Ley de aplicación del Data Act: Lo que los fabricantes alemanes de IoT deben implementar antes de septiembre de 2026
7 min de lectura
El Bundestag aprobó el 26 de marzo la Ley de Transposición del Data Act (Data-Act-Durchführungsgesetz), activando así en Alemania el Reglamento europeo conocido como Data Act. Los fabricantes alemanes de dispositivos IoT disponen ahora de cinco meses para adaptar sus productos al principio de «acceso por diseño» (Access by Design). La Agencia Federal de Redes (Bundesnetzagentur) asumirá las funciones de autoridad encargada de hacer cumplir la norma, y las multas podrán alcanzar hasta los 500.000 euros. Existe una excepción relevante para las empresas medianas con menos de 50 empleados; para todas las demás, no hay excepciones.
Lo más importante en resumen
- Aprobada la ley de transposición: El Bundestag (parlamento federal alemán) aprobó el 26 de marzo de 2026 la Ley de Transposición del Data Act, incorporando así al ordenamiento jurídico alemán el Reglamento (UE) 2023/2854 (Deutscher Bundestag, semana 13).
- Bundesnetzagentur como autoridad competente: La BNetzA (Agencia Federal de Redes de Alemania) actúa como punto central de contacto para la aplicación, supervisión y cumplimiento. Las infracciones pueden conllevar multas de hasta 500.000 euros por caso.
- Fecha límite: 12 de septiembre de 2026: A partir de esta fecha, los nuevos productos conectados deberán cumplir con el principio de «acceso por diseño» (Access by Design): los usuarios tendrán acceso directo a sus datos de producto sin necesidad de pasar por el fabricante (artículo 3 del Data Act de la UE).
- Cambio de proveedor en la nube desde el 12 de septiembre de 2025: Ya es obligatorio permitir a los clientes cambiar de proveedor sin cobrarles tarifas fijas de salida (egress fees). A partir del 12 de enero de 2027, solo se podrán facturar los costes directos demostrables.
- Exención para pymes: Los fabricantes con menos de 50 empleados y una facturación anual inferior a 10 millones de euros quedan exentos de las obligaciones de acceso. Quienes superen estos umbrales entrarán en el régimen con un periodo de adaptación.
Qué regula la ley de aplicación desde el 26 de marzo
El Reglamento europeo Data Act es aplicable en toda la UE desde el 12 de septiembre de 2025. Esta norma establece quién puede acceder a los datos generados por productos conectados y sus servicios asociados: desde un robot ordeñador en el Allgäu o un ascensor en un edificio de oficinas hasta una plataforma SaaS para la gestión de flotas. Lo que el marco europeo no abordaba hasta ahora eran las disposiciones nacionales de aplicación: qué autoridad es competente, cómo se sancionan las infracciones y quién financia su ejecución.
Precisamente eso hizo el Bundestag (parlamento federal alemán) el 26 de marzo de 2026, en la semana 13 del calendario. La Ley de Aplicación del Data Act designa a la Bundesnetzagentur (Agencia Federal de Redes, BNetzA) como autoridad supervisora competente y crea la base jurídica para investigaciones, requerimientos de información, medidas provisionales y multas coercitivas. Al mismo tiempo, la ley resuelve la disputa entre el gobierno federal y los Länder (estados federados): la BNetzA supervisa las solicitudes de datos dirigidas a las autoridades federales, mientras que los Länder mantienen la responsabilidad sobre sus propias instituciones; una concesión al federalismo que marcó el debate durante el trámite parlamentario.
Durante la audiencia parlamentaria se criticó especialmente el elevado número de conceptos jurídicos indeterminados. La ley emplea formulaciones como condiciones razonables, inmediatamente y sin demora injustificada, que deberán concretarse mediante la práctica administrativa y las directrices que emita la BNetzA. Para las empresas, esto supone incertidumbre jurídica en los primeros meses, pero también margen de maniobra, ya que la autoridad pretende orientar inicialmente mediante guías en lugar de imponer sanciones.
Definición
Access by Design hace referencia a la obligación técnica de diseñar los productos conectados de forma que los usuarios -o terceros por ellos designados- puedan acceder a los datos generados sin necesidad de desarrollos adicionales. Dicho acceso debe ser sencillo, seguro, estructurado y en formato legible por máquina, normalmente a través de una API debidamente documentada.
