La regulación que redefine cómo las empresas españolas crean, comparten y monetizan datos e inteligencia artificial.

La Unión Europea ha convertido 2024 y 2025 en un calendario decisivo para la economía de los datos. El AI Act, primera ley integral sobre inteligencia artificial del mundo, entró en vigor el 1 de agosto de 2024 y despliega sus obligaciones de forma escalonada hasta 2027 (Goodwin). En paralelo, la Data Act, publicada en el Diario Oficial el 22 de diciembre de 2023 será aplicable desde el 12 de septiembre de 2025 y abrirá a terceros los datos que generan los productos conectados (European Commission). Por primera vez, la legislación europea conecta la calidad de los datos con la rendición de cuentas algorítmica y con el derecho de portabilidad, obligando a los responsables de tecnología a mirar más allá del cumplimiento aislado y adoptar un enfoque de gobernanza integral.

Un cronograma que no admite retrasos

El AI Act prohíbe, desde el 2 de febrero de 2025, prácticas de “riesgo inaceptable” como el social scoring masivo o la identificación biométrica sin control judicial (Alexander Thamm). 

A partir del 2 de agosto de 2025 se activan los requisitos de transparencia y gobierno para los modelos de propósito general (GPAI) y entran en vigor las multas, que pueden alcanzar el 7 % de la facturación global o 35 millones de euros (Reuters). El 2 de agosto de 2026 llega el turno de los sistemas de alto riesgo (sanidad, finanzas, infraestructuras críticas, entre otros), y para agosto de 2027 todos los GPAI comercializados antes de 2025 deberán haber demostrado conformidad (Goodwin).

Un enfoque basado en riesgos

La ley clasifica la IA en cuatro niveles: riesgo inaceptable (prohibido), alto, limitado y mínimo (Alexander Thamm). 

Los sistemas de alto riesgo deberán superar evaluaciones de impacto, registrar logs detallados y habilitar supervisión humana. Los GPAI con “riesgo sistémico” afrontan obligaciones adicionales de evaluación, mitigación y adversarial testing anual, según las directrices publicadas por la Comisión el 18 de julio de 2025 (Reuters).

La piedra angular: calidad y trazabilidad del dato

El artículo 10 del AI Act exige que los modelos de alto riesgo se entrenen con datasets “relevantes, representativos, libres de sesgos y documentados” y que conserven el linaje completo de cada transformación (EU Artificial Intelligence Act). Esto convierte al catálogo de datos y a las herramientas de data lineage en piezas imprescindibles: permiten rastrear origen, permisos y limpieza de los datos, y facilitan auditorías regulatorias o internas.

Intersección con la Data Act

Cuando la Data Act sea aplicable el próximo 12 de septiembre de 2025, los usuarios de un producto conectado podrán pedir, sin coste, los datos que generan y compartirlos con terceros; las empresas deberán habilitar APIs o mecanismos seguros para ese traspaso (European Commission). Además, la norma obliga a eliminar cláusulas abusivas en los contratos de intercambio de datos, un punto que la Comisión complementará con “Model Contractual Terms” previstos para el primer semestre de 2026 (European Commission).

Tensión en el mercado financiero

La batalla por el control de los datos ya es palpable. JPMorgan anunció que empezará a cobrar a agregadores como Plaid o Yodlee por el acceso a cuentas bancarias, alegando costes de infraestructura y seguridad; la medida podría redefinir la economía del open banking y ha sido criticada por fintechs y capital riesgo (Reuters). En Europa, el debate resuena en un momento en que la Data Act eleva la portabilidad a derecho y el AI Act penaliza la opacidad algorítmica, lo que empuja a las entidades financieras a revisar tanto sus APIs como sus contratos de compartición de datos.

Qué significa para las empresas españolas

1. Sinergia regulatoria: cumplir el AI Act sin un programa robusto de gobernanza de datos será inviable; la Data Act amplía el perímetro de responsabilidad a cualquier producto IoT que genere datos en la UE.
2. Inversiones ineludibles: catálogos de datos, seguimiento de linaje y red teaming de modelos dejan de ser “mejoras” y pasan a ser requisitos legales en menos de un año.
3. Nuevo coste de no conformidad: las multas pueden superar a las del RGPD; el retraso en adaptarse compromete tanto el acceso a mercado como la confianza de clientes y socios.

Conclusión

La Unión Europea ha señalado un camino: transparencia, trazabilidad y control efectivo sobre los datos y la inteligencia artificial. La carga regulatoria es real, pero también lo es la oportunidad de posicionarse como proveedor fiable en la economía del dato. Las organizaciones que integren desde ahora la gobernanza de datos, la gestión de riesgos de IA y los futuros derechos de portabilidad llegarán a 2026 con sus modelos listos para innovar… y para pasar cualquier auditoría.

Si tienes dudas o necesitas acompañamiento en el camino hacia una mejor gobernanza de datos, en Numen Data estaremos encantados de ayudarte.