En 2026 ya no podrá tener encerrados los datos de sus clientes.
Esa es la traducción sobria de lo que entra en vigor el 12 de septiembre de 2026: el artículo 3(1) del Reglamento (UE) 2023/2854 — el Data Act europeo. Desde ese día, quien construya un sensor, conecte una máquina o entregue una aplicación que genere datos debe recordar, desde el primer boceto, que esos datos pertenecen al usuario — y deben quedar accesibles para él.
No es un tema nuevo. Es una fecha de caducidad.
Lo que regía hasta ahora, lo que regirá desde septiembre
El reglamento está en vigor desde enero de 2024. El primer bloque de obligaciones llegó el 12 de septiembre de 2025: derecho de acceso a los datos para usuarios de productos existentes, condiciones justas de cambio de nube, protección frente a cláusulas B2B abusivas. La mayoría de las pymes no lo notó: la presión venía desde lo alto de la cadena, donde los grandes fabricantes tuvieron que reaccionar. Las pymes aguas abajo se beneficiaron sin verlo.
El 12 de septiembre de 2026 cambia el destinatario.
A partir de ese día, el deber de diseño se aplica a todo producto conectado nuevo puesto en el mercado de la UE. „Data by design" es la fórmula oficial. Traducción: si su producto genera datos — y hoy casi todos lo hacen, desde el termostato hasta el control de taller — entonces su comprador debe poder acceder técnicamente a esos datos sin pedirle permiso.
Suena académico. Es una bomba.
Lo que significa para tres casas típicas
Constructor de máquinas con componente IoT. Quien quiera vender en 2027 una unidad de control conectada debe haber decidido para septiembre de 2026: ¿qué datos genera el aparato? ¿Quién puede acceder? ¿Cómo accede el comprador sin pasar por nuestro backend? Sin respuesta, el producto deja de ser legalmente vendible en la UE — no porque venga un inspector, sino porque el primer cliente importante lo pregunta en el pliego.
Casa de software con servicio cloud. ¿Qué pasa cuando un cliente dice: „Me llevo dos años de datos de máquina y me voy a otro sitio"? Si la respuesta es „técnicamente solo con el plan Premium", a partir de septiembre de 2026 está expuesto. El Data Act prohíbe las barreras artificiales al cambio. Los datos pertenecen al cliente, no al contrato.
Software asociativo, gestión de consultas, IT de taller. El umbral es más bajo de lo que se piensa. En cuanto su software produzca datos para otras empresas — datos de socios, de pacientes, de pedidos — usted forma parte de la cadena. La obligación no termina en los grandes nombres industriales. Termina en el último bit que una persona o una máquina ha producido en el producto.
Por qué se cruza con la CLOUD Act
El Data Act dice: los datos pertenecen al usuario. La CLOUD Act de 2018 dice: las autoridades estadounidenses pueden acceder a datos controlados por empresas estadounidenses, esté el servidor donde esté. Schrems II dice desde 2020: el derecho estadounidense no ofrece un nivel de protección adecuado para los datos europeos.
Si en 2026 construye un producto conectado y guarda sus datos en un hyperscaler estadounidense — incluso en „región UE" — su cliente se enfrenta a un conflicto que él solo no puede resolver. Su derecho de acceso choca con el derecho de una autoridad extranjera a interrumpirlo. Decide la arquitectura, no el contrato.
Es exactamente la trampa en la que han caído muchas pequeñas casas en los últimos cinco años. Apostaron por grandes plataformas estadounidenses porque era rápido y barato. Atadas así su arquitectura de datos a un régimen jurídico en tensión con el Data Act. En septiembre de 2026, esa tensión se vuelve visible — no en un tribunal, sino en el próximo pliego del cliente.
Lo que hace posible otra arquitectura
Una columna vertebral operativa que corre en servidores que usted controla no es una declaración política. Es una respuesta técnica a una pregunta jurídica. Los datos de sus clientes están donde usted puede alcanzarlos — no donde puede alcanzarlos el fiscal de otro país. Las interfaces están documentadas. Las exportaciones están integradas. Cambiar de proveedor es posible porque el formato es abierto — no porque una cláusula lo prometa.
Esa es la forma de claridad que el Data Act pide a la economía europea en 2026. No como un gesto. Como condición para seguir vendiendo.
La pregunta honesta
Imagine que en octubre de 2026 un cliente importante le pregunta en una auditoría: „¿Dónde están exactamente nuestros datos, y podemos acceder sin pasar por usted?" ¿Cuál es su respuesta?
Si la respuesta es „sí", todo bien. Si la respuesta es una explicación, debería empezar hoy.
¿Y ahora?
Lo que Tycho Platform hace diferente — columna vertebral operativa en su servidor →
Tres preguntas, una respuesta — el check de libertad digital →
Lea también: Europa responde a la CLOUD Act →
Este artículo describe el Reglamento (UE) 2023/2854 en la versión aplicable desde el 12 de septiembre de 2026. No sustituye al asesoramiento jurídico. Para un caso concreto, diríjase a un abogado especializado en derecho tecnológico.