación, costes de salida, documentación técnica y planes de reversibilidad.
¿Qué relación tiene el Data Act con la soberanía del dato?
El Data Act refuerza la soberanía del dato porque facilita que las empresas sepan qué datos generan, quién puede acceder a ellos, cómo se comparten y cómo pueden trasladarse. En la práctica, ayuda a reducir la dependencia tecnológica y a recuperar control sobre información crítica.
¿El Data Act elimina el vendor lock-in?
No lo elimina automáticamente, pero reduce algunas de sus barreras. El Data Act obliga a facilitar el cambio de proveedor, mejorar la portabilidad y limitar costes injustificados de salida. Sin embargo, cada empresa debe revisar su arquitectura, contratos e integraciones para reducir dependencias técnicas reales.
¿El Data Act sustituye al GDPR?
No. El Data Act no sustituye al GDPR. Cuando los datos sean personales, seguirá aplicando la normativa de protección de datos. El Data Act regula el acceso, uso y compartición de datos, pero no elimina las obligaciones de privacidad, seguridad y base legal establecidas por el GDPR.
¿Qué debe revisar un CIO para cumplir el Data Act?
Un CIO debería revisar inventario de datos, contratos cloud, dependencias tecnológicas, formatos de exportación, planes de salida, interoperabilidad, seguridad, continuidad de negocio y evidencias técnicas. El objetivo es demostrar que la empresa tiene control real sobre sus datos y capacidad operativa para moverlos si lo necesita.
