La privacidad importa: Qué pueden esperar los equipos de cumplimiento en 2026

Por Phil Muncaster • 27 de enero de 2026

El 28 de enero es el Día Mundial de la Privacidad, una ocasión para celebrar el derecho a la privacidad y protección de datos que muchos damos por sentado hoy en día. No siempre fue así, por supuesto. Fue en esta fecha de 1981 cuando el Consejo de Europa finalmente firmó... Convención 108, “para la protección de las personas físicas con respecto al tratamiento automatizado de datos personales”.

Sin embargo, aunque a veces puede ser lento, la legislación sobre privacidad de datos rara vez se mantiene inalterada. Este año, los profesionales del cumplimiento normativo tendrán mucho en qué pensar, con la entrada en vigor de diversas disposiciones de la Ley de Datos (Uso y Acceso) del Reino Unido (DUAA). Podrían considerar adoptar la norma ISO 27701 para optimizar sus esfuerzos.

Por qué es importante la privacidad

La seguridad y la privacidad son dos caras de la misma moneda. Sin la protección que ofrecen las personas, los procesos y la tecnología, ninguna organización podría cumplir con sus obligaciones de proteger los derechos de privacidad de clientes y empleados. Esto es importante para las empresas británicas en el contexto del RGPD, que faculta a los reguladores a imponer multas potencialmente elevadas (hasta 17 millones de libras esterlinas o el 4 % de la facturación global) por incumplimientos graves. Sin embargo, existen otras razones empresariales de peso para que la privacidad sea una prioridad estratégica:

Evitar los costos operativos asociados con infracciones graves. Estos podrían incluir el dinero extra necesario para pagar horas extras del equipo de TI, expertos forenses externos, equipos legales y para notificar a clientes y organismos reguladores.
Cómo evitar demandas colectivas potencialmente costosas tras una importante filtración de datos
Fomentando la confianza y la lealtad de los clientes. Una brecha importante puede afectar gravemente la reputación a largo plazo. Por otro lado, las organizaciones que priorizan la privacidad y la transparencia del cliente sobre el manejo de datos tienen una gran oportunidad de fortalecer sus relaciones con ellos.
Impulsar la ventaja competitiva y la expansión mediante la adopción de estándares de privacidad de mejores prácticas como ISO 27701, que pueden ayudar a tranquilizar a los reguladores, socios y clientes en nuevos mercados y agilizar el cumplimiento normativo.

¿Qué novedades trae la DUAA en 2026?

Según el estudio de IO (anteriormente ISMS.online), Informe sobre el estado de la seguridad de la información 2025La proporción de empresas estadounidenses y británicas que exigen a los proveedores que cumplan con el RGPD aumentó del 9 % al 34 % entre 2024 y 2025. Esto ilustra tanto los impulsores comerciales detrás del cumplimiento como el hecho de que aún queda mucho trabajo por hacer antes de que la regulación sea adoptada por completo en la comunidad empresarial.

La nueva DUAA se concibió en parte como respuesta a la preocupación de que el cumplimiento del RGPD implicaba demasiada burocracia para las empresas. Sin embargo Un estudio afirma Menos del 2% de las organizaciones están preparadas para la nueva ley. Muchas (47%) citan las actualizaciones en gobernanza, capacitación y gestión de proveedores como sus mayores desafíos. Esto tendrá que cambiar. Entre los cambios previstos en la ley de privacidad que introducirá este año se encuentran:

Normas más permisivas sobre la toma de decisiones automatizada (TAA). Estas permitirán a las organizaciones basarse en una gama más amplia de fundamentos jurídicos para tomar decisiones sobre las personas, siempre que se implementen las salvaguardias pertinentes.
Leyes relajadas que ampliarán las circunstancias en las que se pueden utilizar cookies de bajo riesgo sin consentimiento explícito
Introducción de un «interés legítimo reconocido»: una nueva base jurídica para el tratamiento de datos con fines de interés público (por ejemplo, prevención del delito).
Nuevos requisitos para la tramitación de quejas de los interesados, incluidos los formularios electrónicos de queja y el acuse de recibo de las quejas en un plazo de 30 días
Un aumento de las posibles multas en virtud del Reglamento de Privacidad y Comunicaciones Electrónicas (que regula las cookies) para alinearse con el RGPD (£17.5 millones o 4% de la facturación)
Un nuevo requisito para seguir el Código de la Infancia de la ICO si es probable que los niños accedan a los servicios en línea

Todo esto requerirá actualizaciones en los procesos empresariales para la gestión de quejas y la evaluación de las obligaciones de proteger la privacidad de los niños. Dadas las posibles multas elevadas, las organizaciones con prácticas de cookies y marketing electrónico que no cumplan con las normas también deberían priorizar el cumplimiento de la PECR.

