El estado de la privacidad en línea en el Reino Unido: ¿estamos haciendo lo suficiente?

Por Christie Rae • 30 de enero de 2025

El Reglamento General de Protección de Datos de la UE (GDPR) entró en vigor en mayo de 2018. Es una estricta regulación de seguridad y privacidad de datos que impone requisitos estrictos a las organizaciones que recopilan y procesan datos personales de ciudadanos de la UE y aplica fuertes multas por infracciones.

El reglamento se desarrolló para proteger los datos personales de los ciudadanos y residentes de la UE en línea con los avances tecnológicos, como la publicidad dirigida y el marketing por correo electrónico. A pesar de que el Reino Unido abandonó la Unión Europea, el Reino Unido aún mantiene el RGPD en su legislación nacional como el RGPD del Reino Unido.

Sin embargo, mientras las empresas se esfuerzan por proteger los datos que poseen, los actores amenazantes siguen al acecho y buscando oportunidades para atacar. Las violaciones de datos están en aumento, los actores maliciosos están desarrollando métodos de ataque cada vez más sofisticados y las organizaciones están bajo un mayor escrutinio que nunca en lo que respecta a la privacidad de los datos y a cómo protegen la información de los consumidores.

Las empresas luchan por mantener la seguridad de sus datos

En ISMS.online Informe sobre el estado de la seguridad de la información 2024, que encuestó a 502 empresas del Reino Unido de una variedad de sectores, solo el 1% de los encuestados afirmó que su empresa no había recibido una multa por una violación de datos o de las normas de protección de datos en los 12 meses anteriores. El 76% de las organizaciones dijeron que habían recibido multas de entre £ 50,000 y £ 500,000, y más de un tercio (35%) recibieron multas de entre £ 100,000 y £ 250,000.

Es preocupante que estos errores sean problemas a escala mundial: solo el 1% de los encuestados australianos y ningún encuestado estadounidense afirmaron que su empresa no había recibido multas.

El impacto de las violaciones de datos en las empresas no se puede subestimar. costo promedio de una violación de datos alcanzó un máximo histórico en 2024 con 4.88 millones de dólares, un aumento del 10 % con respecto a 2023 y el total más alto de la historia. La confianza del cliente y la reputación de la marca también se ven muy afectadas: Un estudio de ISACA reveló que el 33% de los consumidores informan haber cortado vínculos con una empresa que saben que ha sufrido una violación de seguridad, y el 36% cree que las empresas no informan suficientes violaciones, incluso si la ley lo exige.

Los consumidores ejercen sus derechos de privacidad de datos

A medida que las organizaciones luchan por cumplir con las regulaciones y hacer frente a las violaciones de datos, los consumidores se preocupan cada vez más por la privacidad de sus datos y las organizaciones a las que brindan su información. Los consumidores investigan la reputación de privacidad de datos de una empresa?

El 67% de los consumidores leen reseñas de otros consumidores

El 39% de los consumidores lee atentamente las políticas de la empresa

El 35% de los consumidores comprueba si la empresa ha sufrido una violación de datos

El 31% de los consumidores leen debates en sitios sociales (por ejemplo, Reddit)

El 15% de los consumidores consulta con asociaciones.

Más de dos tercios (67 %) de los consumidores del Reino Unido ahora buscan pruebas sociales, como reseñas de otros consumidores en sitios web confiables, antes de proporcionar sus datos a una organización. Mientras tanto, el 39 % dice que lee atentamente las políticas de la empresa, muy lejos de los días en que los compradores pasaban de largo los términos y condiciones para hacer clic en "aceptar" y seguir adelante. El 35 % dice que comprueba si una empresa a la que pretende comprar ha sufrido una filtración de datos.

Los consumidores en el Reino Unido conocen y ejercen sus derechos de privacidad de datos.

Estos son procesos Las formas más comunes en que los adultos del Reino Unido ejercen sus derechos de privacidad de datos, según Statista:

El 70% solicitó a una organización que dejara de enviarles marketing a través de medios electrónicos

El 31% solicitó a una organización que dejara de usar su información o datos personales por completo

El 31% se negó a proporcionar a una organización sus datos biométricos

El 29% solicitó a una organización que eliminara cualquier información o dato personal recopilado sobre ellos.

Cómo pueden las organizaciones mejorar sus prácticas de privacidad de datos

Garantizar que su empresa cumple con las normas del RGPD es un requisito legal y un paso clave para garantizar la privacidad de los datos. Sin embargo, para establecer y generar confianza en la organización, es importante considerar otras formas de proteger la información de los clientes más allá de los requisitos básicos establecidos en la legislación.

Infografía: Descubra cinco pasos para mejorar la privacidad de los datos

Implementar un Sistema de Gestión de Información de Privacidad con ISO 27701

ISO 27701, es una norma internacional de privacidad de datos y una extensión de la norma de seguridad de la información ISO 27001. Proporciona un marco para que su organización establezca, implemente, mantenga y mejore continuamente un sistema de gestión de información de privacidad (PIMS) y garantice un cumplimiento sólido y continuo con la legislación de protección de datos como el RGPD. La ISO 27701 está disponible como complemento a una certificación ISO 27001 existente.

