Puedes poner sensores en casi cualquier cosa, en casi cualquier lugar. La parte técnica de un proyecto de IoT rara vez es lo que frena un acuerdo. Construyes el gateway, conectas los dashboards, demuestras el caso de uso en un piloto y todos quedan contentos.
Pero vender a compradores empresariales europeos y del sector público significa demostrar cómo se tratan los datos, y ahí es donde los acuerdos se atascan. Compras envía un cuestionario de seguridad. Legal pregunta quién es el responsable del tratamiento de los datos. Alguien quiere saber dónde residen físicamente los datos y si tu plataforma está certificada. Si no tienes respuestas claras, el proyecto se queda en el limbo mientras todos esperan un documento que no tienes.
Así que este es el mapa de cumplimiento que un integrador o proveedor de servicios gestionados realmente necesita para vender servicios de IoT en Europa, y cómo elegir la plataforma adecuada acorta el camino. A lo largo del texto mantendré dos cosas separadas: lo que tú, como vendedor, debes tener o hacer, y lo que tu proveedor de plataforma puede ofrecerte. No son lo mismo, y confundirlos es la forma en que la gente se lleva sorpresas en una revisión de compras.
Una nota rápida antes de empezar: esto es orientación general, no asesoramiento legal. Úsalo para orientarte y luego confirma los detalles con tu propio asesor jurídico.
GDPR: la pregunta que todo comprador europeo hace primero
El GDPR regula los datos personales en la UE y el Reino Unido. Si tu solución de IoT toca cualquier cosa que pueda identificar a una persona, el GDPR entra en juego. Eso abarca más de lo que podrías imaginar. Una instalación en un edificio inteligente que registra qué credencial entró en qué sala, un sistema de flotas que rastrea a los conductores, un sensor de ocupación vinculado a escritorios con nombre: todo eso puede involucrar datos personales.
Lo primero que los compradores quieren entender son los roles. El GDPR divide la responsabilidad entre el responsable del tratamiento y el encargado del tratamiento. El responsable decide por qué y cómo se tratan los datos personales. El encargado actúa según las instrucciones del responsable. En un acuerdo típico de servicios de IoT, tu cliente suele ser el responsable, tú puedes ser un encargado, y tu proveedor de plataforma puede ser un subencargado por debajo de ti. Acertar con esta cadena importa, porque cada eslabón tiene obligaciones.
Lo que tú, como vendedor, debes hacer
Por lo general se requiere un Acuerdo de Tratamiento de Datos (DPA) entre las partes. Si tratas datos personales en nombre de tu cliente, espera firmar un DPA con él, y tener uno vigente con cualquier proveedor del que dependas. Eres responsable de entender el flujo de datos de tu propia solución y de poder describirlo con claridad.
A algunos clientes también les preocupa la residencia de los datos. Quieren que los datos personales se mantengan en la UE, sin excepciones. Esto es habitual en sectores regulados y en todo el sector público. Si no puedes decirle a un comprador dónde se almacenan sus datos, perderás tiempo, y a veces el acuerdo.
Lo que tu proveedor de plataforma puede ofrecer
Una plataforma alineada con el GDPR te da ventaja. Si tu proveedor de plataforma firma un DPA contigo y puede confirmar la residencia de los datos en la UE, heredas una buena parte de la evidencia que de otro modo tendrías que reunir solo. TagoIO está alineada con el GDPR y ofrece servidores europeos dedicados en Irlanda, seleccionables al registrarte, lo que respalda la residencia de datos en la UE. Eso significa que, cuando un comprador pregunte dónde residen los datos, tienes una respuesta concreta en lugar de un quizás.
Lo que el proveedor no puede hacer es asumir tus propias obligaciones. Sigues necesitando tu propio DPA con tu cliente, y sigues teniendo que tratar correctamente los datos que controlas. La plataforma acorta el camino. No lo recorre por ti.
ISO 27001: la tuya frente a la de tu proveedor
ISO 27001 es la certificación de gestión de seguridad de la información que los compradores europeos suelen pedir. Cuando un cuestionario de compras pregunta si estás certificado, normalmente se refiere a esta.
Aquí está la distinción que hace tropezar a la gente. Hay dos preguntas separadas:
- ¿Está certificada en ISO 27001 tu propia organización?
- ¿Está certificada la plataforma sobre la que construyes?
Son cosas distintas, y los compradores pueden preguntar por ambas. Una gran empresa o un organismo público puede exigir que su proveedor directo (tú) tenga la ISO 27001. Certificarte tú mismo es un proyecto real: lleva tiempo, una auditoría y un sistema de gestión continuo. Eso te corresponde a ti, y ningún proveedor puede entregártelo.
Pero construir sobre una plataforma certificada ayuda. Si tu proveedor de plataforma cuenta con la certificación ISO 27001, puedes señalarlo para la parte de la pila que tú no operas, y eso reduce la evidencia de seguridad que tienes que producir sobre la infraestructura subyacente. TagoIO tiene la certificación ISO 27001, por lo que la capa de plataforma de tu solución se apoya en una base certificada. Eso no te convierte a ti en certificado. Significa que parte de tu respuesta ya está escrita, y puedes concentrar tu propio esfuerzo de certificación en las partes que realmente operas.
Marcado CE y RED: el lado del hardware
Si tu solución incluye hardware que se vende en la UE, hay una vía aparte que no tiene nada que ver con tu plataforma de software. El hardware vendido en la UE suele necesitar el marcado CE. Los dispositivos de radio, que abarcan la mayoría del equipo inalámbrico de IoT, entran bajo la Directiva de Equipos Radioeléctricos (RED).
Mantén esto en su justa medida: el marcado CE y la conformidad RED suelen ser responsabilidad del fabricante del dispositivo, no del integrador que lo despliega. Si compras hardware certificado y listo para usar, tu tarea es confirmar que los dispositivos que envías estén correctamente marcados y sean conformes. Si diseñas o reetiquetas hardware tú mismo, asumes más de esto de forma directa. En cualquier caso, un proveedor de plataforma no puede aplicar el marcado CE a tus dispositivos por ti. Esta es una obligación de hardware que recae en quien pone el producto en el mercado.
Cuestionarios sectoriales y del sector público
Más allá de las reglas horizontales, sectores específicos y compradores del sector público añaden sus propios requisitos. Los cuestionarios de seguridad de compras son rutinarios. Espera preguntas sobre las reglas de tratamiento de datos, los controles de acceso, los procedimientos ante brechas, los subencargados y dónde se almacenan los datos. La sanidad, la energía, el transporte y el gobierno conllevan, cada uno, expectativas adicionales por encima del GDPR.
El patrón es el mismo que en todo lo anterior. Algunas respuestas son sobre tu organización y tus procesos, que te corresponden a ti. Otras respuestas son sobre la plataforma que tienes debajo, que tu proveedor puede aportar. Un proveedor con información publicada sobre confianza y privacidad agiliza el llenado de estos cuestionarios, porque las respuestas sobre la capa de plataforma ya están documentadas. La página de confianza de TagoIO existe precisamente por esta razón.
Una lista de verificación de preparación
Antes de presentar tu propuesta a un comprador europeo, repasa lo siguiente:
- Mapea tu flujo de datos. Sabe qué datos personales toca tu solución y a dónde van. Si no puedes dibujarlo, no puedes defenderlo.
- Confirma tu rol en el GDPR. ¿Eres un encargado para este cliente? ¿Un responsable? ¿Quién es el subencargado? Ponlo por escrito.
- Ten tus DPA en regla. Uno con tu cliente cuando sea necesario, y uno con cada proveedor del que dependas.
- Decide sobre la residencia de los datos. Si el comprador necesita residencia en la UE, confirma que tu plataforma la admite antes de prometer nada.
- Conoce tu estado de ISO 27001. Tanto el tuyo como el de tu proveedor de plataforma. Sé honesto sobre cuál es cuál.
- Verifica la conformidad del hardware. Confirma el marcado CE y la conformidad RED de cualquier dispositivo que envíes.
- Rellena el cuestionario por adelantado. Reúne ahora los documentos de confianza y certificación de tu proveedor, no cuando compras ya esté esperando.
Dónde ayuda realmente la plataforma
Para que la separación quede clara: el proveedor de plataforma no puede hacer que cumplas con el GDPR, no puede certificar tu organización y no puede aplicar el marcado CE a tu hardware. Eso te corresponde a ti.
Lo que hace la plataforma adecuada es acortar el camino. Construir sobre una base que tiene la certificación ISO 27001, está alineada con el GDPR y puede mantener los datos en la UE significa que una gran parte de tu evidencia de cumplimiento ya la produce otra persona. Heredas las certificaciones de la capa de plataforma, obtienes un proveedor que firmará un DPA y puedes responder a la pregunta de la residencia de los datos desde el primer día. Eso convierte semanas de carreras a contrarreloj en una conversación para la que ya estás preparado.
Esto no es un atajo que esquive tus obligaciones. Es la diferencia entre reunir cada pieza de evidencia desde cero y reunir solo las piezas que de verdad te corresponden.
En resumen
Vender IoT en Europa tiene menos que ver con los sensores y más con demostrar que tratas los datos de forma responsable. El mapa es: roles del GDPR y DPA, residencia de los datos, ISO 27001 tanto para ti como para tu proveedor, CE y RED para el hardware, y cuestionarios sectoriales por encima. Ten claro qué debes poseer tú frente a lo que aporta tu plataforma. Elige una plataforma certificada, alineada con el GDPR y con residencia de datos en la UE, y pasarás menos tiempo atascado en compras y más tiempo entregando resultados.
Y una vez más, porque importa: esto es orientación general, no asesoramiento legal. Confirma los detalles con tu propio asesor jurídico antes de firmar nada.
