Innovació

El pasado 12 de septiembre de 2025 entró en aplicación el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828. Este texto, más comúnmente conocido como “Data Act” o “Ley de Datos”, marca un antes y un después en la forma en que se regulan los datos generados por los productos conectados o “Internet of Things” (IoT) y los servicios digitales en la Unión Europea. La norma es una de las piezas centrales de la estrategia europea de datos y se presenta como un instrumento fundamental para alcanzar los objetivos de la Década Digital e impulsar la transformación tecnológica de la Unión Europea.

La gran novedad del Data Act es que deja atrás la idea de “propiedad” del dato para poner el acento en el control de acceso. Hasta ahora, los fabricantes y proveedores eran los principales custodios de la información que generaban los dispositivos IoT. Los usuarios -tanto consumidores como empresas- a menudo se encontraban en una situación de dependencia, sin posibilidad real de recuperar o reutilizar sus propios datos. El nuevo reglamento corrige esta asimetría estableciendo un conjunto de derechos claros para los usuarios y de obligaciones concretas para los titulares de los datos, con el objetivo de construir un mercado más justo, interoperable y competitivo.

Uno de los pilares del Data Act es el derecho de acceso (art. 4). Cuando un usuario utiliza un producto conectado, como un vehículo inteligente, una máquina industrial o un televisor con conexión a internet, genera un flujo constante de información: datos de rendimiento, de consumo, de entorno o de interacción. Hasta ahora, este flujo quedaba en manos del fabricante. A partir de ahora, los usuarios tendrán derecho a obtener estos datos sin coste adicional, sin demora y en formatos estructurados y legibles por máquina. La norma establece que estas condiciones deben ser siempre justas, transparentes y no discriminatorias, y al mismo tiempo garantiza la preservación de secretos comerciales, derechos de propiedad intelectual y datos personales.

El reglamento también introduce un elemento transformador: la posibilidad de que los usuarios compartan sus datos con terceros de su elección (art. 5). Esto significa que un agricultor podrá enviar directamente la información de rendimiento de su maquinaria a un proveedor de servicios de análisis independiente, o que un consumidor podrá autorizar a un taller local a recibir los datos de su vehículo conectado para realizar reparaciones más eficientes. Esta apertura pretende fomentar una competencia más sana y romper monopolios encubiertos, ampliando las opciones disponibles para usuarios y empresas.

Además, la norma prevé supuestos especiales, como el derecho de las administraciones públicas a acceder a datos del sector privado en situaciones de emergencia (art. 15). En estos casos, los datos deberán facilitarse sin coste, pero el titular recibirá un reconocimiento público por su papel en la gestión de la crisis. Este mecanismo busca equilibrar el interés general con la necesidad de mantener la confianza entre actores públicos y privados.

No obstante, el despliegue práctico del Data Act no será sencillo. Las empresas deberán coordinar equipos técnicos, jurídicos y comerciales para garantizar el cumplimiento de las obligaciones. Será necesario revisar contratos, repensar procesos internos y rediseñar productos para que sean compatibles con el principio de accesibilidad. Pero esta misma complejidad encierra una oportunidad. Las organizaciones que se adapten con rapidez no solo cumplirán con la ley, sino que podrán situarse a la vanguardia de un mercado de datos más dinámico, diverso y abierto.

En definitiva, el Data Act no otorga la propiedad de los datos a los usuarios, pero sí rompe los muros que impedían su acceso y uso. Es una norma que abre la puerta a nuevas formas de competencia y colaboración y que, bien aplicada, puede convertirse en un motor de crecimiento e innovación para todo el ecosistema europeo. Las empresas e instituciones que entiendan este cambio no como una carga, sino como una oportunidad, tendrán mucho ganado en la carrera hacia la nueva economía del dato.

En cualquier caso, conviene destacar que la nueva regulación se aplica tanto a datos personales como no personales y, por tanto, se encuentra en interacción con el Reglamento General de Protección de Datos (RGPD). Cuando se trate de información de carácter personal, el RGPD seguirá siendo la norma de referencia y prevalecerá sobre el Data Act en calidad de legislación especial. Esto implica, en otras palabras, que ambas normas serán complementarias y deberán actuar de manera coordinada.

