Gobernanza de datos en la mediana empresa: análisis práctico de la nueva Ley de Gobernanza de Datos (DGG)
9 min de lectura
La nueva Ley de Gobernanza de Datos (DGG) transpone al derecho alemán el Reglamento de la UE 2022/868. Quien, como empresa mediana, no disponga actualmente de una estrategia de datos, no solo arriesga sanciones administrativas de hasta 500.000 euros, sino que también pierde la conexión con cadenas de valor impulsadas por los datos. Un análisis práctico muestra cómo lograr una entrada exitosa.
Lo más importante
- La Ley de Gobernanza de Datos (DGG) transpone al derecho alemán el Reglamento de la UE 2022/868
- En caso de infracciones, se prevén multas de hasta 500.000 euros (Bundestag, 2026)
- A nivel europeo, hasta la fecha solo hay registradas 3 organizaciones de altruismo de datos
- La Agencia Federal de Redes (Bundesnetzagentur) será la autoridad supervisora central para los servicios de intermediación de datos
- Las empresas medianas deberían comenzar con un catastro de datos antes de evaluar herramientas de gobernanza
Qué regula concretamente la Ley de Gobernanza de Datos
Alemania ha actuado con lentitud. Mientras que el Reglamento de Gobernanza de Datos de la UE (DGA) es aplicable desde septiembre de 2023, el proyecto de ley nacional de transposición solo se presentó a principios de 2026. La Ley de Gobernanza de Datos regula tres ámbitos centrales: la reutilización de datos públicos protegidos, la autorización y supervisión de los servicios de intermediación de datos, así como el registro de organizaciones de altruismo de datos.
Para las empresas medianas, especialmente relevante es el segundo punto. Los servicios de intermediación de datos son plataformas que permiten el intercambio de datos entre empresas sin tener interés económico alguno en dichos datos. Quien desee operar tales servicios necesitará, a partir de ahora, inscribirse ante la Agencia Federal de Redes. Quien ignore estas normas deberá pagar multas de hasta 500.000 euros.
La Oficina Federal de Estadística asume aquí el papel de oficina central de información. Deberá asesorar a las entidades públicas que deseen poner a disposición sus conjuntos de datos para su reutilización. Sin embargo, en la audiencia del Comité Digital del Bundestag celebrada en enero de 2026 quedó claramente demostrado que muchas administraciones públicas están considerando ya no facilitar sus datos en absoluto, debido a que la carga administrativa supera ampliamente sus ventajas.
Por qué las empresas medianas están afectadas, incluso si no operan un servicio de intermediación de datos
El error de apreciación más frecuente: «La DGG no nos afecta, ya que no somos una plataforma de datos». Es cierto que las obligaciones directas (inscripción, supervisión) solo incumben a los intermediarios de datos y a las organizaciones de altruismo de datos. No obstante, indirectamente, esta ley modifica las reglas del juego para todas las empresas que trabajan con datos empresariales.
«La gobernanza de datos no es un monstruo burocrático. Es la base que permite que los proyectos de inteligencia artificial no fracasen por una mala calidad de los datos.»
Boris Otto, Fraunhofer ISST, Dortmund
Concretamente: quien desee participar en espacios de datos europeos (Gaia-X, Catena-X, Manufacturing-X) deberá demostrar que sus propios datos están estructurados, documentados y gestionados conforme a reglas claras de gobernanza. Ningún espacio de datos aceptará participantes que no sepan qué datos poseen, quién accede a ellos ni qué derechos de uso aplican.
Además, la DGG constituye tan solo un componente dentro de una red reguladora cada vez más densa. Junto con el Reglamento sobre Datos (aplicable desde septiembre de 2025), el Reglamento sobre Inteligencia Artificial (AI Act) y el Reglamento General de Protección de Datos (RGPD), se está conformando un paquete de cumplimiento normativo que, sin una gobernanza sistemática de los datos, resulta simplemente inabordable. Quien aborde este tema de forma aislada para cada normativa, se dispersará. Quien cuente con una estructura de datos integral resolverá la mayoría de los requisitos de un solo golpe.
Caso práctico: cómo una empresa de fabricación implementó la gobernanza de datos
Un buen ejemplo lo ofrece la metodología adoptada por Siemens AG en el ámbito de Manufacturing-X. Siemens introdujo, para su división de fabricación, un catálogo de datos centralizado, en el que cada conjunto de datos se complementa con metadatos: origen, frecuencia de actualización, responsable y clasificación (público, interno, confidencial). Esto no es un proyecto multimillonario. Siemens utiliza para ello una herramienta de código abierto (DataHub de LinkedIn/Acryl Data), que también pueden emplear las empresas medianas sin presupuesto empresarial.
El punto decisivo: el catálogo de datos no fue el objetivo final, sino el punto de partida. Solo tras hacer visible qué datos existen realmente fue posible definir las reglas de gobernanza. Antes de eso, «gobernanza de datos» era una simple declaración de intenciones en diapositivas de PowerPoint.
«Una gobernanza sin catálogo de datos es como una contabilidad sin plan de cuentas. Se pueden redactar reglas, pero nadie sabe a qué se aplican.»
Boris Otto, director del instituto Fraunhofer ISST, Dortmund
La postura contraria: la gobernanza como freno
No todos los expertos ven la DGG de forma positiva. En la audiencia del Bundestag, especialistas criticaron que «la regulación, en muchos aspectos, logra precisamente lo contrario». En lugar de hacer los datos más accesibles, la carga administrativa derivada lleva a las entidades públicas a mantener sus conjuntos de datos bajo llave.
Esto también representa un riesgo real para las empresas medianas. Quien implemente una gobernanza de forma excesivamente burocrática, quien establezca tres niveles de aprobación para cada acceso a los datos, ralentizará a sus propios equipos. El arte consiste en diseñar la gobernanza de la forma más ágil posible: funciones bien definidas, clasificación sencilla y control automatizado de accesos. Todo lo que vaya más allá genera fricción, especialmente perjudicial en la mediana empresa, donde las jerarquías son planas.
La cifra habla por sí sola: a escala europea, hasta la fecha únicamente tres organizaciones se han registrado como organizaciones de altruismo de datos. Tres. En toda la UE. Esto evidencia la escasa incidencia práctica de la DGA hasta el momento. Los críticos concluyen que la regulación se halla desvinculada de la realidad. Sus defensores argumentan, por el contrario, que justamente por ello la ley nacional de transposición debe crear incentivos más prácticos.
Cinco pasos para comenzar: implementar la gobernanza de datos en la mediana empresa
El error más frecuente: pensar demasiado grande. Quien inicie de inmediato con una plataforma empresarial de gobernanza de datos fracasará por su complejidad y su presupuesto. Mejor:
● Paso 1: Crear un catastro de datos. Enumerar todos los sistemas que procesan datos personales, críticos para el negocio o sujetos a regulación. ERP, CRM, servidores de archivos, servicios en la nube. No se busca la exhaustividad, sino registrar los 20 principales sistemas. Esto lleva dos o tres semanas, no meses.
● Paso 2: Asignar responsabilidades. Designar un «propietario de datos» (Data Owner) para cada conjunto de datos incluido en el catastro. Esta persona decide quién puede acceder a los datos y qué requisitos de calidad deben cumplirse. No se trata de crear un nuevo puesto, sino de asignar esta función adicional a directivos ya existentes.
● Paso 3: Introducir una clasificación. Bastan tres niveles: público, interno y confidencial. Cada nuevo documento y cada nuevo conjunto de datos recibirá su nivel correspondiente en el momento de su creación. Los datos existentes se clasificarán progresivamente, comenzando por los 20 principales sistemas identificados en el paso 1.
● Paso 4: Automatizar el control de accesos. Implementar derechos de acceso basados en roles (RBAC) en los sistemas más importantes. La mayoría de los sistemas modernos de ERP y en la nube incorporan esta funcionalidad. El esfuerzo radica en la configuración, no en la tecnología.
