RGPD vs. RGPD del Reino Unido: Cómo la Ley de Uso y Acceso de Datos de 2025 Está Generando una Divergencia Real
El RGPD de la UE y el RGPD del Reino Unido comenzaron siendo textos idénticos tras el Brexit. La Ley de Uso y Acceso de Datos de 2025, vigente desde febrero de 2026, creó la primera divergencia material: los intereses legítimos reconocidos, las normas reformadas de toma de decisiones automatizadas, un mecanismo de pausa del plazo para las solicitudes de acceso (SAR) y las exenciones de cookies analíticas ahora se aplican únicamente bajo el marco del Reino Unido.
Cuando el Reino Unido abandonó la Unión Europea el 31 de enero de 2020, el RGPD de la UE no dejó simplemente de aplicarse. La Ley de Retirada de la Unión Europea de 2018 lo incorporó al derecho interno del Reino Unido, creando así el RGPD del Reino Unido. Complementado por la Ley de Protección de Datos de 2018, el RGPD del Reino Unido inicialmente reflejaba al RGPD de la UE de manera casi literal.
Durante cuatro años, la comparación fue en gran medida académica. Luego llegó la Ley de Uso y Acceso de Datos de 2025 (DUAA). Con sanción real el 19 de junio de 2025 y entrada en vigor por fases hasta comienzos de 2026, la DUAA ha introducido cambios estructurales en el tratamiento basado en el interés legítimo, la toma de decisiones automatizada, los derechos de acceso de los titulares, el consentimiento de cookies y la propia gobernanza de la ICO. Ambos regímenes ya no lucen iguales.
Esta guía explica cómo llegó a existir el RGPD del Reino Unido, qué ha cambiado con la DUAA, el estado de la decisión de adecuación de la UE y cómo luce el cumplimiento dual en 2026.
Cómo Llegó a Existir el RGPD del Reino Unido
El RGPD de la UE se aplicó directamente en el Reino Unido desde el 25 de mayo de 2018 hasta el 31 de diciembre de 2020, mientras el Reino Unido era un Estado miembro y luego durante el período de transición tras su salida. El 1 de enero de 2021, el RGPD retenido se convirtió en el RGPD del Reino Unido.
El mecanismo técnico fue sencillo. La Ley de Retirada incorporó el RGPD al derecho interno del Reino Unido y autorizó instrumentos legales para corregir las referencias que ya no tenían sentido: "la Unión" pasó a ser "el Reino Unido", las instituciones de la UE se convirtieron en sus equivalentes británicos, y la Oficina del Comisionado de Información (ICO) se convirtió en la única autoridad supervisora de todo el país, en lugar de ser la APD nacional del Reino Unido dentro de una red de más de 30 APD europeas.
La Ley de Protección de Datos de 2018 coexiste con el RGPD del Reino Unido en una relación que refleja la estructura de la UE: la DPA 2018 ofrece disposiciones y excepciones específicas del Reino Unido de la misma manera en que los Estados miembros de la UE aprobaron legislación nacional de implementación. El marco combinado del RGPD del Reino Unido y la DPA 2018, al 1 de enero de 2021, era sustancialmente idéntico al RGPD de la UE.
El gobierno del Reino Unido anunció desde el principio su intención de reformar este marco. Tras varios intentos fallidos, la Ley de Protección de Datos e Información Digital (DPDI) recibió la sanción real el 24 de octubre de 2024, introduciendo cambios modestos. La DUAA de 2025, una ley de mayor alcance y ambición, llegó ocho meses después.
La Cuasi-Identidad Histórica
Desde 2021 y durante la mayor parte de 2025, el RGPD del Reino Unido y el RGPD de la UE fueron funcionalmente equivalentes para casi todos los efectos prácticos. Las seis bases jurídicas para el tratamiento eran idénticas. Los derechos de los titulares de datos (acceso, rectificación, supresión, portabilidad, limitación, oposición) eran los mismos. La obligación de notificación de vulneraciones en 72 horas era la misma. La protección de datos desde el diseño, las evaluaciones de impacto, los requisitos del DPD, los contratos de encargado y las normas sobre datos de categorías especiales seguían todos el texto de la UE.
Las principales diferencias prácticas durante este período eran estructurales: la ICO como única autoridad supervisora (frente a más de 30 APD de la UE), las propias decisiones de adecuación del Reino Unido para las transferencias internacionales, el Acuerdo de Transferencia Internacional de Datos (IDTA) del Reino Unido como equivalente nacional de las Cláusulas Contractuales Tipo de la UE, y el uso de libras esterlinas en lugar de euros para las multas.
Esa cuasi-identidad fue la base sobre la cual la Comisión Europea otorgó al Reino Unido una decisión de adecuación en junio de 2021.
La Ley de Uso y Acceso de Datos de 2025: Donde Comienza la Divergencia
La DUAA se promulgó el 19 de junio de 2025. El gobierno del Reino Unido la presentó como una reforma pro-innovación que mantiene altos estándares de protección de datos a la vez que reduce cargas de cumplimiento innecesarias. Los críticos, incluido el CEPD, señalaron que algunos cambios se alejan de manera significativa de los principios del RGPD de la UE.
La mayoría de las disposiciones de protección de datos de la ley entraron en vigor el 5 de febrero de 2026. El requisito de tramitación de reclamaciones entra en vigor el 19 de junio de 2026. La reestructuración de la gobernanza de la ICO seguirá una vez que se nombre la nueva junta directiva, prevista para fines de 2026.
Intereses Legítimos Reconocidos
El cambio estructuralmente más significativo es la creación de una nueva base jurídica: los "intereses legítimos reconocidos" conforme al artículo 6 del RGPD del Reino Unido (introducido por la sección 70 y el Anexo 4 de la DUAA).
En virtud del RGPD de la UE, cualquier tratamiento basado en el interés legítimo como base jurídica exige una Evaluación de Interés Legítimo (LIA) que pondere el interés del responsable frente a los derechos y libertades del titular de los datos. No existen atajos. El RGPD del Reino Unido conserva este requisito de ponderación completa para las reclamaciones generales de interés legítimo.
Sin embargo, el Anexo 4 de la DUAA introduce un listado de "intereses legítimos reconocidos" específicos para los cuales no se exige ninguna prueba de ponderación. Las categorías enumeradas son:
- La prevención y detección de delitos, incluida la prevención del fraude
- La protección de personas vulnerables (proteger a una persona de negligencia o de daño físico, mental o emocional)
- La respuesta a emergencias conforme a la Ley de Contingencias Civiles de 2004
- La seguridad nacional, la seguridad pública y la defensa
- La asistencia a organismos públicos en tareas de interés público sancionadas por la ley
- La transmisión intragrupo de datos personales con fines administrativos internos
Para estas categorías específicas, un responsable puede basarse en el interés legítimo reconocido sin realizar ni documentar una prueba de ponderación. El titular de los datos conserva el derecho de oposición conforme al artículo 21, pero el tratamiento se presume lícito.
El RGPD de la UE no tiene una disposición equivalente. El tratamiento basado en el interés legítimo en la UE siempre exige una prueba de ponderación, sin importar la finalidad. Esta es un área de divergencia sustantiva real.
Toma de Decisiones Automatizada
El artículo 22 del RGPD otorga a los titulares de datos de la UE el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o similarmente significativos, con excepciones limitadas. Históricamente, esto ha constituido una restricción significativa sobre la elaboración de perfiles totalmente automatizada, la puntuación crediticia y sistemas similares.
La DUAA reemplaza el artículo 22 del RGPD del Reino Unido con los nuevos artículos 22A a 22D (sección 80 y Anexo 6). El gobierno describe el marco reformado del Reino Unido como "más permisivo". Los cambios clave son:
- La prohibición de la toma de decisiones totalmente automatizada (ADM) ahora se aplica únicamente cuando la decisión se basa total o parcialmente en datos de categorías especiales y produce efectos jurídicos o similarmente significativos.
- Para otras decisiones de ADM, las organizaciones deben ofrecer transparencia, permitir que el titular de los datos presente alegaciones y ofrecer una vía de intervención humana a solicitud.
- Para los contextos de aplicación de la ley, una nueva "excepción de revisión humana activa" permite decisiones automatizadas adversas sin revisión humana inmediata si hacerlo obstruyera una investigación o pusiera en riesgo la seguridad nacional, siempre que la reconsideración humana se produzca tan pronto como sea razonablemente posible.
El efecto práctico es que un rango más amplio de decisiones automatizadas se vuelve lícito en el Reino Unido sin activar las protecciones completas del artículo 22. Un sistema construido bajo el marco británico más permisivo puede no cumplir con el RGPD de la UE respecto de los titulares de datos de la UE. La ICO abrió una consulta sobre nuevas directrices de ADM a comienzos de 2026.
La Pausa del Plazo de las SAR
Las secciones 75 a 78 de la DUAA introducen un mecanismo de "pausa del plazo" para las solicitudes de acceso de los titulares (SAR) que no tiene equivalente en el RGPD de la UE.
En virtud de ambos marcos, los responsables deben responder a las SAR dentro de un mes calendario (prorrogable por dos meses adicionales para solicitudes complejas o numerosas). En virtud del RGPD de la UE, este plazo corre de manera continua desde que se recibe la SAR.
En virtud del RGPD del Reino Unido enmendado, el plazo de respuesta se pausa cuando el responsable necesita que el titular de los datos aclare o precise su solicitud, o que proporcione información adicional para localizar los datos pertinentes. El plazo se detiene cuando se solicita la aclaración y se reanuda cuando esta se recibe.
Las mismas secciones también codifican que las búsquedas de una SAR solo necesitan ser "razonables y proporcionadas", un principio que anteriormente solo se había establecido a través de la jurisprudencia del Reino Unido.
El mecanismo de pausa del plazo otorga a los responsables del Reino Unido mayor flexibilidad para tramitar SAR complejas. Los responsables de la UE no cuentan con una herramienta equivalente; cualquier solicitud de aclaración debe gestionarse dentro del plazo continuo de un mes.
Reformas de Cookies y PECR
El Reglamento de Privacidad y Comunicaciones Electrónicas de 2003 (PECR) implementa la Directiva de Privacidad Electrónica de la UE en el derecho del Reino Unido y regula las cookies y tecnologías de rastreo similares. Históricamente, la PECR ha exigido el consentimiento previo para todas las cookies no esenciales, generando los conocidos banners de consentimiento de cookies en los sitios web de todo el Reino Unido y la UE.
La DUAA enmienda la PECR para crear tres nuevas categorías de tecnologías de almacenamiento y acceso que quedan exentas de consentimiento (vigentes desde el 5 de febrero de 2026):
- Cookies estadísticas: cookies analíticas usadas para medir y mejorar el rendimiento del sitio web, siempre que los datos no se usen para otros fines y se ofrezca una opción de exclusión gratuita a los usuarios.
- Cookies de apariencia: cookies que recuerdan las preferencias del usuario, como el idioma o la configuración de pantalla, cuando se ofrece una opción de exclusión gratuita.
- Cookies de asistencia de emergencia: cookies necesarias para habilitar un servicio de asistencia de emergencia.
Para las cookies estadísticas y de apariencia, la exención se aplica únicamente si el responsable ofrece un mecanismo gratuito y sencillo para que los usuarios se excluyan. La ICO publicó un proyecto de directrices en el otoño de 2025; se espera la orientación definitiva en la primavera de 2026.
En la UE, la Directiva de Privacidad Electrónica no ha sido enmendada. Todas las cookies no esenciales siguen requiriendo el consentimiento previo. El largamente debatido Reglamento de Privacidad Electrónica sigue sin promulgarse. Los sitios web del Reino Unido ahora pueden usar cookies analíticas sin un banner de consentimiento (sujeto a ofrecer una opción de exclusión), mientras que las mismas cookies en una página dirigida a la UE siguen requiriendo el consentimiento previo.
Por separado, la DUAA eleva la multa máxima de la PECR de 500 000 libras a 17.5 millones de libras o el 4% de la facturación anual global (lo que sea mayor), equiparándola a los niveles de sanción del RGPD del Reino Unido. Esto alinea la aplicación en materia de comunicaciones electrónicas con la aplicación en materia de protección de datos.
Disposiciones sobre Investigación Científica
Las secciones 67 y 68 de la DUAA aclaran y amplían las disposiciones del Reino Unido sobre investigación. Dos cambios son relevantes.
En primer lugar, la definición de "investigación científica" se incorpora a la legislación primaria (anteriormente figuraba en los considerandos) e incluye explícitamente la investigación científica comercial, por ejemplo, una empresa farmacéutica que realiza ensayos clínicos. Esto elimina la ambigüedad sobre si las entidades de investigación comercial se benefician de las flexibilidades de tratamiento para fines de investigación.
En segundo lugar, la DUAA habilita el "consentimiento amplio" para la investigación científica: cuando no sea razonablemente posible definir finalidades de investigación específicas desde el inicio, un consentimiento más amplio que cubra áreas de investigación relacionadas es válido. Esto refleja la práctica habitual en los estudios longitudinales y los biobancos.
