Actualización del RGPD: Qué implica la Ley de Datos (Uso y Acceso) para los equipos de cumplimiento

Actualización del RGPD: Qué significa la Ley de Datos (Uso y Acceso) para los equipos de cumplimiento

Por Phil Muncaster • 3 July 2025

Una actualización de la versión británica del RGPD es necesaria desde hace tiempo. El anterior gobierno conservador la propuso originalmente a través de... Proyecto de Ley de Protección de Datos e Información Digital (DPDI), que no logró aprobarse en el Parlamento antes de un cambio de administración. La iniciativa laborista, la Ley de Uso y Acceso a Datos (DUA), finalmente recibió la sanción real tras una disputa de gran repercusión entre las cámaras alta y baja sobre la inteligencia artificial y los derechos de autor.

La pregunta es: ¿qué tan difícil será para los equipos de seguridad y cumplimiento adaptarse al nuevo régimen de protección de datos que instaura la ley?

¿Por qué lo necesitamos?

Como en intentos anteriores de mejorar y adaptar el régimen regulatorio del Reino Unido en materia de protección de datos, la prioridad es eliminar la burocracia innecesaria sin poner en peligro los flujos transfronterizos de datos hacia la UE. Para garantizar esto último, el Reino Unido no puede desviarse demasiado del RGPD, ya que podría poner en riesgo su estatus de "tercer país" en materia de adecuación.

Dado que la economía digital contribuyó con £154 mil millones en Valor Agregado Bruto (VAB) en 2023, que representa aproximadamente el 6.5 % del total, el gobierno sabe que una desviación radical del RGPD es impensable. Además, sería perverso, dado que la Oficina del Comisionado de Información (ICO) fue un contribuyente clave a la regulación original.

El gobierno afirma que la nueva ley proporcionará un impulso de 10 millones de libras a la economía del Reino Unido durante la próxima década. Señala una expansión de esquemas de “datos inteligentes” como la banca abierta, la reducción de la burocracia para los proveedores de servicios públicos, Y un nuevo Marca de confianza para proveedores de identidad digital como ayudar a lograr esto.

¿Qué hay de nuevo?

Sin embargo, desde la perspectiva de la protección de datos, los cambios más importantes se relacionan con:

Intereses legítimos: La Ley DUA introduce los “intereses legítimos reconocidos” como una nueva base legal para el procesamiento de datos personales. Esto permite a algunas organizaciones procesar datos sin necesidad de realizar una evaluación de intereses legítimos (LIA) tradicional. También existe una lista de actividades de procesamiento (incluido el marketing directo) que aún requieren LIA, lo que debería brindar mayor claridad a las organizaciones.

Toma de decisiones automatizada (ADM): La ley relaja las restricciones sobre ADM en los casos en que no estén involucrados datos de categorías especiales, aunque aún es necesario aplicar salvaguardas.

Investigación científica: La ley amplía la definición a cualquier investigación «razonablemente descrita como científica, ya sea financiada con fondos públicos o privados, y realizada como una actividad comercial o no comercial». Esto significa que la investigación financiada con fondos privados y comerciales se beneficiará de exenciones para el procesamiento de datos de categorías especiales.

Transferencias internacionales de datos: El Secretario de Estado podrá aprobar a terceros países y decidir si los estándares de protección de datos de un país de destino "no son materialmente inferiores" a los del Reino Unido en lugar de las protecciones "esencialmente equivalentes" existentes.

Datos de categoría especial: El secretario de estado también tendrá nuevos poderes para cambiar lo que puede clasificarse como datos de categoría especial, lo que requiere protección adicional.

Solicitudes de acceso de interesados (SAR): La ley aclara que los interesados solo tienen derecho a obtener información derivada de una búsqueda "razonable y proporcionada" realizada por la empresa. En determinadas circunstancias, las organizaciones pueden disponer ahora de hasta tres meses para responder a las solicitudes de registro de actividad (SAR). Esto tiene como objetivo reducir la carga administrativa de las empresas.

Limitación de la finalidad: La ley aclara qué constituye un “procesamiento ulterior”.

Datos de los niños: La ley introduce un nuevo concepto de “cuestiones de mayor protección de la infancia”, que la ICO deberá evaluar a la hora de regular las responsabilidades de las empresas.

Reglamento de Privacidad y Comunicaciones Electrónicas (PECR): Las nuevas normas sobre cookies están diseñadas para facilitar el cumplimiento a las empresas. Existen exenciones al requisito de solicitar el consentimiento para ciertas cookies no esenciales (p. ej., recopilar datos estadísticos para mejorar la apariencia o el rendimiento de un sitio web, adaptar un sitio web a las preferencias del usuario o realizar mejoras en los servicios o en un sitio web). También existe una larga lista de propósitos para el uso de cookies que se consideran estrictamente necesarios (p. ej., seguridad y detección de fraude), para los que no se requiere la opción de rechazarlas.

ICONO: La ICO será sustituida por la Comisión de Información, con un comisionado y un presidente y miembros ejecutivos y no ejecutivos. También se han introducido nuevas normas sobre los procedimientos de quejas.

Edward Machin, asesor de datos, privacidad y ciberseguridad de Ropes & Gray, sostiene que algunas de las medidas deberían ayudar a aliviar la burocracia para muchas organizaciones.

“Aunque resulte controvertido, la flexibilización de los requisitos en torno a la toma de decisiones automatizada que involucra datos personales no sensibles contribuirá en cierta medida a aliviar la carga de cumplimiento para las organizaciones que realizan este tipo de procesamiento, en particular en el contexto del desarrollo y uso de la IA”, explica a ISMS.online.

“Y aclarar el concepto de 'procesamiento posterior' en general, y ampliar la definición de 'investigación científica' en particular, permitirá —si no reducir la burocracia propiamente dicha— que las organizaciones procesen datos personales en una gama más amplia de escenarios que en la actualidad”.

Empezar con galletas

Es fundamental que los expertos legales no crean que la legislación afecte el estatus de adecuación del Reino Unido y, por lo tanto, los flujos de datos con la UE.

“Si bien son amplios, los cambios propuestos por la [Ley] no alteran los principios subyacentes del RGPD en los que se basa el régimen vigente”, afirma Sarah Pearce, socia de Hunton Andrews Kurth. “Por lo tanto, la nueva legislación no debería afectar la decisión de adecuación del Reino Unido cuando la revise la Comisión Europea a finales de este año”.

Entonces, ¿qué deberían analizar primero los responsables de cumplimiento? Machin, de Ropes & Gray, recomienda analizar las prácticas de cookies y marketing electrónico.

“Si bien la ley amplía el tipo de cookies y los propósitos que se consideran “estrictamente necesarios”, también aumenta las multas máximas bajo PECR para alinearse con el RGPD del Reino Unido, es decir, la mayor de £17.5 millones o el 4% de la facturación mundial anual”, explica.

Todas las organizaciones deberán implementar el nuevo proceso para las quejas de particulares, que deben dirigirse primero al responsable del tratamiento antes de presentarse ante la ICO. Esto requerirá actualizaciones de los avisos de privacidad y los procesos internos para garantizar que dichas quejas se gestionen adecuadamente.

También será necesario un proceso de mapeo más completo para entender cómo las disposiciones de la ley impactarán los procesos actuales, agrega Machin.

“En muchos casos, esto no resultará en cambios significativos en los programas existentes de cumplimiento del RGPD en el Reino Unido”, concluye.

Dicho esto, los esquemas de intercambio de datos y verificación digital que la ley faculta al secretario de estado para implementar implicarán una serie de requisitos legales y técnicos nuevos y mejorados, y las organizaciones que deseen, o estén obligadas, a participar en estos esquemas deberán seguir de cerca los avances en este ámbito.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster