El Reino Unido se ha comprometido a mantener un alto nivel de protección de los datos de las personas, y las empresas pueden sufrir graves repercusiones por no cumplir las leyes pertinentes. Sin embargo, este compromiso se equilibra con el objetivo de fomentar la innovación, lo que queda especialmente patente con la introducción de la nueva Ley de Datos (Uso y Acceso) de 2025. En esta actualización trataremos los cambios significativos introducidos por esta legislación y otras actualizaciones importantes en materia de protección de datos que debe conocer para que su empresa siga cumpliendo la normativa.
El GDPR del Reino Unido y la Ley de Protección de Datos de 2018
Al considerar las regulaciones de protección de datos del Reino Unido, es esencial tener en cuenta tanto el GDPR del Reino Unido como la Ley de Protección de Datos de 2018, que constituyen la piedra angular del régimen de protección de datos del Reino Unido. Estas leyes dictan cómo deben almacenarse, procesarse y recopilarse los datos personales.
El RGPD británico se introdujo tras el Brexit y describe varios principios del tratamiento de datos, como la legalidad, la equidad y la transparencia. Establece los derechos de las personas (incluidos los derechos de acceso y supresión) y normas para las transferencias internacionales de datos. Se aplica a todas las organizaciones del Reino Unido y a las entidades extranjeras que traten datos personales de ciudadanos británicos.
La Ley de Protección de Datos de 2018 complementa el GDPR del Reino Unido e incluye disposiciones tales como exenciones de las obligaciones del GDPR del Reino Unido en ciertos casos.
Ley de Uso y Acceso a los Datos de 2025 (DUAA)
La DUAA recibió la sanción real el 19 de junio de 2025 y se está aplicando por etapas, con algunas disposiciones ya en vigor y otras que se espera que entren en vigor a lo largo del próximo año. La DUAA introduce cambios significativos en el régimen actual.
Los objetivos de la DUAA son fomentar la innovación, mejorar el marco de protección de datos existente en el Reino Unido y permitir a las empresas mejorar sus servicios manteniendo la protección de los derechos individuales.
Además de velar por el cumplimiento de la normativa, que se aborda más adelante, las organizaciones deben considerar cómo pueden aprovechar los cambios que soporte innovación.
Innovación
El ICO acoge con satisfacción los cambios que introduce la DUAA y señala que la DUAA puede ayudar a las empresas a innovar de las siguientes maneras:
1. Investigación: aclaración de que puede darse un "consentimiento amplio" para un ámbito de investigación científica cuando las organizaciones utilicen información personal con fines de investigación.
2. Avisos de privacidad: si la elaboración de un aviso de privacidad para la reutilización de datos personales con fines de investigación científica supone un esfuerzo desproporcionado, las organizaciones no tendrán que volver a emitir un aviso, que deberá seguir estando disponible en el sitio web de la organización y los derechos seguirán estando protegidos como de costumbre.
3. Toma de decisiones automatizada (ADM): que las empresas puedan basarse en toda la gama de fundamentos jurídicos a la hora de utilizar la información personal de las personas para tomar decisiones automatizadas sobre ellas, siempre que utilicen las salvaguardias pertinentes.
4. Galletas: algunos tipos de cookies pueden instalarse sin necesidad de consentimiento, por ejemplo las que se utilizan para recopilar información para la mejora de la funcionalidad del sitio web.
Principales cambios
Entre los principales cambios introducidos por el DUAA figuran los siguientes:
- Toma de decisiones automatizada (ADM): permite a las organizaciones tomar decisiones basadas únicamente en el tratamiento automatizado en circunstancias más amplias, siempre que existan determinadas salvaguardias. Estas salvaguardias incluyen informar a la persona y ofrecerle el derecho a la intervención humana en relación con la toma de decisiones. Sin embargo, existen restricciones a la ADM para categorías especiales de datos.
- Acceso temáticouna norma de "parada del reloj", que permite interrumpir los plazos de respuesta si se necesita más información del solicitante. Además, cuando alguien solicite acceso a sus datos, las organizaciones sólo tendrán que hacer búsquedas razonables y proporcionadas.
- Intereses legítimos reconocidos: un nuevo motivo legítimo para el tratamiento de datos personales. Si se aplica este motivo legal, no hay necesidad de sopesar el impacto sobre las personas cuya información personal se está utilizando, frente a los beneficios. Normalmente, esto se hace mediante una Evaluación de Intereses Legítimos (EIL). La DUAA establece una lista de bases preaprobadas, entre las que se incluyen la seguridad nacional, la respuesta a emergencias y la protección de menores o personas en situación de riesgo.
- Protección de datos de menoresCuando se preste un servicio en línea que pueda ser utilizado por niños, las organizaciones deben tener en cuenta cómo apoyar y proteger a los niños a la hora de decidir cómo utilizar su información personal.
- Quejas: obligación de ayudar a las personas que deseen presentar reclamaciones sobre el tratamiento de sus datos personales y un plazo para acusar recibo (en un plazo de 30 días y responder "sin dilaciones indebidas").
Nuevos poderes del ICO
Las empresas deben saber que, en virtud de la DUAA, la OIC se reestructurará de forma comparable a otros organismos reguladores del Reino Unido, con un director general y un consejo de administración. Paul Arnold ha sido anunciado como el primer Director General. También se amplían las competencias de la ICO, con nuevos poderes de investigación y ejecución, y la capacidad de imponer sanciones de hasta 17,5 millones de libras o 4% de la facturación global. Uno de los nuevos poderes de la OCI es la capacidad de emitir "avisos de entrevista" y "avisos de información" mediante los cuales la OCI evaluará si se han infringido las disposiciones sobre protección de datos. La OCI tendrá que equilibrar estos poderes más amplios con sus nuevas obligaciones y requisitos de información.
Por lo tanto, es más importante que nunca garantizar que las organizaciones cumplan la normativa y puedan presentar registros adecuados y justificar sus procesos. Con respecto al uso de sistemas de IA, las empresas deben comprender los riesgos asociados, cómo mitigarlos y los problemas de privacidad que podrían surgir.
El ICO confirma en sus orientaciones que seguirá actuando como "regulador fiable, justo e independiente" y se centrará en seguir ofreciendo asesoramiento y servicios al tiempo que "reduce las cargas reglamentarias" y fomenta "la innovación y el crecimiento".
Garantizar el cumplimiento
Comprender los requisitos
Las empresas deben revisar todas las disposiciones clave y estar al tanto de los cambios actuales y futuros para garantizar que las políticas y prácticas pertinentes se actualicen cuando sea necesario. También sugerimos a las empresas que lean las orientaciones pertinentes que figuran a continuación y que sigan atentas a los comentarios y orientaciones que se publiquen (tenga en cuenta que se publicarán nuevas orientaciones de la OIC a su debido tiempo).
Entender cuáles de los cambios son aplicables a su modelo empresarial específico y qué partes de su empresa se verán afectadas será crucial para cumplir los requisitos.
La DUAA es extensa y puede merecer la pena buscar asesoramiento jurídico para asegurarse de que su empresa cumple en general la normativa vigente sobre protección de datos y está preparada para los cambios futuros.
Actualización de políticas, contratos, materiales de formación y sistemas
También es importante considerar si es necesario actualizar el material de formación de los empleados y los contratos con los clientes. La actualización de las políticas y los contratos no solo ayudará a garantizar el cumplimiento, sino que también puede fomentar la confianza de los clientes y minimizar los riesgos.
Ejemplos específicos para cada empresa de cómo actualizar sistemas y políticas:
- Establecer un sistema adecuado para tramitar las reclamaciones relativas al uso de datos, si aún no se ha hecho.
- Establecer un sistema adecuado para la protección de los niños que utilizan sistemas en línea.
- Registrar y cartografiar todos los tratamientos basados en intereses legítimos reconocidos y actualizar las políticas de privacidad para reflejarlo.
- Examinar y registrar el uso que hace su organización de la IA en la toma de decisiones automatizada, cómo funcionan estos sistemas, los tipos de datos introducidos y el razonamiento para el uso de la toma de decisiones automatizada.
- Si realiza cambios en sus procesos para mejorar la innovación, actualice en consecuencia las políticas de privacidad y los contratos pertinentes.
- Garantizar que las políticas dejan claro qué salvaguardias existen en relación con la toma de decisiones automatizada.
- Considere la posibilidad de nombrar a un Responsable de Protección de Datos (DPO) para supervisar los esfuerzos de cumplimiento y actuar como punto de contacto para las consultas relacionadas con los datos.
Orientaciones del ICO: Las organizaciones británicas se beneficiarán de las nuevas leyes de protección de datos | ICO
Orientaciones del Gobierno: Ley de 2025 sobre datos (uso y acceso): cambios en la protección de datos y la privacidad - GOV.UK
Otras noticias
23andMe
23andMe, una empresa de pruebas genéticas, ha sido multada con 2,31 millones de libras por la ICO por tener medidas de seguridad inadecuadas para proteger la información personal. Esto se produce tras un ciberataque en 2023 que llevó a la exposición de los datos personales (incluidos los datos genéticos) de más de 150.000 usuarios en el Reino Unido y millones en todo el mundo. Se informó de que, aunque hubo denuncias de robo de datos a principios de 2023, que se desestimaron por no ser legítimas, no hubo una investigación completa hasta que los datos robados se pusieron a la venta en Reddit en octubre de 2023. Este caso pone de relieve la importancia de contar con medidas de seguridad adecuadas, como la autenticación multifactor, y de extremar las precauciones cuando se posean datos de categoría especial.
La UE prorroga 6 meses las decisiones de adecuación para el Reino Unido
La Comisión Europea ha prorrogado 6 meses sus decisiones de adecuación relativas a las transferencias de datos con el Reino Unido, que expiran ahora el 27 de diciembre de 2025. Esto dará tiempo para evaluar la DUAA. La UE denomina "adecuación" a la capacidad de los países considerados capaces de ofrecer un nivel de protección de datos "esencialmente equivalente" al de la UE.
Internet de los objetos: directrices actualizadas del ICO
La OIC ha publicado orientaciones actualizadas en relación con el tratamiento de datos personales en productos de consumo del Internet de las Cosas (IoT), y cómo la ley de protección de datos del Reino Unido y el Reglamento de Privacidad y Comunicaciones Electrónicas de 2003. Entre los tipos de productos de consumo de la IO se incluyen las bombillas y los relojes inteligentes. Consulte la guía completa aquí: Acerca de esta guía | ICO.
Nueva legislación brasileña sobre IA
Brasil propone un proyecto de ley para la regulación de la IA que se centra en el riesgo y el establecimiento de los derechos individuales. Considera que determinados sistemas de IA entrañan un riesgo excesivamente alto, por ejemplo los que existen con fines de "puntuación social" (utilizar la IA para asignar a las personas un valor basado en su valor mediante su seguimiento, determinando sus derechos).
Cómo podemos ayudarle
Podemos ayudarle a entender cómo afecta la legislación británica sobre datos a su empresa y cómo proteger mejor a su organización. Si necesita revisar o actualizar sus políticas y contratos, póngase en contacto con nuestro equipo.