La consulta pública de la Comisión Europea revela carencias en flexibilidad, acceso al mercado y resiliencia de las Directivas vigentes, y apunta a la necesidad de una reforma que simplifique los procedimientos, refuerce los objetivos estratégicos y adapte el sistema a los nuevos retos económicos y sociales.

Durante el mes de mayo de 2025, la Comisión Europea publicó el informe de resultados de la consulta pública sobre la evaluación de las Directivas de Contratación Pública de 2014. Con la participación de 733 respuestas provenientes de agentes públicos, privados y de la sociedad civil, el informe ofrece una visión crítica y reflexiva sobre los logros y las carencias del marco actual. Como jurista especializado en contratación pública, estas conclusiones invitan a reflexionar sobre el presente y el futuro de la regulación en este ámbito clave para el funcionamiento del mercado interior europeo.

Uno de los aspectos más destacados es la percepción generalizada de que las Directivas no han alcanzado los objetivos de flexibilidad y simplificación normativa: el 54 % de los participantes considera que no se han establecido normas más sencillas, y el 49 % cree que el sistema sigue siendo poco flexible. Sin embargo, se valora positivamente la digitalización, especialmente por parte del sector privado, donde el 57 % de las empresas afirma que la contratación electrónica (eProcurement) ha reducido la carga administrativa y ha agilizado los procedimientos.

En cuanto a la integridad y la transparencia, la valoración es más favorable: un 62 % reconoce que las Directivas han incrementado la transparencia gracias a la estandarización de la publicidad de los procedimientos. No obstante, solo un 38 % percibe que se haya reducido la corrupción, lo que sugiere que todavía queda margen para reforzar los controles y la supervisión.

El acceso al mercado, especialmente para las pymes, sigue siendo un desafío. El 46 % de los encuestados no observa un aumento de la competencia como consecuencia del marco actual.

Cabe destacar también el componente estratégico de la contratación pública, uno de los grandes ejes de las Directivas de 2014. Aunque los poderes adjudicadores afirman haber incorporado criterios ambientales, sociales y de innovación, los operadores privados discrepan: más del 50 % considera que las Directivas no han fomentado activamente estas prácticas. Paralelamente, cerca de un tercio de los encuestados cuestiona la relevancia actual de estas normas, lo que refleja una desconexión entre el marco jurídico y las capacidades reales de los operadores económicos para adaptarse a él.

Los retos relacionados con la resiliencia, como la respuesta a crisis sanitarias o de seguridad, ponen de manifiesto las limitaciones estructurales del modelo actual: el 49 % considera que las Directivas no están preparadas para contribuir eficazmente a la autonomía estratégica de la UE, y el 44 % duda de su adecuación para afrontar disrupciones en las cadenas de suministro.

Estas conclusiones reflejan una tensión entre los principios rectores de la contratación pública y la creciente presión para que esta cumpla objetivos estratégicos, sociales y ambientales, lo que plantea la necesidad de una revisión normativa que aborde una simplificación real y efectiva del régimen jurídico (especialmente en los procedimientos de menor valor y en la aplicación de criterios cualitativos), el refuerzo de las capacidades técnicas y digitales tanto en las administraciones como en los operadores económicos y la adecuación del marco normativo a los contextos de emergencia, que permitan garantizar el interés general sin sacrificar la legalidad.

El 21 de mayo de 2025, la Comisión Europea presentó el cuarto paquete de simplificación legislativa, conocido como «Omnibus IV», con el objetivo de reducir las cargas administrativas para las empresas medianas de la Unión Europea. Estas medidas buscan fomentar la competitividad, la innovación y la creación de empleo, especialmente en un contexto de rivalidad económica con Estados Unidos y China.

