Volver

The Data Act: Obligations and Impact on the European Data Ecosystem

Reports
09-09-25

On 12 September 2025, Regulation (EU) 2023/2854, known as the Data Act, will enter into force, except for certain provisions that will apply at a later date.

The Data Act is one of the fundamental pillars of the European Data Strategy, which forms part of the objectives of the Digital Decade 2030.

Its aim is to make data, especially industrial data, more accessible and reusable, thereby driving data-driven innovation. To this end, the regulation gives users of connected products (whether businesses or individuals who own, rent, or lease such products) greater control over the data generated during their use, while preserving incentives for actors investing in data-enabling technologies. Additionally, it seeks to strengthen competition in the digital market by facilitating switching between data processing providers (e.g., SaaS providers) and establishing rules that remove contractual, technical, and commercial barriers that hinder data portability.

The Data Act has a significant impact on manufacturers of connected products, data processing service providers, dataspace participants, and application providers using smart contracts.

-      It is necessary to identify all the data being handled, distinguishing whether it is personal or not, its origin, and whether it is protected by regulations such as intellectual property laws.

-      Strict compliance with the GDPR must be ensured.

-      Security policies must be implemented to protect data against breaches, establishing clear criteria on who can access it, how it can be used, and how it can be exchanged.

-      It is crucial to ensure quality, the ability to interact with other systems (interoperability), ease of transfer (portability), and monitoring of its lifecycle through technical and organizational measures (traceability).

- Clear governance mechanisms must be established that define the responsibilities and obligations of all parties involved in data processing.

-      Agreements with users must be amended to accurately reflect the conditions of access, use, and sharing of the data generated.

-      Compliance with the obligations to inform, notify, and cooperate with the competent authorities, as well as with all actors involved in the data ecosystem (users, providers, intermediaries, etc.), must be ensured.

In this report (Spanish and English), we provide a detailed analysis of all the obligations and provisions of the Data Act.

_______________________________

El 12 de septiembre de 2025 entra en vigor el Reglamento (UE) 2023/2854, conocido como la Ley de Datos o Data Act, salvo algunas disposiciones que serán de aplicación con posterioridad.

La Data Act constituye uno de los pilares fundamentales de la Estrategia Europea de Datos, situada dentro del marco de los objetivos de la Década Digital 2030.

Su objetivo es hacer que los datos, especialmente los industriales, sean más accesibles y reutilizables, impulsando la innovación basada en datos. Para ello, la normativa confiere a los usuarios de productos conectados (ya sean empresas o particulares que posean, alquilen o arrienden dichos productos) un mayor control sobre los datos generados durante su uso, al tiempo que preserva incentivos para los agentes que invierten en tecnologías habilitadoras de datos. Adicionalmente, buscafortalecer la competencia en el mercado digital al facilitar el cambio entreproveedores de procesamiento de datos (p. ej. proveedores SaaS), estableciendonormas que eliminan las trabas contractuales, técnicas y comerciales quedificultan la portabilidad de los datos.

La Data Act tiene un impacto significativo para los fabricantes de productos conectados, los proveedores de servicios de tratamiento de datos, los participantes en espacios de datos y los proveedores de aplicaciones que utilicen smart contracts.

-       Es necesario identificar todos los datos que se manejan, distinguiendo si son personales o no, cuál es su origen y si están protegidos por normativas como la de propiedad intelectual.

-       Se debe garantizar el cumplimiento estricto del RGPD.

-       Se deben implementar políticas de seguridad que protejan los datos contra brechas, estableciendo criterios claros sobre quién puede acceder a ellos, cómo pueden utilizarlos y de qué manera pueden intercambiarse.

-       Es crucial asegurar la calidad, lacapacidad de interactuar con otros sistemas (interoperabilidad), la facilidadpara transferirlos (portabilidad) y el seguimiento de su ciclo de vida mediantemedidas técnicas y organizativas (trazabilidad).

-       Se deben establecer mecanismos claros de gobernanza que definan las responsabilidades y obligaciones de todas las partes implicadas en el tratamiento de los datos.

-       Los contratos con los usuarios deben modificarse para reflejar de forma precisa las condiciones de acceso, uso y compartición de los datos generados.

-       Se debe asegurar el cumplimiento de las obligaciones de informar, notificar y cooperar con las autoridades competentes, así como con todos los actores involucrados en el ecosistema de datos (usuarios, proveedores, intermediarios, etc.).

En este informe (español y en inglés), realizamos unanálisis detallado de todas las obligaciones y disposiciones de la Data Act.

Ver el report completo aquí

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
09-09-25
The Data Act: Obligations and Impact on the European Data Ecosystem
This is some text inside of a div block.
Leer más
7-jul-25
Report OOTB: inteligencia viva
This is some text inside of a div block.
Leer más
24-jun-25
Reglamento europeo sobre normas armonizadas para un acceso justo a los datos y su utilización (DATA ACT)
This is some text inside of a div block.
Leer más