Quiénes están afectados – y quiénes quedan excluidos por la excepción para PYME
El Data Act aborda simultáneamente a dos grupos de empresas: por un lado, fabricantes de productos conectados y proveedores de servicios asociados; por otro, proveedores de servicios en la nube. Para las medianas empresas del espacio DACH (Alemania, Austria y Suiza), esto significa que prácticamente cualquier fabricante de maquinaria que dote sus equipos con telemetría se considera fabricante de producto según el reglamento. Asimismo, todo proveedor de software como servicio (SaaS) que procese datos de clientes es un proveedor de servicios de procesamiento de datos.
Es fundamental el ámbito de aplicación: el reglamento se aplica a los productos introducidos por primera vez en el mercado tras el 12 de septiembre de 2026. Las máquinas ya vendidas no están sujetas a la obligación de «acceso por diseño» (Access-by-Design), un detalle clave que mitiga la presión por adaptar equipos existentes. No obstante, los fabricantes deberán adaptar sus líneas de producto vigentes, a más tardar con la próxima generación de hardware, dejando margen suficiente para certificaciones, actualizaciones de software y ajustes contractuales.
La principal exención para las empresas medianas es la excepción para PYME establecida en el artículo 7 del reglamento europeo. Quienes tengan menos de 50 empleados y un volumen de negocios anual inferior a 10 millones de euros quedarán exentos de las obligaciones de acceso a los datos. Según estadísticas de las cámaras de comercio alemanas (IHK), más del 90 % de los fabricantes de maquinaria medianos en Alemania entran en esta categoría. Sin embargo, es crucial tener en cuenta la aplicación diferida en el tiempo: si una empresa supera estos umbrales en un ejercicio fiscal, deberá cumplir las obligaciones en los años siguientes, lo que representa un riesgo de planificación para compañías en fase de crecimiento.
No existe, en cambio, ninguna exención respecto a las normas sobre cambio de proveedor en la nube (Cloud-Switching). Estas se aplican a todos los proveedores de servicios de procesamiento de datos, independientemente del tamaño de la empresa. Por tanto, una empresa SaaS mediana con 30 empleados debe permitir a sus clientes cambiar de proveedor sin cobrar tarifas fijas de salida (Egress Fees), incluso si está exenta de las obligaciones relativas a productos IoT. Esta distinción resulta decisiva al realizar un análisis de brechas (Gap-Analyse) en la propia cartera de productos.
Los tres bloques obligatorios: acceso, cambio de proveedor y acceso de las autoridades
El Reglamento sobre Datos (Data Act) agrupa tres conjuntos distintos de obligaciones que deben gestionarse de forma organizativa separada. El primer bloque se refiere al acceso a los datos por parte de los usuarios. Los fabricantes de productos conectados deben garantizar que el comprador de una máquina o el usuario de un software obtenga acceso directo a los datos generados sobre el producto y el servicio. Este acceso debe ser rápido, seguro y, en general, sin costes adicionales. Para los productos comercializados antes del 12 de septiembre de 2026, estas obligaciones de «acceso por diseño» aún no son aplicables, pero los fabricantes deberían aprovechar este periodo transitorio para adaptar sus productos existentes y preparar vías de actualización del software.
El segundo bloque es el cambio entre proveedores de nube (cloud switching). A partir del 12 de septiembre de 2025, los proveedores de servicios de procesamiento de datos -es decir, tanto los proveedores clásicos de nube pública como los proveedores SaaS especializados por sector- ya no podrán imponer barreras artificiales a sus clientes para cambiar de proveedor. Los contratos deberán especificar claramente la duración, los plazos de rescisión y las condiciones de salida (egress). Desde el 12 de enero de 2027, los proveedores ya no podrán cobrar tarifas fijas por la salida de datos; únicamente se permitirán costes justificables derivados directamente de la migración real de los datos. Esta medida supone un duro golpe a los modelos de precios establecidos por los grandes proveedores de nube (hyperscalers), pero representa una palanca significativa para los clientes en las negociaciones contractuales.
El tercer bloque regula el acceso a los datos por parte de las autoridades públicas en situaciones excepcionales. En casos de emergencia claramente definidos -catástrofes naturales, pandemias o incidentes cibernéticos de gran escala-, las autoridades podrán acceder directamente a los datos empresariales si estos resultan necesarios para gestionar la crisis. Aunque los requisitos están estrictamente delimitados, las empresas deben estar técnicamente preparadas para responder a dichas solicitudes. La ley de aplicación alemana precisa qué autoridad puede presentar estas peticiones en Alemania y qué función de supervisión desempeña la Agencia Federal de Redes (Bundesnetzagentur).
Cronograma: Qué entra en vigor cuándo
| Fecha límite | Obligación | Afectados |
|---|---|---|
| 12 de septiembre de 2025 | Cambio entre proveedores cloud, cláusulas contractuales, acceso de autoridades | Todos los proveedores de servicios de procesamiento de datos |
| 26 de marzo de 2026 | Aprobación de la ley de transposición alemana; la BNetzA actúa como autoridad supervisora | Todas las empresas que operan en Alemania |
| 12 de septiembre de 2026 | «Access by Design» para nuevos productos conectados | Fabricantes de productos IoT (excepto pymes) |
| 12 de enero de 2027 | Prohibición de tarifas generales de egreso (egress fees) | Todos los proveedores de servicios cloud |
| 2028 | La Comisión Europea evalúa el impacto en las pymes | La exención para pymes se somete a revisión |
Fuentes: Reglamento (UE) 2023/2854, Bundestag alemán, semana 13/2026, Ministerio Federal de Economía y Acción Climática (BMWK)
La fecha clave en el calendario es el 12 de septiembre de 2026. En esa fecha entra en vigor la obligación de «Access by Design» para todos los productos que se comercialicen por primera vez a partir de entonces. Los fabricantes que planeen lanzar nuevas generaciones de productos en otoño de 2026 deben tener ya lista la arquitectura de sus interfaces de datos, redactada la documentación de sus APIs y validados sus conceptos de acceso por el departamento jurídico. Quien espere hasta agosto para empezar, llegará tarde.
El papel de la Bundesnetzagentur
Con la Ley de aplicación del Data Act, la Bundesnetzagentur (Agencia Federal de Redes de Alemania) asume una nueva función reguladora en un ámbito hasta ahora fragmentado entre protección de datos, derecho de la competencia y política digital. Se convierte así en el punto central de contacto para reclamaciones, consultas e interpretación normativa. La agencia puede iniciar investigaciones, obligar a las empresas a proporcionar información, dictar medidas provisionales y, si es necesario, imponer multas coercitivas.
Fuente: Bundestag alemán, sesión plenaria KW13/2026
500.000 euros por infracción es una cifra moderada en comparación internacional: el RGPD contempla hasta 20 millones de euros y la Ley de Mercados Digitales (DMA), hasta el 10 % de la facturación global. Sin embargo, para una empresa industrial de tamaño medio con una facturación anual de 25 millones de euros, una multa de seis cifras supone un freno significativo, especialmente si se detectan varias infracciones simultáneamente. Más allá del importe absoluto, lo decisivo es el efecto disuasorio: la BNetzA es una autoridad operativa con 3.200 empleados y amplia experiencia en aplicación normativa -desde la regulación de telecomunicaciones y la supervisión del mercado energético hasta el sector postal-. No permitirá que el Data Act quede sin efecto práctico.
Lo que las pymes pueden esperar ahora son las primeras directrices y consultas públicas de la Bundesnetzagentur, normalmente a principios del verano de 2026. Estas orientaciones precisarán conceptos jurídicos indeterminados, ofrecerán modelos de cláusulas para contratos cloud y aclararán los límites entre la exención aplicable a las pymes y las obligaciones generales. Quienes dispongan de tiempo para participar activamente en estas consultas podrán influir en la interpretación normativa a su favor; asociaciones como VDMA y Bitkom ya preparan documentos de posicionamiento al respecto.
Plan de seis puntos para las pymes
Para las empresas medianas (Mittelstand) se recomienda un enfoque estructurado basado en seis pasos claros, que pueden implementarse en los próximos cinco meses:
- Definir el alcance: ¿Qué productos y servicios de la propia empresa entran dentro del ámbito del Data Act? ¿Quién es fabricante, quién proveedor de nube y quién cumple ambos roles? Sin una categorización clara, cualquier medida posterior será fragmentaria.
- Verificar la excepción para pymes: Comparar el número de empleados y la facturación del último ejercicio. Incluso en estructuras de holdings se aplica la consideración a nivel de grupo: sociedades individuales pueden superar el umbral si la sociedad matriz lo hace.
- Inventariar la arquitectura de datos: ¿Qué datos generan realmente los productos conectados? ¿Dónde se almacenan, quién tiene acceso y qué interfaces ya existen? Este inventario constituye la base para implementar el principio de «acceso por diseño» (Access-by-Design).
- Elaborar una hoja de ruta para APIs: A partir de septiembre de 2026, los nuevos productos deberán disponer de una interfaz de acceso documentada -típicamente REST o MQTT con autenticación OAuth-. Para los productos existentes hay que tomar una decisión de adaptación retroactiva (retrofit): actualizarlos o comercializarlos sin Access-by-Design.
- Revisar los contratos con proveedores cloud: Revisar los contratos vigentes de procesamiento de datos en busca de cláusulas sobre portabilidad. Si incluyen tarifas fijas por egreso de datos (egress fees), deben ajustarse antes del 12 de enero de 2027. Los nuevos contratos deben redactarse conforme al Data Act; se espera que se publiquen cláusulas modelo en otoño de 2026.
- Designar un interlocutor: La ley de transposición exige un punto de contacto interno para atender solicitudes de usuarios y consultas de autoridades. Funcionalmente, el delegado de protección de datos es una opción natural, aunque técnicamente debe haber coordinación estrecha entre gestión de producto y TI.
Quien complete estos seis pasos antes de finales de junio podrá afrontar septiembre con tranquilidad. Quien recién despierte en agosto dependerá de las orientaciones provisionales de la Bundesnetzagentur (BNetzA) y de talleres puentes organizados por asociaciones empresariales: posible, pero innecesariamente estresante.
Contexto: la Ley de Datos en el conjunto regulatorio de 2026
La Ley de Datos (Data Act) forma parte de un amplio paquete de normativas de la UE que ocupará a las pymes en 2026. La transposición de la directiva NIS2 aborda la ciberseguridad en sectores críticos, la Ley de Inteligencia Artificial de la UE regula el uso de sistemas de IA con especial atención a las aplicaciones de alto riesgo y la obligación de facturación electrónica transforma los procesos contables. Por su parte, el euro digital plantea nuevas interrogantes sobre los procesos de pago. En este escenario, la Ley de Datos se incorpora como cuarto pilar fundamental y se solapa con las demás normativas en distintos puntos: con NIS2 en las obligaciones de notificación y protección de sistemas conectados, con la Ley de IA en el tratamiento de datos de entrenamiento y con la facturación electrónica en los formatos de datos.
Para las pymes esto significa que los proyectos de cumplimiento normativo no pueden planificarse de forma aislada. Quien ya esté replanteando su infraestructura tecnológica mediante una decisión de externalización (Managed Services) debería integrar desde el inicio los requisitos de la Ley de Datos en la selección de proveedores. Asimismo, quien implemente un nuevo sistema ERP debe diseñar sus interfaces API de modo que cumplan directamente con la obligación de «acceso por diseño» (access-by-design). La clave está en agrupar los distintos proyectos regulatorios en lugar de ejecutarlos en paralelo: así se reducen costes y se alivia la presión sobre los recursos informáticos, ya de por sí limitados.
Conclusión
La Ley de aplicación del Data Act (Data-Act-Durchführungsgesetz) cierra una laguna importante en la regulación digital alemana. La Agencia Federal de Redes (Bundesnetzagentur, BNetzA) asume el rol de autoridad de control. El marco de sanciones es manejable, pero debe tomarse en serio. La excepción para las pymes alivia al menos al 90 % de los fabricantes medianos de dispositivos IoT de las obligaciones de acceso a datos. Lo que sí se mantiene es la normativa sobre la portabilidad entre proveedores de nube (cloud switching), que afecta a todos los proveedores de servicios de procesamiento de datos, incluso a aquellos cuyos ingresos estén por debajo del umbral establecido.
La fecha límite del 12 de septiembre de 2026 puede parecer lejana, pero no lo es. Las decisiones arquitectónicas sobre interfaces API, actualizaciones de software, plantillas contractuales y responsabilidades internas requieren tiempo de preparación. Quien empiece hoy dispone de cinco meses; quien espere hasta agosto tendrá solo cuatro semanas y ningún margen para imprevistos. El momento adecuado para realizar el análisis de alcance (scope analysis) es ahora, no cuando se publiquen las primeras directrices de la BNetzA.
Más análisis de la redacción
Implementación de la NIS2: lo que las pymes aún deben hacer
Ley de IA de la UE: quedan 4 meses hasta la fecha límite principal
Factura electrónica: faltan 9 meses para la obligación de envío
Preguntas frecuentes
¿Se aplica la excepción para PYME también a filiales de grupos empresariales de tamaño medio?
La evaluación se realiza generalmente a nivel del grupo empresarial. Una GmbH independiente con 30 empleados que sea filial de una holding con 300 trabajadores no puede acogerse a la excepción para PYME. Lo determinante es la unidad económica completa según las definiciones de la UE para pequeñas y medianas empresas (Recomendación 2003/361/CE). Las empresas integradas en estructuras de grupo deben analizar cuanto antes sus relaciones societarias e incluir los umbrales del grupo.
¿Cuánto cuesta la implementación para un fabricante de maquinaria típico con 200 empleados?
El rango es amplio. Quien ya cuente con una integración moderna entre tecnologías operativas (OT) e informáticas (IT), datos de producto documentados y una gestión funcional de APIs, podrá cumplir con un esfuerzo razonable en asesoría jurídica, adaptación contractual y procesos internos. En cambio, quien hasta ahora solo haya facilitado el acceso a los datos de sus máquinas mediante herramientas propietarias de distribuidores deberá implementar una pasarela API, autenticación y documentación -un proyecto que requiere varios meses y un presupuesto acorde. Solo un análisis de brechas específico ofrece una estimación fiable; cifras genéricas resultan engañosas.
¿Debemos aplicar la obligación de «Access-by-Design» también a máquinas vendidas en 2024?
No. La obligación solo afecta a productos introducidos por primera vez en el mercado tras el 12 de septiembre de 2026. Las máquinas ya vendidas no están sujetas a esta obligación de adaptación retroactiva. No obstante, los fabricantes de líneas de producto existentes deberían evaluar si pueden utilizar su infraestructura de actualización para ofrecer «Access-by-Design» de forma voluntaria, lo que refuerza la confianza del cliente y facilita el desarrollo de futuras generaciones de productos.
¿Cómo se relaciona el Data Act con la normativa vigente de protección de datos según el RGPD?
Ambos marcos normativos coexisten y actúan en ámbitos distintos. El Reglamento General de Protección de Datos (RGPD) protege los datos personales de personas físicas y otorga derechos de acceso a los interesados. El Data Act regula el acceso a datos de producto y servicio independientemente de su carácter personal y se dirige a los usuarios -incluidas empresas compradoras de maquinaria-. Si los datos generados son personales, como información sobre conductores procedente de un vehículo, ambos regímenes se aplican simultáneamente, prevaleciendo el RGPD en caso de conflicto. La Bundesnetzagentur y las autoridades de control de protección de datos deberán colaborar estrechamente.
¿Qué ocurre si un proveedor cloud no cumple las normas sobre tarifas de egreso a partir de enero de 2027?
La Bundesnetzagentur (Agencia Federal de Redes de Alemania) puede intervenir tras recibir una reclamación de clientes. Las tarifas de egreso generalizadas serán consideradas inadmisibles y el proveedor deberá ajustar su tarifa. En la práctica, esto comenzará con una advertencia formal y un plazo para corregir la situación; solo en caso de negativa se impondrán multas de hasta 500.000 euros. Para las empresas afectadas, esto significa: presentar reclamación ante la BNetzA y, paralelamente, exigir compensaciones al proveedor. Por primera vez en Alemania existe una base legal efectiva, que será precisada por los tribunales en los próximos meses.
¿Quién supervisa la implementación en otros países de la UE?
Cada Estado miembro designa su propia autoridad competente. En Francia son la CNIL y la ARCOM conjuntamente; en Austria, la RTR; en Italia, la AGCOM. La Comisión Europea coordina a través de un Consejo de Innovación en Datos que elaborará directrices uniformes. Para empresas con actividad en toda la UE esto implica: normas básicas idénticas, pero interlocutores distintos por país. Se recomienda establecer una unidad central de coordinación interna, especialmente para alinear a las filiales.
Fuente de la imagen principal: Pexels / Marco
