El nuevo Proyecto de Ley de Uso y Acceso a Datos (DUAA) del Reino Unido recibió la sanción real el 19 de junio de 2025, lo que supone una actualización de la legislación nacional sobre protección de datos y economía digital. Diseñada para promover la innovación, impulsar la confianza en los sistemas basados en datos y simplificar el cumplimiento normativo, la Ley introduce reformas de amplio alcance en los sectores público y privado.
Para las empresas, los cambios pueden aliviar ciertas cargas administrativas en áreas como las Solicitudes de Acceso de los Interesados (SIR) y las cookies, a la vez que elevan el nivel de exigencia en otras áreas, como la transparencia, el consentimiento de marketing y la aplicación de la normativa. Este blog explica los cambios y ofrece pasos prácticos para ayudar a las organizaciones a prepararse.
La postura de la DUAA: enmienda, no reemplaza
La Ley no sustituye al RGPD del Reino Unido ni a la Ley de Protección de Datos de 2018; en cambio, modifica y complementa ambos. También actualiza disposiciones clave del Reglamento de Privacidad y Comunicaciones Electrónicas (PECR), especialmente en lo relativo al consentimiento de cookies y el marketing electrónico.
En conjunto, estas reformas buscan crear un régimen de datos más favorable para las empresas y más preparado para la innovación, preservando al mismo tiempo los principios fundamentales de la protección de datos personales. Sin embargo, la interacción entre estos marcos implica que las organizaciones deberán adaptarse con cautela al nuevo panorama.
Cambios clave que las empresas deben conocer
Intereses legítimos reconocidos
La Ley introduce un nuevo concepto: «intereses legítimos reconocidos». Se trata de fines específicos para los cuales las organizaciones pueden tratar datos personales sin necesidad de realizar una evaluación completa de los intereses legítimos (LIA). Algunos ejemplos incluyen la prevención de delitos, la salvaguardia de la seguridad nacional, el mantenimiento de la seguridad pública, la respuesta a emergencias, la protección de personas vulnerables y la divulgación de información a una persona que realiza una tarea de interés público.
Aparte de eso, la Ley también establece ejemplos de intereses legítimos ordinarios que todavía requerirán la prueba estándar de tres partes: propósito, necesidad y una prueba de equilibrio con razonamiento registrado, que incluye actividades como marketing directo, administración intragrupo y seguridad de la red o de la información.
En definitiva, si bien esto reduce el papeleo para algunos tipos de uso de datos, no elimina la obligación de respetar los derechos de los interesados. Sigue siendo esencial garantizar que el tratamiento sea necesario y proporcionado.
Transferencias internacionales de datos
Se ha reducido el umbral para las transferencias internacionales de datos. En lugar de exigir una protección "esencialmente equivalente" a la del RGPD del Reino Unido, las organizaciones ahora deben garantizar que la protección no sea significativamente inferior.
Esto ofrece a las empresas mayor flexibilidad en los flujos globales de datos, especialmente al trabajar con socios en países no cubiertos por las regulaciones de adecuación del Reino Unido. Sin embargo, también impone mayor responsabilidad al exportador de datos a la hora de evaluar las protecciones.
Los exportadores deben adoptar un enfoque razonable y proporcionado, teniendo en cuenta la naturaleza de los datos, el destino y los riesgos asociados. Si las leyes locales no cumplen con los requisitos, deberán implementar medidas de seguridad adicionales, como cifrado, controles de acceso y cláusulas contractuales rigurosas, para garantizar que los datos permanezcan protegidos según un estándar aceptable según la legislación del Reino Unido.
Cabe destacar también que la UE ha prorrogado temporalmente el estado de adecuación del Reino Unido hasta el 27 de diciembre de 2025, lo que permite que los datos sigan fluyendo de la UE al Reino Unido mientras la Comisión Europea finaliza su revisión. Las empresas que reciben datos de la UE deben estar al tanto de la evolución de la situación y considerar cláusulas contractuales de reserva para evitar interrupciones.
Solicitudes de acceso de interesados (DSAR)
La nueva legislación introduce un estándar más favorable para las empresas en las solicitudes DSAR, que exige que las búsquedas sean razonables y proporcionadas. Este cambio es positivo para las organizaciones que antes se enfrentaban a solicitudes excesivas o que consumían mucho tiempo. Permite a las empresas centrar sus esfuerzos en responder eficazmente, en lugar de buscar en todas las fuentes de datos posibles.
También se ha introducido una nueva disposición de suspensión temporal. Si necesita aclarar la solicitud, verificar la identidad del solicitante o solicitar el pago de una tasa (en casos de solicitudes manifiestamente infundadas o excesivas), el plazo de respuesta de un mes puede suspenderse hasta que reciba la información necesaria, lo que le proporciona un margen de maniobra para gestionar eficazmente las solicitudes complejas o ambiguas.
Sin embargo, las obligaciones fundamentales se mantienen. Las empresas deben responder sin demoras indebidas y proporcionar información clara y accesible a los interesados, y las demoras injustificadas seguirán conllevando riesgos de incumplimiento.
Cookies y marketing (PECR)
Es posible que ciertos tipos de cookies, como las que se utilizan para mejorar el servicio o medir la audiencia, ya no requieran consentimiento, siempre que se expliquen claramente y se proporcione a los usuarios la información y el control adecuados.
Al mismo tiempo, se está reforzando la aplicación de la ley en materia de marketing electrónico. Las multas por infracciones del PECR se han adaptado al RGPD del Reino Unido, con sanciones de hasta 17.5 millones de libras esterlinas o el 4 % de la facturación global. Esto pone de relieve la necesidad de que las empresas revisen sus prácticas de consentimiento, actualicen los banners de cookies y los avisos de privacidad, y garanticen una documentación interna sólida para las actividades de marketing.
Toma de decisiones automatizada e IA
La Ley introduce mayor flexibilidad para las organizaciones que utilizan IA y la toma de decisiones automatizada (TAD), sustituyendo el artículo 22 del RGPD del Reino Unido por un nuevo conjunto de disposiciones: los artículos 22A a 22D. Estos cambios permiten una aplicación más amplia de la TAD, especialmente en casos en que las decisiones tomadas no tienen efectos legales significativos ni de similar importancia para las personas.
Sin embargo, la ADM que produce efectos significativos, especialmente cuando involucra datos de categorías especiales, sigue estando estrictamente regulada. En estos casos, las organizaciones deben garantizar una supervisión humana significativa, una transparencia clara y la implementación de las salvaguardias adecuadas. La ADM basada en datos de categorías especiales generalmente requiere consentimiento explícito o debe cumplir con las condiciones específicas establecidas en la legislación.
Datos inteligentes e identificaciones digitales
La Ley allana el camino para los "Planes de Datos Inteligentes" específicos del sector, que permiten a los consumidores y a las pequeñas empresas compartir sus datos de forma segura y portátil. También establece un marco de confianza legal para los Servicios de Verificación Digital (SVD) que apoya el uso de identidades digitales verificadas en toda la economía.
Estas disposiciones son ampliamente habilitantes en esta etapa y se proporcionarán más detalles mediante legislación secundaria.
Reforma del regulador
La ICO se convertirá en la Comisión de Información, con mayores facultades de investigación y cumplimiento. Estas incluyen la exigencia de testimonios, la realización de auditorías técnicas y la imposición de sanciones más severas por incumplimiento.
Algunas de estas nuevas facultades entraron en vigor dos meses después de la sanción real, mientras que otras se implementarán gradualmente mediante legislación secundaria. Las organizaciones deben anticipar un entorno regulatorio más riguroso y prepararse en consecuencia, garantizando que la gobernanza, la documentación y los procesos internos estén preparados para las auditorías.
¿Qué está en juego para las empresas?