¿Qué son las «small mid-caps»?
Las small mid-caps son empresas que cuentan con entre 250 y 750 empleados y un volumen de negocio de hasta 150 millones de euros o activos totales de hasta 129 millones de euros. En la UE, hay aproximadamente 38.000 empresas que cumplen con estos criterios. Estas empresas a menudo se encuentran en una posición intermedia: demasiado grandes para beneficiarse de las exenciones destinadas a las pymes, pero sin la capacidad administrativa de las grandes corporaciones.

Medidas clave del paquete Omnibus IV

1. Extensión de beneficios regulatorios
   Las small mid-caps podrán acceder a ventajas que hasta ahora estaban reservadas a las pymes, como, por ejemplo:

• Simplificación de las obligaciones en materia de protección de datos, permitiendo el almacenamiento únicamente de datos personales de alto riesgo.
• Reducción de los requisitos de información en ámbitos como los mercados financieros y la sostenibilidad.
• Posibilidad de utilizar prospectos simplificados para emisiones públicas de valores, con un ahorro estimado de 20.000 euros por operación.

2. Digitalización y eliminación de trámites redundantes
   Se impulsará la digitalización de procesos, como, por ejemplo:

• Eliminación de la necesidad de proporcionar documentos físicos, como declaraciones de conformidad o instrucciones de uso.
• Uso de códigos QR para la información de productos, facilitando el acceso a datos por parte de los consumidores y las autoridades.

3. Armonización normativa
   Se llevará a cabo un análisis para identificar y corregir incoherencias en la transposición de normas europeas entre los Estados miembros, con el objetivo de facilitar la libre circulación de bienes y servicios dentro del mercado único.

Impacto económico esperado
La Comisión estima que estas medidas podrían suponer un ahorro anual de 400 millones de euros para las empresas medianas. Además, se espera que la reducción de cargas administrativas impulse la competitividad, la innovación y la creación de empleo en sectores clave como la construcción, la energía, las telecomunicaciones y los servicios financieros.

Próximos pasos
El paquete Omnibus IV deberá ser aprobado por el Parlamento Europeo y el Consejo de la UE. Se prevé que el proceso legislativo se extienda durante los próximos meses, con el objetivo de que las medidas entren en vigor antes de finales de 2025.

Estas iniciativas forman parte de un esfuerzo más amplio de la Comisión para reducir las cargas administrativas en un 25 % para todas las empresas y en un 35 % para las pymes antes de 2029.

Con este paquete, la UE busca reforzar su tejido empresarial medio, reconociendo su papel fundamental en la economía europea y la necesidad de proporcionarles un entorno regulador más favorable para su crecimiento y expansión.

El Decreto 40/2025 regula el RELIC y el RPC con novedades para garantizar más transparencia y eficiencia en la contratación pública.

El Diario Oficial de la Generalitat de Cataluña (DOGC) ha publicado el Decreto 40/2025, de 11 de marzo, que regula el Registro de Empresas Licitadoras y Clasificadas de Cataluña (RELIC) y el Registro Público de Contratos de Cataluña (RPC). Esta normativa introduce diversas mejoras para optimizar la calidad de la información, favorecer la transparencia y avanzar en la contratación pública electrónica.

Entre las principales novedades, destaca la inscripción de oficio en el RELIC de la documentación presentada en las solicitudes de clasificación empresarial, así como la obligación de los órganos de contratación de informar sobre cambios en los requisitos para contratar o sobre la detección de información falsa. Además, se establecen sanciones por la falta de actualización de los datos, con suspensiones de cinco años y cancelaciones de diez años.

En cuanto al RPC, todos los órganos de contratación de Cataluña deberán comunicar en él los datos básicos de los contratos sin necesidad de un convenio previo. En el caso de la Administración de la Generalitat y su sector público, también será obligatorio informar sobre el cumplimiento y la evaluación de los contratos. Además, se agiliza la comunicación con la Sindicatura de Cuentas y el Registro de Contratos estatal a través de la Secretaría Técnica de la Junta Consultiva de Contratación Pública de Cataluña.

