Aviso legal: Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento jurídico. Si necesitas orientación sobre el cumplimiento de la Ley de Datos de la UE específico para tu organización, consulta con un abogado cualificado.
El 12 de septiembre de 2025, el Reglamento (UE) 2023/2854, la Ley de Datos de la UE, entró en plena aplicación en toda la Unión Europea. Si operas o contratas una plataforma de videoconferencia en la UE, las reglas sobre acceso a datos, cambio de proveedor y bloqueo contractual cambiaron significativamente en esa fecha.
Para muchos responsables de cumplimiento normativo y equipos jurídicos, la Ley de Datos ha quedado en un segundo plano, eclipsada por los ciclos de aplicación del RGPD y la Ley de IA de la UE. Es un error que merece corregirse ahora. La Ley de Datos introduce obligaciones que van mucho más allá de la privacidad: reestructura cómo los clientes SaaS pueden acceder a sus propios datos, cambiar de proveedor y negociar las condiciones contractuales. Ya no se puede dejar para después.
Este artículo recorre lo que realmente exige la Ley de Datos de la UE, si las plataformas de videoconferencia están probablemente dentro del alcance, qué datos deben ser portables y cómo la arquitectura de Digital Samba se alinea con estas obligaciones.
Índice
La Ley de Datos no es una regulación de privacidad limitada. Su ambición es estructural: abrir la economía de datos de la UE eliminando las barreras técnicas y contractuales que han permitido a los proveedores de plataformas acumular y retener datos que sus clientes generan pero a los que no pueden acceder ni mover con facilidad.
Vamos por partes. Para los proveedores de servicios de procesamiento de datos (la categoría que cubre cloud y SaaS), estas son las obligaciones que más peso práctico tienen en este momento.
Portabilidad e interoperabilidad de datos. Los clientes deben poder exportar sus datos en formatos estructurados, de uso común y legibles por máquina. Los proveedores también deben ofrecer interfaces abiertas y bien documentadas (en la práctica, APIs) que permitan transferir datos a un proveedor competidor o a la propia infraestructura on-premises del cliente. Según Cooley, los proveedores deben facilitar la transferencia de todos los datos exportables y activos digitales en un plazo máximo de 30 días, ampliable hasta un máximo de 7 meses solo en caso de inviabilidad técnica acreditada.
Preaviso de terminación máximo de dos meses. Esta es la disposición que más afectará directamente a los modelos comerciales SaaS. Según el artículo 25 de la Ley de Datos, los clientes pueden iniciar un cambio de proveedor en cualquier momento y activar la terminación del contrato con un preaviso máximo de dos meses, con independencia de si están a mitad de un contrato de tres años. Como ha señalado Addleshaw Goddard, esto funciona en la práctica como un derecho de resolución por conveniencia para todos los clientes cloud, al margen de la duración del contrato. Los contratos a plazo fijo siguen siendo legales, y se permiten penalizaciones proporcionales por terminación anticipada. Lo que no está permitido son los periodos de bloqueo largos impuestos mediante barreras contractuales de salida.
Obligación de facilitar el cambio. Los proveedores no pueden simplemente permitir el cambio en teoría mientras lo hacen costoso en la práctica. La Ley de Datos exige una facilitación activa: publicar registros online de formatos de datos y procedimientos de cambio, emitir avisos de transparencia por adelantado y mantener la continuidad del negocio y la seguridad durante un periodo de transición de 30 días.
Prohibición de tasas de cambio a partir de enero de 2027. Desde el 11 de enero de 2024, cuando el reglamento entró en vigor, los proveedores solo han podido cobrar tasas de cambio hasta sus costes reales de facilitar la transición. A partir del 12 de enero de 2027, todos los cargos por cambio están prohibidos por completo, con excepciones limitadas para escenarios de uso paralelo. Esta fecha límite es fija y se aplica con independencia de cuándo se firmó el contrato original.
Acceso de gobiernos de terceros países (artículo 32). Esta obligación se pasa por alto con frecuencia, pero tiene una incidencia directa aquí. El Capítulo VII de la Ley de Datos exige a los proveedores tomar todas las medidas técnicas, organizativas y legales adecuadas para prevenir el acceso ilegal de gobiernos de terceros países a datos no personales alojados en la UE. Los datos personales están cubiertos por separado por las normas de transferencia del Capítulo V del RGPD; el artículo 32 cubre la brecha para datos no personales como datos de sesión generados por máquina, logs y metadatos de uso.
En conjunto, estas obligaciones desplazan considerablemente el equilibrio entre los proveedores SaaS y sus clientes empresariales.
La respuesta corta es: muy probablemente sí, pero sigue siendo necesaria una evaluación cuidadosa del alcance.
La Ley de Datos se aplica a los proveedores de «servicios de procesamiento de datos», definidos de forma amplia para cubrir servicios de computación en la nube y en el edge que dan acceso bajo demanda a recursos informáticos escalables. El Reglamento (UE) 2023/2854 hace referencia a IaaS, PaaS y SaaS como categorías dentro de esta definición, conforme al marco de servicios cloud del que parte el artículo 2(8).
Con todo, las FAQ actualizadas de la Comisión Europea han introducido un matiz importante, recogido en el análisis de Morrison Foerster de diciembre de 2025. La pregunta 58a aclara que las soluciones SaaS entran en la definición de servicios de procesamiento de datos solo si cumplen todos los criterios distintivos de la computación en la nube. Concretamente: el cliente debe tener acceso a recursos informáticos configurables; el servicio debe permitir el aprovisionamiento bajo demanda de esos recursos; y el servicio debe ofrecer escalabilidad rápida con mínima intervención del proveedor.
Las plataformas de videoconferencia que ofrecen salas configurables, infraestructura de grabación programable, APIs REST, gestión de sesiones y procesamiento de medios escalable son algo muy distinto de un servicio de streaming. Los clientes no simplemente asisten a llamadas: están desplegando una plataforma con recursos configurables, gestionando activos de datos (grabaciones, transcripciones, datos de participantes) e integrándose mediante APIs en sus propios sistemas.
El modelo de videoconferencia embebida refuerza este análisis. Cuando un desarrollador aprovisiona una sala de videoconferencia mediante API, configura el comportamiento de grabación, establece controles de acceso basados en roles y recupera datos de sesión vía API REST, está interactuando con infraestructura informática configurable y escalable. Eso encaja con la definición de servicio de procesamiento de datos bajo la Ley.
Ahora bien, la orientación jurídica advierte que las FAQ de la Comisión son de alto nivel y dejan margen para la interpretación. Todavía no está claro del todo cómo vayan a aplicar las normas los reguladores nacionales en la práctica. El enfoque prudente es tratar las plataformas de videoconferencia empresarial como dentro del alcance y realizar una evaluación de brechas con asesoría legal.
En España, la situación tiene sus particularidades. La AEPD supervisa el cumplimiento del RGPD y la LOPDGDD, y es la autoridad que tramitará la parte de protección de datos de la Ley. Pero a fecha de publicación de este artículo, España todavía no ha designado una autoridad competente nacional específica para la aplicación de la Ley de Datos, como exige el artículo 37 del Reglamento. A julio de 2025, solo Francia y Letonia habían hecho pública su designación. La Secretaría de Estado de Digitalización e Inteligencia Artificial tiene competencias generales sobre servicios digitales, pero su papel concreto en la aplicación de la Ley de Datos sigue sin estar formalmente definido. Esto significa que, por ahora, la maquinaria de supervisión específica para la Ley de Datos en España todavía no está definida. Para las organizaciones que necesiten saber ante quién responden: la AEPD sigue siendo el interlocutor natural para la dimensión de datos personales; la designación para el resto de la Ley está pendiente.
La Ley de Datos de la UE exige que los clientes puedan acceder y exportar datos en formatos estructurados, de uso común y legibles por máquina. Para una plataforma de videoconferencia, esto cubre un conjunto más amplio de activos de datos de lo que muchos proveedores han puesto históricamente a disposición mediante herramientas de autoservicio.
Grabaciones de sesiones. La categoría más obvia. Las grabaciones de vídeo y audio generadas durante las sesiones son datos que el cliente produce y debe poder recuperar, exportar y transferir. Los requisitos de formato apuntan hacia contenedores estándar y no propietarios; MP4 es la línea base establecida para grabaciones de vídeo.
Transcripciones de chat y metadatos de sesión. Las comunicaciones escritas intercambiadas durante las sesiones, junto con los metadatos asociados (identificadores de sesión, listas de participantes, marcas de tiempo de inicio y fin, duración y configuración de sala), constituyen un conjunto de datos distinto y exportable.
Transcripciones, subtítulos y resúmenes generados por IA. Cuando una plataforma genera transcripciones, subtítulos en directo o resúmenes de reuniones, esos outputs son datos producidos mediante el uso del servicio. Las obligaciones de portabilidad de la Ley de Datos se extienden a este contenido generado, que debe ser exportable en formatos legibles por máquina. Ojo: a partir del 2 de agosto de 2026, el Artículo 50 de la Ley de IA de la UE añade además obligaciones de transparencia sobre los outputs de IA generados durante las sesiones, incluyendo el marcado en formato legible por máquina.
Pizarras, archivos compartidos y bibliotecas de contenido. El contenido colaborativo creado dentro de las sesiones —output de pizarras virtuales, documentos compartidos durante las llamadas y cualquier contenido almacenado en las funciones de biblioteca de la plataforma— está dentro del alcance.
Formatos y legibilidad por máquina. Los datos exportados deben estar en formatos que puedan ser ingeridos por otros sistemas sin herramientas propietarias. JSON y CSV para datos estructurados, MP4 para vídeo, y formatos de texto estándar para transcripciones y chat son la línea base esperada. La Comisión emitió el Mandato de Estandarización M/614 a CEN, CENELEC y ETSI, aceptado en julio de 2025, principalmente para los requisitos de interoperabilidad de espacios de datos del artículo 33. Los formatos exactos para la portabilidad del artículo 25 se concretarán a medida que se desarrollen los estándares.
Los requisitos de interoperabilidad mejorados para servicios cloud (Capítulo VIII) entran en vigor el 12 de septiembre de 2026. Los proveedores deben tratar el cumplimiento de septiembre de 2025 como un punto de partida, no como la meta final.
La Ley de Datos de la UE y el RGPD cubren terrenos distintos, y la Ley de Datos no reemplaza ni elimina tus obligaciones bajo el RGPD.
El RGPD rige la protección de datos personales. Su disposición de portabilidad (artículo 20) otorga a los interesados el derecho a recibir sus datos personales en un formato legible por máquina, pero solo datos que el propio individuo proporcionó, y solo cuando el tratamiento se basa en consentimiento o contrato.
La Ley de Datos se aplica tanto a datos personales como no personales y crea derechos para clientes como organizaciones, no solo para interesados individuales. Extiende las obligaciones de portabilidad a datos de sesión generados por máquina, metadatos y datos de uso no personales que el artículo 20 del RGPD no cubriría.
La diferencia práctica clave: las solicitudes del artículo 20 del RGPD proceden de individuos y se gestionan a través de tu proceso de derechos de los interesados. La portabilidad de la Ley de Datos es una obligación contractual y técnica que se le debe al cliente como empresa, y debe integrarse en la arquitectura de tu plataforma y tus contratos desde el principio.
Conviene añadir una capa más. Cuando un cliente exporta datos de participantes bajo la Ley de Datos (nombres, correos, metadatos de sesión), la entidad receptora —sea un nuevo proveedor o la propia infraestructura del cliente— pasa a ser responsable o encargada de esos datos personales. Esto activa obligaciones bajo el RGPD para el receptor: base jurídica para el nuevo tratamiento, posible notificación a los interesados y, en muchos casos, un nuevo Acuerdo de Encargo del Tratamiento con el nuevo proveedor antes de ejecutar la transferencia.
En España, las organizaciones deben gestionar simultáneamente las solicitudes de derechos ARCO-POL bajo la LOPDGDD (para datos personales) y las obligaciones de portabilidad de la Ley de Datos (para datos organizacionales más amplios). La CNMC también puede tener un papel relevante en la dimensión de competencia de mercado que acompaña a las disposiciones de cambio de proveedor y prohibición de tasas.
Durante muchos años, los contratos SaaS plurianuales con largos periodos de preaviso y altos costes de egreso de datos funcionaron como un mecanismo fiable de retención. Los clientes podían estar insatisfechos con una plataforma pero enfrentarse a una barrera de salida realista de doce meses de preaviso, costes de migración significativos y un proceso técnico de exportación que requería meses de esfuerzo de ingeniería.
La Ley de Datos de la UE apunta directamente contra ese modelo. La sección anterior cubrió qué datos deben ser exportables y en qué formatos (Capítulo VI de la Ley). Esta sección aborda el otro lado de la moneda: la dinámica contractual y los plazos de salida (artículos 23-29, Capítulo VI).