● Paso 5: Establecer un ciclo de revisión. Revisar cada seis meses: ¿siguen vigentes las responsabilidades? ¿Existen nuevas fuentes de datos? ¿Han cambiado los requisitos regulatorios? Para empezar, medio día por trimestre es suficiente.
Qué significa esto para las inversiones en RegTech en 2026
La DGG se aplica en un mercado que ya soporta una fuerte presión regulatoria. DORA, AI Act, MiCA, NIS2, el Reglamento sobre Datos: en 2026, las empresas medianas deben cumplir simultáneamente más exigencias de cumplimiento normativo que nunca. En este contexto, la gobernanza de datos no es un proyecto adicional, sino la base común. Quien sepa qué datos tiene, dónde están almacenados y quién accede a ellos, ya habrá completado el 80 % de la documentación requerida para el cumplimiento.
Según sus propias declaraciones, la Agencia Federal de Redes ya ha iniciado los preparativos para su nueva función supervisora. Tan pronto como la ley sea aprobada, las obligaciones entrarán en vigor de inmediato. Las empresas medianas que para entonces aún no dispongan de un catastro de datos iniciarán con una desventaja que tendrán que recuperar bajo presión temporal. Esto resultará costoso y caótico.
El camino pragmático: comenzar ahora con los cinco pasos, antes de que la ley entre en vigor. La inversión es manejable (un gestor de proyecto interno, dos o tres meses para sentar las bases), y los beneficios van mucho más allá de la DGG. Pues una estructura de datos limpia no solo garantiza el cumplimiento normativo; también acelera los procesos, ya que las decisiones se toman sobre la base de datos válidos y no de intuiciones.
Preguntas frecuentes
¿Qué es la Ley de Gobernanza de Datos (DGG)?
La DGG es la ley alemana de transposición del Reglamento de Gobernanza de Datos de la UE (DGA, UE 2022/868). Regula la reutilización de datos públicos protegidos, la supervisión de los servicios de intermediación de datos y el registro de organizaciones de altruismo de datos. La Agencia Federal de Redes se convierte en la autoridad supervisora central.
¿Deben inscribirse las empresas medianas?
Solo si operan un servicio de intermediación de datos o actúan como organización de altruismo de datos. Indirectamente, sin embargo, la ley afecta a todas las empresas que desean participar en espacios de datos europeos (Gaia-X, Catena-X, Manufacturing-X) o trabajar con conjuntos de datos públicos.
¿Cuál es el importe de las multas por infracciones?
El proyecto de ley prevé multas de hasta 500.000 euros por infracción. Esto afecta especialmente a los servicios de intermediación de datos que incumplan su obligación de inscripción o violen los requisitos de neutralidad.
¿Qué herramientas son adecuadas para comenzar con la gobernanza de datos?
Soluciones de código abierto como DataHub (LinkedIn/Acryl Data) o Apache Atlas ofrecen una entrada económica para construir un catálogo de datos. Para el control de accesos, en muchos casos bastan las funciones RBAC integradas en los sistemas modernos de ERP y en la nube.
¿Cómo se relaciona la DGG con el Reglamento sobre Datos?
Ambas normas forman parte de la estrategia de datos de la UE. El Reglamento sobre Datos regula el acceso a los datos generados por máquinas (por ejemplo, datos de IoT) y las cláusulas contractuales para el cambio de proveedor en la nube. La DGG crea la infraestructura para un intercambio de datos fiable. Juntos constituyen los cimientos del espacio de datos europeo.
Lecturas adicionales
- DORA, AI Act y MiCA simultáneamente: por qué las inversiones en RegTech se convierten en una obligación en 2026
- Gobernanza de clústeres Kubernetes en la mediana empresa (cloudmagazin)
- Soberanía digital 2026: qué deben saber los directores de información (CIO) sobre Delos Cloud, Gaia-X y el Reglamento sobre Datos de la UE (Digital Chiefs)
Más contenido de la red MBF Media
- → Gobernanza de clústeres Kubernetes en la mediana empresa (cloudmagazin)
- → Agenda de los CIO para 2026 (Digital Chiefs)
Fuente de imagen: Pexels / Mike van Schoonderwalt