Si bien algunas reformas simplifican el cumplimiento normativo, por ejemplo, al reducir las cargas de la DSAR o aclarar el uso del interés legítimo, otras conllevan un mayor escrutinio regulatorio y sanciones más severas. Este panorama heterogéneo significa que las empresas no deberían considerar la Ley como una relajación de las normas. En cambio, representa una oportunidad para modernizar la gobernanza de datos, reducir el riesgo y generar confianza con clientes, socios y organismos reguladores.
Cronograma y lanzamiento por fases
La Ley entró en vigor en junio de 2025, pero no todas sus disposiciones entraron en vigor de inmediato. El gobierno ha confirmado una entrada en vigor escalonada, con cambios que se implementarán en fases de aproximadamente 2, 6 y 12 meses. El Reglamento de Entrada en Vigor n.º 1 entró en vigor el 20 de agosto de 2025 y abarca disposiciones técnicas y reglamentarias específicas.
Se espera que la mayoría de las actualizaciones significativas de la Parte 5 de la Ley, incluyendo los cambios al RGPD del Reino Unido, la Ley de Protección de Datos de 2018 y el PECR, entren en vigor alrededor de los seis meses. Se incorporarán nuevas actualizaciones mediante legislación secundaria y directrices de los organismos reguladores.
Las organizaciones deben mantenerse alertas a las nuevas regulaciones de inicio, monitorear las comunicaciones de la ICO y planificar su actividad de cumplimiento de acuerdo con los próximos plazos.
Su plan de acción de 8 puntos
Revisa tus bases legales
- Determine dónde se aplican los nuevos intereses legítimos reconocidos y actualice sus avisos de privacidad y RoPAs para que reflejen la realidad.
Reevalúe sus flujos de datos globales
- Revise los mecanismos de transferencia con respecto al nuevo umbral de «no significativamente inferior». Documente sus evaluaciones de riesgo de transferencia y tenga a mano un recurso alternativo para los datos de la UE.
Simplifique el manejo de DSAR
- Capacitar al personal para aplicar la prueba “razonable y proporcionada” e incorporar el nuevo proceso de detención preventiva para verificaciones de identidad o aclaraciones.
Poner en orden las cookies y el marketing
- Actualice los banners de cookies para las exenciones de bajo riesgo, revise los procesos de consentimiento y tenga en cuenta que las multas del PECR ahora se ajustan a los niveles del RGPD del Reino Unido. Organizaciones benéficas: comprueben si la suscripción suave ahora les funciona.
Audite su uso de ADM e IA
- Identifique qué sistemas se consideran una toma de decisiones automatizada significativa. Implemente una supervisión humana significativa, obtenga el consentimiento explícito cuando sea necesario y establezca salvaguardas documentadas.
Prepárese para los datos inteligentes
- Analice cómo los esquemas específicos del sector (como Open Banking) podrían trasladarse a su industria y si los servicios de verificación digital podrían convertirse en parte de sus procesos de incorporación o de atención al cliente.
Fortalecer la gobernanza ahora
- Ahora que la nueva Comisión de Información ha adquirido poderes para exigir entrevistas, auditorías y multas a nivel del RGPD para el PECR, es el momento de endurecer las políticas, la evidencia y la capacitación.
Stay tuned
- Esté atento a las regulaciones de inicio y las directrices de la ICO a medida que se implementen los lanzamientos escalonados durante los próximos 2, 6 y 12 meses. Priorice los cambios que entren en vigor primero.
Resumen Final
La Ley de Uso y Acceso a Datos de 2025 marca un antes y un después en la gobernanza de datos del Reino Unido. Establece un equilibrio entre la simplificación y la rendición de cuentas, ofreciendo a las empresas con visión de futuro la oportunidad de adoptar la innovación sin comprometer la confianza. Una preparación temprana no solo reducirá el riesgo, sino que también les ayudará a aprovechar las oportunidades que ofrece un uso más inteligente y transparente de los datos.