Edward Machin, asesor del grupo de datos, privacidad y ciberseguridad de Ropes & Gray, comparte las siguientes dos fechas para la agenda en 2026:

Enero de 2026 (aproximadamente seis meses después de la sanción real):Entran en vigor los principales cambios en la legislación de protección de datos, establecidos en la Parte 5 de la DUAA, excluyendo los cambios en el procedimiento de quejas de los interesados.

Por confirmar para 2026Entrarán en vigor las disposiciones que dependen de infraestructura técnica o que requieren más tiempo de preparación, incluidas las medidas que dependen de nueva tecnología (por ejemplo, determinados registros o servicios) y el procedimiento de quejas de los interesados.

“Las organizaciones deberían dividir sus preparativos para la DUAA entre las disposiciones que les exigen tomar medidas específicas, como la implementación de un procedimiento de quejas de los interesados, y aquellas que permiten una mayor flexibilidad en relación con las prácticas actuales, como las normas sobre solicitudes de acceso de los interesados, la toma de decisiones automatizada y las cookies”, explica a IO.

En cualquier caso, la DUAA requerirá, en la mayoría de los casos, una evolución de los programas de cumplimiento de las organizaciones, en lugar de cambios radicales. Sin embargo, las organizaciones deberían, en particular, contar con un plan para abordar los requisitos de la Parte 5 y así garantizar que no se pierdan en la confusión del nuevo año.

La norma ISO 27701 alcanza su madurez

Para los equipos de cumplimiento que ya se preguntan cómo harán frente a otro diluvio regulatorio este año, hay buenas noticias. La ISO 27701 es ahora un estándar discreto, en lugar de una extensión de la norma ISO 27001. Significa que las organizaciones tienen una forma más económica, más rápida y más flexible de lograr las mejores prácticas de manejo y procesamiento de datos.

La norma ISO 27701 ofrece un marco estructurado para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Información sobre la Privacidad (PIMS). Incluye controles prácticos para:

Protección de la información de identificación personal (PII) del tipo regulado por el RGPD (y la DUAA)
Cumplimiento legal, transparencia y derechos de los interesados (para controladores de PII)
Cumplimiento contractual y procesamiento (para procesadores de PII)

Rob Rachwald, vicepresidente de marketing de marca y productos de Zero Networks, describe la norma ISO 27701 como “el libro de cocina definitivo” para abordar los requisitos de la DUAA.

“Si bien la DUAA hace que el RGPD del Reino Unido sea más pragmático, exige una mayor rendición de cuentas y una mayor prueba de gobernanza, especialmente en torno a la gestión de las solicitudes de acceso de los sujetos y la implementación de salvaguardas para la ADM”, explica a IO.

La norma ISO 27701 proporciona un modelo PIMS reconocido mundialmente que ya detalla los procesos necesarios para los derechos de los interesados, el mapeo de datos y la privacidad desde el diseño, lo que permite a las organizaciones demostrar un cumplimiento "razonable y proporcionado" de inmediato, convirtiendo así una carga regulatoria en algo auditable.

Por lo tanto, la norma representa un pilar cada vez más importante de cualquier enfoque eficaz de gestión de riesgos, junto con las normas ISO 27001 y 42001. Las iniciativas de privacidad están cada vez más interrelacionadas con las de seguridad de la información y gestión de la IA. Las organizaciones que consideren estas tres áreas de forma integral estarán mejor posicionadas para utilizar el cumplimiento normativo como trampolín hacia el éxito empresarial en 2026.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 12 de Febrero de 2026

¿Es el Plan de Acción Cibernética del Gobierno adecuado para su propósito?

No es frecuente que el gobierno admita que se equivocó. Sin embargo, a principios de año, tuvimos el privilegio de presenciar un inusual mea culpa: el reconocimiento de que un...

Phil Muncaster

La seguridad cibernética 3 de Febrero de 2026

El fraude en los informes de la WEF es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única.

Informe del Foro Económico Mundial: El fraude es ahora la mayor preocupación cibernética de los directores ejecutivos, pero no es la única

Cinco años es mucho tiempo en ciberseguridad. Sin embargo, ese es el tiempo que el Foro Económico Mundial (FEM) lleva encuestando a directores ejecutivos para su informe Global Cybersecurity O...

Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster