Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Red Hot Cyber Academy

Ley de Datos: ¿Otra regulación más? Sí. Pero esta realmente cambia las reglas del juego (incluso para quienes trabajan en seguridad).

Sandro Sana : 2 octubre 2025 16:08

Cada vez que Bruselas publica un nuevo acrónimo, alguien en la empresa resopla: «¿Más papel?». Sucede. Pero la Ley de Datos no es solo un sello para añadir a la carpeta: aclara quién puede acceder a los datos, bajo qué condiciones y cómo salir de un proveedor de nube sin quedar atrapado. En un mercado dominado por productos conectados, plataformas y contratos de «tómalo o déjalo», es un cambio radical tangible.

El Reglamento entró en vigor el 11 de enero de 2024 y se aplicará en toda la UE a partir del 12 de septiembre de 2025. El objetivo es crear un mercado de datos más justo y competitivo: menos dependencia, mayor interoperabilidad y mayores derechos para usuarios y empresas. En otras palabras, los datos ya no están en manos de fabricantes o proveedores de servicios en la nube, sino que se convierten en un recurso que los usuarios pueden aprovechar.

¿Qué es, en pocas palabras?

Se trata de una regulación horizontal que abarca datos personales y no personales y afecta a tres áreas clave. La primera: datos generados por productos conectados (máquinas, vehículos, domótica, sensores). Los usuarios del dispositivo tienen derecho a acceder a dichos datos y compartirlos con terceros de su elección, como un proveedor de mantenimiento independiente. La segunda: relaciones B2B , donde la Ley de Datos limita las cláusulas contractuales impuestas unilateralmente que restringen el uso de datos. La tercera: servicios de procesamiento de datos (en la nube y en el borde), con normas que exigen portabilidad, interoperabilidad y la eliminación de barreras técnicas y contractuales para el cambio.

También está el problema del acceso de la administración pública a los datos : no es una vía completamente abierta. Nos referimos a «necesidades excepcionales», es decir, emergencias o casos específicos previstos por ley, con solicitudes específicas, temporales y justificadas. La idea no es «apropiarse de todo», sino permitir intervenciones cuando sea realmente necesario.

Seguridad, propiedad intelectual y secretos comerciales

Primero, la pregunta que todos se hacen: «¿Debería entonces revelar mis secretos?». No. La Ley de Datos exige medidas adecuadas para proteger los secretos comerciales y la propiedad intelectual. Si el usuario o un tercero incumple las medidas de protección, se puede suspender la divulgación. La lógica es simple: derechos de acceso y reutilización sí, saqueo no .

También existe una cláusula de precaución geopolítica : para los datos no personales conservados en la Unión, se requieren salvaguardias para evitar el acceso o las transferencias fuera de la UE que sean incompatibles con la legislación europea. Para quienes tienen cadenas de suministro de datos globales, esto no es un detalle menor.

Por qué a los CISO, CIO y abogados realmente les importa

Para quienes construyen dispositivos conectados, el mensaje es claro: diseñar «mediante el intercambio de datos «. No basta con simplemente «generar» datos: los usuarios deben poder acceder a ellos y compartirlos de forma segura y rastreable. Se requieren una autenticación robusta, registro, seudonimización cuando corresponda, gestión oportuna de secretos comerciales, gobernanza de solicitudes y un canal oficial para procesarlas sin improvisaciones.

Para quienes compran o venden la nube, los eslóganes se convierten en hechos. Cambiar se convierte en un derecho: los contratos deben especificar cómo salir, en qué plazo, con qué soporte y en qué condiciones financieras. A nivel técnico, se necesitan formatos de exportación abiertos, mapeos semánticos, automatización de la portabilidad, orquestación multicloud y criterios de interoperabilidad medibles . Este es el antídoto estructural contra el encierro y también representa la resiliencia operativa.

Para quienes redactan o releen contratos B2B, la Ley de Datos desmantela muchas cláusulas restrictivas en materia de responsabilidad, recursos e interpretación de los derechos de uso. En definitiva, se mantiene la libertad contractual, pero la equidad vuelve a ser la prioridad: ciertas condiciones ya no vinculan a la parte más débil.

Finalmente, el proceso B2G : contar con una política interna para gestionar las solicitudes de AP. Verificar la base legal, determinar las necesidades excepcionales, minimizarlas, darles seguimiento y retenerlas. Evitar respuestas improvisadas: los roles, los flujos de trabajo y un registro de solicitudes son esenciales.

¿Qué cambia «a partir del lunes por la mañana»?

Dejemos de considerarlo una obligación más y considérelo un factor competitivo . Los datos de producto impulsan nuevos servicios posventa, mantenimiento predictivo y cadenas de suministro más transparentes. La interoperabilidad en la nube facilita estrategias multicloud menos románticas y más medibles , lo que reduce el riesgo operativo. La claridad contractual en las relaciones B2B evita disputas y acorta la rentabilidad de los proyectos basados en datos.

Y sí, implica trabajo real: mapear los flujos de datos, actualizar políticas y contratos, reforzar los controles, repensar la arquitectura para la portabilidad. Pero es trabajo que genera valor, no solo cumplimiento normativo.

Conclusión: menos eslóganes, más ingeniería (y contratos bien redactados)

¿Es la Ley de Datos una simple regulación más? Sí. Solo que esta, si se implementa, facilita el trabajo . Transfiere el poder a quienes usan los productos y pagan por los servicios, reduce las cadenas invisibles de dependencia y obliga a todos a tratar los datos como un bien común negociable con reglas claras. La diferencia radica en la ejecución: procesos sólidos, seguridad desde el diseño y, finalmente, contratos explícitos sobre acceso, intercambio y divulgación . El resto son solo excusas.

Sandro Sana
Miembro del grupo Red Hot Cyber. Se dedica a las Tecnologías de la Información desde 1990 y a la Ciberseguridad desde 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), ponente en SMAU 2017 y SMAU 2018, profesor en SMAU Academy & ITS, miembro de ISACA. Forma parte del Comité Científico del Centro Nacional de Competencia, donde contribuye a la dirección estratégica de las actividades de investigación, formación e innovación en ciberseguridad.

Lista degli articoli
Visita il sito web dell'autore

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...