El derecho de preaviso de dos meses implica que cualquier cliente empresarial puede iniciar un cambio de proveedor en cualquier momento. La pregunta ya no es si tienen permiso contractual para irse, sino si irse es técnicamente viable y si los datos pueden transferirse de forma limpia. Los contratos con pagos anuales anticipados o compromisos mínimos interaccionan con este derecho: las penalizaciones proporcionales por terminación anticipada siguen siendo legales, por lo que los clientes con esas estructuras deberían revisar sus condiciones concretas antes de invocar el preaviso de dos meses.
La prohibición de tasas de cambio a partir de enero de 2027 elimina lo que históricamente ha sido una barrera financiera secundaria. Los cargos de egreso de datos y las tasas de portabilidad quedarán prohibidos; hasta ahora eran una barrera financiera para el cambio. Conviene tener en cuenta que AWS, Google y Microsoft ya redujeron o eliminaron sus tasas de egreso en 2024, anticipándose a la Ley de Datos; el efecto regulatorio se ha notado antes de la fecha formal de prohibición. El desafío más real es ahora para los proveedores SaaS medianos que no han actualizado sus condiciones.
La obligación de API abierta puede tener el mayor impacto práctico para los compradores empresariales. Los proveedores deben ofrecer interfaces bien documentadas que permitan a los clientes extraer sus datos sin depender del equipo de soporte del proveedor ni de herramientas propietarias.
La implicación comercial es clara: el cumplimiento de la Ley de Datos ya es un criterio en las decisiones de compra. Los compradores empresariales están empezando a evaluar a los proveedores no solo por funcionalidades y precio, sino por la apertura de su arquitectura de datos y la claridad de su proceso de salida.
Para hacerlo concreto, tomemos un ejemplo. Digital Samba fue diseñada con el cumplimiento normativo de la UE como requisito de partida, y varios aspectos de esta arquitectura tienen incidencia directa en las obligaciones de la Ley de Datos.
Sede en la UE y residencia de datos en jurisdicción europea. Digital Samba está constituida en España y procesa todos los datos de clientes dentro de la UE/EEE y jurisdicciones con decisión de adecuación bajo el RGPD. La infraestructura incluye producción en los Países Bajos (Leaseweb), redundancia en Alemania, capacidad adicional en Francia (Scaleway SAS) y Suiza (Exoscale, jurisdicción con decisión de adecuación reconocida por la UE). Ningún dato de aplicación o sesión se almacena fuera del EEE o de jurisdicciones con adecuación reconocida.
API REST como infraestructura de portabilidad integrada. La API REST de Digital Samba da acceso programático a grabaciones, metadatos de sesión, datos de participantes, transcripciones y configuraciones de sala en formatos legibles por máquina (MP4 para vídeo, JSON para datos estructurados). No es una función de exportación añadida para satisfacer requisitos regulatorios: es la arquitectura central a través de la cual los clientes empresariales integran el vídeo en sus propios sistemas. Puedes programar exportaciones automatizadas, activar descargas mediante eventos webhook (como recording.available) e ingerir datos en tu propia infraestructura sin intervención manual del equipo de soporte de Digital Samba.
Documentación de API pública. La documentación de la API de Digital Samba es públicamente accesible, versionada y mantenida como un activo de producto de primera clase. Los clientes que evalúan los requisitos de la Ley de Datos pueden auditar los endpoints disponibles, los formatos de datos y las capacidades de exportación antes de firmar un contrato.
Salvaguardas contra el acceso de terceros países (artículo 32). Digital Samba está constituida en España y sometida exclusivamente a la legislación de la UE y sus estados miembros. Para la infraestructura de procesamiento de vídeo y los datos de sesión, esto elimina el riesgo de la CLOUD Act estadounidense. El único subprocesador fuera de la UE/EEE es HubSpot, Inc. (Cambridge, Massachusetts), componente opcional dedicado a tickets de soporte y formularios de feedback, que los clientes B2B europeos pueden excluir contractualmente. Los datos de sesión y media nunca se procesan a través de ese canal. Para los datos de soporte cuando HubSpot está activo, las salvaguardas contractuales y técnicas estándar siguen siendo aplicables.
DPA público conforme al artículo 28 del RGPD. Digital Samba publica su Acuerdo de Encargo del Tratamiento en su sitio web; los clientes pueden consultar la versión actual en cualquier momento. Las copias firmadas se solicitan a dpo@digitalsamba.com.
Procesamiento de IA dentro de la UE. Las funciones con IA de la plataforma (transcripción, subtítulos en directo y resúmenes de reuniones) las gestiona Digital Samba con un único subprocesador europeo: GreenPT B.V. (Utrecht, Países Bajos), especializado en servicios de reconocimiento de voz e IA generativa. El contenido de las sesiones no sale de la jurisdicción de la UE y no se envía a APIs de IA de hiperscaladores estadounidenses. Esto es relevante para la portabilidad de la Ley de Datos: los outputs de IA son totalmente accesibles vía la API REST, sin depender de los términos o límites de tasa de proveedores externos no europeos.
Ojo: esta checklist sirve para evaluar tu posición actual frente a las obligaciones principales de la Ley de Datos para servicios de procesamiento de datos. No es una orientación jurídica exhaustiva; consulta con tu equipo legal para un análisis de brechas completo.
Evaluación de alcance. Confirma si tu servicio de videoconferencia cumple los criterios distintivos de un «servicio de procesamiento de datos» según la Ley: recursos configurables, aprovisionamiento bajo demanda, escalabilidad. En caso de duda, busca asesoría legal. La asunción por defecto para plataformas de vídeo empresariales es que probablemente estás dentro del alcance.
Revisión de contratos. Audita todos los contratos de clientes (existentes y plantilla) para verificar el cumplimiento del requisito de preaviso máximo de dos meses para la terminación. Los contratos a plazo fijo y las penalizaciones proporcionales por terminación anticipada siguen siendo permisibles, pero las disposiciones que en la práctica impidan el cambio no lo son. Si tu modelo incluye pagos anuales anticipados, revisa cómo interactúan con el derecho de preaviso de dos meses.
Documentación de procedimientos de cambio. Publica una descripción clara y accesible de tus procedimientos de cambio de proveedor y portabilidad de datos: formatos de exportación disponibles, pasos técnicos involucrados en una migración, limitaciones conocidas y plazo para completar un cambio (periodo de transición base de 30 días).
Auditoría de capacidad de exportación de datos. Confirma que todas las categorías clave de datos de clientes son exportables en formatos legibles por máquina: grabaciones de sesiones (MP4), transcripciones de chat (JSON o texto plano), metadatos de sesión (JSON), transcripciones y resúmenes generados por IA, y exportaciones de pizarras y archivos compartidos.
Documentación de API. Asegúrate de que tu API esté documentada, sea públicamente accesible y cubra todos los tipos de datos exportables. La Ley de Datos exige interfaces abiertas que permitan la interoperabilidad.
Revisión de tasas de cambio. Identifica todos los cargos actualmente aplicados en relación con la exportación de datos, migración o terminación de contrato. El límite de solo-coste está vigente desde el 11 de enero de 2024. Planifica la eliminación total de las tasas de cambio para el 12 de enero de 2027.
Aviso de transparencia. Prepara y publica un aviso de transparencia informando a clientes actuales y potenciales sobre tus prácticas de procesamiento de datos, los tipos de datos procesados, las jurisdicciones de almacenamiento y los procedimientos de cambio disponibles. Bajo el artículo 32, este aviso también debe cubrir la jurisdicción de tu infraestructura TIC y las medidas técnicas y organizativas para prevenir el acceso ilegal de gobiernos de terceros países.
Alineación del DPA. Revisa tu Acuerdo de Encargo del Tratamiento para asegurarte de que cubra todas las actividades de tratamiento relevantes para la Ley de Datos, incluidas las grabaciones de sesiones, los outputs generados por IA y los metadatos.
Si estás revisando plataformas de vídeo en relación con los requisitos de la Ley de Datos de la UE, la API REST de Digital Samba, la residencia de datos en jurisdicción europea y la arquitectura de API abierta están diseñadas exactamente para cumplir este estándar.
Solicita nuestro Acuerdo de Encargo del Tratamiento: dpo@digitalsamba.com
Descarga nuestro Whitepaper de Seguridad para los detalles técnicos completos: arquitectura, cifrado, residencia de datos, documentación de subprocesadores y medidas del artículo 32.