El decreto también garantiza el acceso público a determinada información durante los últimos cinco años sin necesidad de identificación previa y prevé la interoperabilidad entre el Sistema Corporativo de Contratación Pública Electrónica de Cataluña y el Directorio de Empresas de la Ley 18/2020.

Esta nueva regulación entrará en vigor el 2 de abril de 2025 y se completará con la puesta en marcha de una nueva herramienta informática para la gestión del RELIC.

El 1 de agosto de 2024 marcó un punto de inflexión en la regulación tecnológica europea con la entrada en vigor del Reglamento Europeo de Inteligencia Artificial, conocido como AI Act. Este marco normativo, pionero a escala mundial, tiene como objetivo fomentar el desarrollo y la implementación responsables de la inteligencia artificial (IA) en la Unión Europea (UE), abordando los posibles riesgos para la salud, la seguridad y los derechos fundamentales de los ciudadanos.

La entrada en vigor del Reglamento Europeo de Inteligencia Artificial representa un paso decisivo hacia una regulación integral de la IA en la UE. Este marco normativo establece las bases para un desarrollo y uso de la IA que sean seguros, éticos y respetuosos con los derechos fundamentales, posicionando a Europa como líder en la gobernanza responsable de las tecnologías emergentes.

El AI Act establece una clasificación de los sistemas de IA basada en el nivel de riesgo que pueden representar:

1. Riesgo Inaceptable: Sistemas de IA prohibidos por considerarse una amenaza para los derechos fundamentales, como la manipulación subliminal que pueda provocar daños o la puntuación social por parte de los gobiernos.
2. Riesgo Alto: Sistemas que afectan sectores críticos como la educación, el empleo, las infraestructuras esenciales y la administración de justicia. Estos sistemas están sujetos a estrictas obligaciones de transparencia, supervisión humana y evaluación de conformidad antes de su comercialización.
3. Riesgo Limitado: Sistemas que requieren obligaciones específicas de transparencia, como informar a los usuarios de que están interactuando con una IA, garantizando así una toma de decisiones informada.
4. Riesgo Mínimo o Nulo: Sistemas que representan un riesgo mínimo para los derechos o la seguridad de los usuarios y que, por tanto, no están sujetos a obligaciones adicionales.

El reglamento impone diversas obligaciones tanto a los proveedores como a los usuarios de sistemas de IA:

• Proveedores: Deben garantizar que los sistemas de IA de riesgo alto cumplan con los requisitos de gestión de riesgos, gobernanza de datos, documentación técnica, transparencia, supervisión humana y robustez. Además, están obligados a registrar estos sistemas en una base de datos de la UE antes de su comercialización.
• Usuarios: Deben utilizar los sistemas de IA según las instrucciones proporcionadas, asegurarse de que estén bajo supervisión humana y monitorear su funcionamiento para informar de cualquier incidente grave o mal funcionamiento.

El AI Act busca equilibrar la promoción de la innovación con la protección de los derechos fundamentales. Al imponer obligaciones proporcionales al nivel de riesgo, se pretende mitigar posibles daños sin, en teoría, obstaculizar el desarrollo tecnológico. Sin embargo, surgen desafíos en la interpretación y aplicación de estas normas, especialmente en lo que respecta a la definición de las categorías de riesgo y la implementación de medidas de supervisión y transparencia.

La continua evolución de las amenazas cibernéticas ha dado origen a nuevos desafíos, poniendo de manifiesto ciertas limitaciones que dificultan abordar de manera eficaz los retos actuales y emergentes en el ámbito de la ciberseguridad. En este contexto, la Directiva NIS2 surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas establecidas en la Directiva NIS1, erigiéndose como un marco normativo estratégico para abordar los retos actuales en materia de ciberseguridad en el marco de la Unión Europea. La Directiva NIS 2 entró en vigor el 16 de enero de 2023, y su transposición en España se hará a través del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad aprobado el pasado 14 de enero de 2025 por el Consejo de Ministros.

La NIS2 amplía el ámbito de aplicación, dotando así de una mayor cobertura a los sectores y servicios de más relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado. El sector sanitario forma parte de los sectores de alta criticidad, y en él se incluye: laboratorios de referencia de la UE, entidades que realizan actividades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas y entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública.

Además, la NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis (EU-CYCLONe). Todas las medidas deben, por un lado, ser proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes; y, por otro lado, tener en cuenta el estado de la técnica, y cuando proceda, las normas europeas e internacionales.

En cuanto a la notificación de incidentes, solo en 2023, los países de la UE notificaron 309 incidentes de ciberseguridad graves contra sector sanitario, más que en cualquier otro sector crucial. Además, hay que considerar que el 54% de los ciberataques en el sector de la salud implican ransomware.

Tal y como se indica en el Informe de prospectivas de ciberseguridad para el 2024 de la Agencia de Ciberseguridad de Cataluña  “Se identifica, en primer lugar, que el sector salud emerge como un objetivo principal, ya que se enfronta a amenazas que pueden paralizar los sistemas críticos de salud pública y comprometer datos sensibles de pacientes. (…) El reto de implementar un entorno de ciberseguridad robusto y avanzado en Cataluña también exige adquirir y desplegar de forma efectiva nuevas capacidades. La aplicación de inteligencia artificial, para automatizar y escalar las defensas cibernéticas, junto con la incorporación de otras tecnologías punteras, es imprescindible para hacer frente a la evolución de las ciberamenazas. Además, hay que adoptar una estrategia de ciberseguridad proactiva, flexible y adaptable ágilmente a los cambios dinámicos y a la evolución de las amenazas cibernéticas.”

Los ciberataques también tienen consecuencias en la normativa de protección de datos. Por ello, es importante que el responsable sea consciente de cómo ha evolucionado el contexto de brechas de datos personales en el ámbito de la salud y, en particular, de los ciberincidentes de tipo ransomware que se han multiplicado en los últimos años, y que afectan a todo tipo de organizaciones asistenciales. Son varias las resoluciones sancionadoras de la Agencia Española de Protección de Datos que se han publicado en los últimos tiempos derivadas de ransomware, por ejemplo, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecología SLP, en que se imputan infracciones de los arts. 5.1.f), 32 y 34 del Reglamento General de Protección de Datos (RGPD); o los procedimientos de la Autoridad Catalana de Protección de Datos PS 1/2024 y PS 4/2024, referentes al Hospital Clínic de Barcelona y Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en los que se declara una infracción del art. 83.4.a en relación con el art. 32.1 RGPD e infracción del art. 83.4.a en relación con el art. 32.2 RGPD.

En definitiva, de todo lo expuesto se desprende que la ciberseguridad seguirá marcando la agenda de las organizaciones del sector salud durante los próximos ejercicios, así como también de la política comunitaria. El pasado 15 de enero de 2025 la Comisión Europea presentó un plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, que tiene como objetivo crear un entorno más seguro y protegido para los pacientes.  Esta iniciativa marca la primera iniciativa sectorial específica para desplegar toda la gama de medidas de ciberseguridad de la UE. El Plan se basa en las cuatro prioridades siguientes:

1. Prevención mejorada.  El plan ayuda a desarrollar las capacidades del sector sanitario para prevenir incidentes de ciberseguridad a través de medidas de preparación mejoradas, como orientaciones sobre la aplicación de prácticas críticas de ciberseguridad.
2. Mejor detección e identificación de amenazas. Se desarrollará un servicio de alerta temprana a escala de la UE, que ofrecerá alertas casi en tiempo real sobre posibles ciberamenazas, de aquí a 2026.
3. Respuesta a los ciberataques para minimizar el impacto. El plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la Reserva de Ciberseguridad de la UE.
4. Disuasión. Proteger los sistemas sanitarios europeos disuadiendo a los agentes de ciberamenazas de atacarlos. Esto incluye una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.

Seguiremos con interés los pasos previstos para 2025-2026 definidos en el Plan y analizaremos si con ello dejan de aumentar año tras año los ciberataques a hospitales y otros prestadores de asistencia sanitaria.