La norma establece los requisitos para la creación de un PIMS integral y orienta a los responsables y encargados del tratamiento de datos en el manejo de información de identificación personal (PII). Como parte de la implementación de la ISO 27701, usted:

Determinar la legislación y las regulaciones de privacidad que se aplican a su negocio

Determinar el alcance organizacional de su PIMS

Establecer un proceso de evaluación y tratamiento de riesgos de seguridad de la privacidad

Gestione la relación entre la seguridad de su información y la protección de PII

Considere e implemente controles para proteger la información de identificación personal que usted controla o procesa, por ejemplo:

Anexo A.7.2.1 – Identificar y documentar los propósitos específicos para los cuales se procesará la PII, por ejemplo, para procesar y entregar pedidos de clientes, gestionar pagos y comercializar servicios

Anexo A.7.4.1 – Limitar la recopilación de información de identificación personal al mínimo que sea relevante, proporcional y necesario para sus fines identificados

Anexo A.7.4.1 – Conservar la información de identificación personal únicamente durante el tiempo que sea necesario para los fines para los cuales se procesa dicha información, por ejemplo, estableciendo períodos de retención para tipos de registros específicos.

Muchos de los controles de su PIMS se basarán en los controles que establezca en su sistema de gestión de seguridad de la información (SGSI) ISO 27001, como su política de control de acceso, el proceso de copia de seguridad de la información y la clasificación de la información. Esto permite que su organización adopte un enfoque unificado para abordar los riesgos de seguridad y privacidad de la información, reduciendo el riesgo de violaciones de datos y demostrando su compromiso con la seguridad a sus clientes y clientes potenciales.

Establecer procesos transparentes de manejo de datos

La transparencia en los procesos de tratamiento de datos es necesaria para cumplir con el RGPD, pero también aumenta la confianza de los consumidores en las medidas de seguridad de su organización. El tratamiento de datos legal, justo y transparente incluye:

Identificar y documentar los fines para los cuales se procesará la PII, por ejemplo, entregar productos y servicios, procesar y entregar pedidos o comercializar y promover servicios

Identificar y documentar la base legal relevante para el procesamiento de datos personales, como el consentimiento de los principios de PII, la ejecución de un contrato o el cumplimiento de una obligación legal

Limitar la recopilación y el procesamiento de información de identificación personal al mínimo necesario para la tarea pertinente para alinearse con los principios de privacidad por defecto y privacidad por diseño

Implementar procesos para la protección de registros, incluyendo control de acceso, clasificación de información y períodos de retención específicos.

Las prácticas anteriores también son necesarias para el éxito del cumplimiento y la certificación ISO 27701.

Formación y concienciación de los empleados

Es fundamental capacitar a sus empleados para que protejan la información personal que usted posee y la gestionen de manera responsable. Considere la posibilidad de establecer un programa de capacitación y concientización para empleados que aborde la importancia de mantener los datos seguros y protegidos. También debe compartir sus políticas de procesamiento y manejo de datos con los empleados pertinentes, por ejemplo, los empleados que acceden regularmente a la información personal que usted posee como parte de su trabajo diario.

La incorporación es el momento ideal para garantizar que un nuevo empleado conozca su enfoque de la seguridad de los datos, y la capacitación de actualización regular ayuda a tener en cuenta las responsabilidades de privacidad de los datos.

La protección de la privacidad de los datos es responsabilidad de todos

Los consumidores del Reino Unido conocen el riesgo que supone compartir información personal con organizaciones en caso de que una empresa sea víctima de una filtración de datos o simplemente no gestione su información correctamente. Sin embargo, como consumidores, también podemos tomar medidas sencillas para proteger nuestra información personal:

Buena higiene de contraseñas, como contraseñas con 12 o más caracteres, cadenas de palabras no relacionadas y números y caracteres especiales.

Utilizar únicamente conexiones WiFi seguras y no conectarse a redes WiFi públicas con medidas de seguridad limitadas.

Asegurarnos de que sabemos cómo identificar un posible intento de phishing por correo electrónico o mensaje de texto

Reportar mensajes de texto sospechosos a Action Fraud reenviando el mensaje al 7726 para que pueda ser investigado

Cómo comprobar si una dirección de correo electrónico se ha visto comprometida en violaciones de datos anteriores mediante He sido promovidoy cambiar las contraseñas según corresponda.

A medida que las empresas establecen medidas de privacidad más sólidas y robustas, como las descritas en la norma ISO 27701, y los consumidores toman medidas para protegerse a sí mismos y a sus datos, podemos adoptar un enfoque unificado para la protección de datos, fortalecer la seguridad de los datos y frustrar los esfuerzos de actores maliciosos.

cristian rae

Christie es especialista en marketing de contenidos en ISMS.online. Con más de siete años de experiencia, su objetivo es escribir contenido informativo y atractivo y ha trabajado en una variedad de industrias que incluyen ciberseguridad, software como servicio, tecnología y productos farmacéuticos.

Leer más de Christie Rae

La seguridad cibernética 4 December 2025

IO nombrado líder de G2 Grid® en gobernanza, riesgo y cumplimiento para el invierno de 2025

Nos complace compartir que IO ha sido nombrado Líder en los Informes G2 Grid® para el invierno de 2025. Este trimestre, IO logró ocho insignias en los Informes...

cristian rae

La seguridad cibernética 28 November 2025

Desarrollando la ciberresiliencia: cómo proteger su negocio en este banner del Black Friday

Desarrollar la ciberresiliencia: cómo proteger su negocio este Black Friday

El año 2025 ha estado marcado por una veintena de incidentes cibernéticos de gran repercusión. Una filtración de datos a un proveedor paralizó por completo las operaciones del gigante minorista M&S, con clientes...

cristian rae

Privacidad de datos 26 November 2025