En virtud del RGPD de la UE, estos principios existen en los considerandos y en el artículo 89, pero se han interpretado de manera más restrictiva en algunos Estados miembros. La codificación del Reino Unido ofrece mayor certeza jurídica.
Esquemas de Datos Inteligentes
La Parte 1 de la DUAA establece un marco legal para los "esquemas de datos inteligentes". Esto es independiente de los cambios centrales del RGPD del Reino Unido, pero relevante para los profesionales de datos.
Los esquemas de datos inteligentes amplían el modelo de Banca Abierta del Reino Unido (que permite a los clientes compartir datos financieros con terceros autorizados a través de API) a otros sectores. El Secretario de Estado y el Tesoro de Su Majestad pueden designar "tenedores de datos" en cualquier sector (energía, hipotecas, seguros, pensiones y otros) para poner los datos de los clientes a disposición de terceros autorizados que lo soliciten.
A partir de 2025, aproximadamente uno de cada cinco consumidores y empresas del Reino Unido usa servicios de Banca Abierta. La DUAA coloca a la Banca Abierta sobre una base legal y crea la infraestructura jurídica para extender el modelo a toda la economía. El objetivo del gobierno es contar con más de 20 nuevos esquemas de datos inteligentes para 2035.
Los esquemas de datos inteligentes no modifican directamente el RGPD del Reino Unido, pero los datos compartidos a través de un esquema de datos inteligentes deben cumplir con los requisitos del RGPD del Reino Unido para cada responsable involucrado.
La ICO se Convierte en la Information Commission
La Parte 6 de la DUAA renombra a la Oficina del Comisionado de Información como la Information Commission (IC) y reestructura su gobernanza. La ICO estará dirigida por una junta con un presidente y un director ejecutivo separados, en lugar de un único Comisionado de Información.
La Information Commission también tendrá un deber legal de tener en cuenta la conveniencia de promover la innovación al ejercer sus funciones. Los críticos señalan que esto genera una tensión con el requisito del RGPD de la UE de que las autoridades supervisoras actúen con "total independencia" (artículo 52) y sin objetivos comerciales en competencia.
La transición completa de la gobernanza depende del nombramiento de la nueva junta, previsto para la segunda mitad de 2026. Hasta entonces, la estructura actual de la ICO opera bajo el nuevo nombre.
La DUAA también otorgó a la ICO herramientas de aplicación reforzadas: la facultad de exigir a los responsables que encarguen auditorías independientes a su propio costo, y la facultad de obligar a comparecer para entrevistas mediante avisos de información.
La Decisión de Adecuación de la UE: Renovada hasta 2031
Cuando el Reino Unido abandonó el mercado único de la UE el 1 de enero de 2021, el artículo 46 del RGPD de la UE exigía que las organizaciones contaran con una decisión de adecuación, Cláusulas Contractuales Tipo, Normas Corporativas Vinculantes u otro mecanismo aprobado antes de transferir datos personales de la UE al Reino Unido.
La Comisión Europea adoptó una decisión de adecuación para el Reino Unido en junio de 2021, determinando que el marco del Reino Unido ofrecía una protección esencialmente equivalente. La decisión original incluía una cláusula de extinción a cuatro años, que expiraba en junio de 2025 salvo que se renovara.
La Renovación de Diciembre de 2025
La Comisión renovó ambas decisiones de adecuación del Reino Unido (una conforme al RGPD de la UE, otra conforme a la Directiva de Aplicación de la Ley) el 19 de diciembre de 2025. Las decisiones renovadas se extienden hasta el 27 de diciembre de 2031: una extensión de seis años.
Al renovarlas, la Comisión evaluó el marco de protección de datos del Reino Unido, incluida la recién promulgada DUAA de 2025, y concluyó que la protección sigue siendo "esencialmente equivalente" a los estándares de la UE, a pesar de las reformas de la DUAA.
El CEPD había adoptado sus dictámenes sobre los proyectos de decisiones de adecuación el 20 de octubre de 2025, respaldando la extensión mientras señalaba preocupaciones específicas:
- Facultades del Secretario de Estado: la autoridad para enmendar las normas de toma de decisiones automatizadas, los mecanismos de transferencia internacional y la gobernanza de la ICO mediante legislación secundaria con un escrutinio parlamentario limitado debe monitorearse.
- Prueba de adecuación posterior del Reino Unido: el nuevo estándar del Reino Unido para las evaluaciones de adecuación de terceros países ("no materialmente inferior") omite elementos que figuraban en la prueba anterior del Reino Unido, lo que podría permitir transferencias posteriores a países que no cumplirían los estándares de adecuación de la UE.
- Estructura e independencia de la ICO: los cambios en la gobernanza de la ICO y su nuevo deber de considerar la innovación requieren una evaluación continua.
- Excepciones de seguridad nacional: los Avisos de Capacidad Técnica que permiten eludir el cifrado, y las excepciones de seguridad nacional respecto de los principios de protección de datos, ameritan un monitoreo cercano.
La presidenta del CEPD, Anu Talus, declaró que la Junta "celebra la continua alineación entre el Reino Unido y el marco de protección de datos de Europa", a la vez que solicitó un monitoreo efectivo durante el período de seis años.
Qué Significa la Adecuación en la Práctica
La decisión de adecuación cubre las transferencias de datos personales desde los Estados miembros de la UE y el EEE hacia el Reino Unido. En la práctica:
- Las organizaciones del Reino Unido que reciben datos personales de responsables de la UE/EEE no necesitan SCC, Normas Corporativas Vinculantes ni otras salvaguardas de transferencia.
- Los responsables de la UE que envían datos a encargados o corresponsables del Reino Unido pueden hacerlo libremente.
- Si la decisión fuera revocada o suspendida, cada una de esas transferencias requeriría de inmediato un mecanismo alternativo.
Las transferencias del Reino Unido a la UE se gestionan por separado: el Reino Unido ha reconocido a la UE/EEE como adecuada conforme a sus propias normas de adecuación, por lo que esas transferencias también fluyen sin salvaguardas adicionales.
Aplicación: la ICO frente a las APD de la UE
| ICO / Information Commission (Reino Unido) | APD de la UE | |
|---|---|---|
| Número de autoridades | 1 (nacional) | Más de 30 (una por Estado miembro) |
| Modelo de autoridad principal | No aplicable | Ventanilla única: APD principal para el tratamiento transfronterizo |
| Multa máxima bajo el RGPD / RGPD del Reino Unido | 17.5 millones de libras o el 4% de la facturación global | 20 millones de euros o el 4% de la facturación global |
| Multa máxima de la PECR (desde febrero de 2026) | 17.5 millones de libras o el 4% de la facturación global | Directiva de Privacidad Electrónica: varía según el Estado miembro |
| Independencia de la autoridad | Deber legal de considerar la innovación | "Total independencia" (art. 52) |
| Facultades de auditoría tras la DUAA | Puede exigir auditorías externas a costo del responsable | Varía según el Estado miembro |
Los niveles de sanción son, en términos monetarios, ampliamente equivalentes. Para las organizaciones sujetas a ambos reguladores, una vulneración que afecte tanto a titulares de datos del Reino Unido como de la UE requiere notificación por separado tanto a la ICO como a la APD principal de la UE correspondiente dentro de las 72 horas posteriores a tener conocimiento del incidente.
¿La Divergencia Amenaza la Adecuación?
La renovación de diciembre de 2025 confirma que los niveles actuales de divergencia se encuentran dentro de la tolerancia de "equivalencia esencial" de la Comisión. Las seis áreas con mayor probabilidad de atraer escrutinio durante el período 2025-2031 son:
Transferencias posteriores: el nuevo estándar del Reino Unido de "no materialmente inferior" para la adecuación de terceros países podría permitir transferencias posteriores desde el Reino Unido a países que la UE no ha reconocido. Los datos de la UE que fluyen hacia el Reino Unido y luego hacia un país de menor protección podrían socavar el fundamento de la adecuación.
Facultades de legislación secundaria: el Secretario de Estado puede seguir enmendando el marco del RGPD del Reino Unido, incluidas las normas de ADM y los mecanismos de transferencia internacional, sin legislación primaria. Cualquier ejercicio de esas facultades que reduzca las protecciones de los titulares de datos podría desencadenar una revisión por parte de la Comisión.
Independencia de la ICO: si los patrones de aplicación de la Information Commission parecen estar condicionados por consideraciones comerciales o de innovación en lugar del derecho de protección de datos, eso podría generar comentarios del CEPD.
Prácticas de ADM: si las organizaciones del Reino Unido comienzan a operar sistemas de toma de decisiones automatizadas que serían ilícitos bajo el artículo 22 del RGPD de la UE pero están permitidos bajo los artículos 22A-D del Reino Unido, y esas decisiones afectan a residentes de la UE, podría surgir fricción en materia de adecuación.
La decisión de adecuación puede suspenderse o revocarse en cualquier momento antes de 2031. Las organizaciones con flujos de datos significativos entre la UE y el Reino Unido deberían mantener SCC o IDTA de contingencia como precaución.
Comparación Lado a Lado
| Característica | RGPD de la UE | RGPD del Reino Unido (tras la DUAA, 2026) |
|---|---|---|
| Vigente desde | 25 de mayo de 2018 | 1 de enero de 2021 (retenido); DUAA: 5 de febrero de 2026 |
| Autoridad supervisora | APD nacionales (más de 30) | ICO (convirtiéndose en Information Commission) |
| Intereses legítimos reconocidos | Sin equivalente; siempre se exige una LIA completa | Lista del Anexo 4 (delitos, protección, emergencias, seguridad nacional, intragrupo): no se necesita LIA |
| Decisiones automatizadas (art. 22) | Derecho a no ser objeto de una ADM exclusivamente automatizada (con excepciones) | Reemplazado por los arts. 22A-D; la prohibición se restringe a los datos de categorías especiales; se aplican derechos amplios de transparencia e impugnación |
| Plazo de respuesta de las SAR | 1 mes (corre de manera continua) | 1 mes (con pausa durante las solicitudes de aclaración) |
| Cookies analíticas | Se requiere consentimiento previo | Exentas si se ofrece una opción de exclusión gratuita |
| Cookies de apariencia | Se requiere consentimiento previo | Exentas si se ofrece una opción de exclusión gratuita |
| Multa máxima de la PECR | N/A (la Directiva de Privacidad Electrónica varía según el Estado miembro) | 17.5 millones de libras o el 4% de la facturación global (desde febrero de 2026) |
| Alcance de la investigación científica | Art. 89, basado en considerandos; la investigación comercial se debate | Codificado; la investigación comercial está explícitamente incluida; se permite el consentimiento amplio |
| Prueba de adecuación para las transferencias posteriores | "Esencialmente equivalente" | "No materialmente inferior" |
| Independencia de la autoridad | "Total independencia" (art. 52) | Deber de considerar la innovación |
| Multa máxima (RGPD / RGPD del Reino Unido) | 20 millones de euros o el 4% de la facturación global | 17.5 millones de libras o el 4% de la facturación global |
| Notificación de vulneraciones de datos | 72 horas a la APD | 72 horas a la ICO |
| Requisito de DPD | Sí (ciertas organizaciones) | Sí (ciertas organizaciones) |
| Mecanismos de transferencia | Decisiones de adecuación, SCC, BCR | Los mismos mecanismos; nueva prueba de adecuación "no materialmente inferior" |
| Portabilidad de datos / datos inteligentes | Art. 20 del RGPD (solo derecho individual) | Art. 20 más los esquemas de datos inteligentes de la DUAA (portabilidad a nivel sectorial) |
Cumplimiento Dual: Operar Ambos Marcos en 2026
Las organizaciones que recopilan datos personales tanto de residentes del Reino Unido como de la UE deben satisfacer ambos marcos simultáneamente. Los pasos prácticos clave tras la entrada en vigor de la DUAA son los siguientes:
Avisos de privacidad: actualícelos para reflejar las bases jurídicas del RGPD del Reino Unido y del RGPD de la UE donde difieran. El tratamiento que se base en el interés legítimo reconocido conforme al derecho del Reino Unido sigue requiriendo una LIA completa para el tratamiento dirigido a la UE. Los avisos deben aclarar qué autoridad supervisora (la ICO o la APD de la UE correspondiente) se aplica a qué tratamiento.
Evaluaciones de interés legítimo: mantenga LIA separadas para el tratamiento dirigido a la UE, incluso cuando el tratamiento equivalente en el Reino Unido se base en el interés legítimo reconocido. La ausencia de un requisito de LIA en el Reino Unido no elimina la obligación de la UE.
Toma de decisiones automatizada: revise toda la toma de decisiones totalmente automatizada frente al artículo 22 (UE) y los nuevos artículos 22A-D del Reino Unido. Los sistemas lícitos bajo el marco más permisivo del Reino Unido deben seguir cumpliendo con las normas más estrictas de la UE respecto de los titulares de datos de la UE.
Procedimientos de SAR: el mecanismo de pausa del plazo se aplica únicamente a las SAR del RGPD del Reino Unido. Las SAR del RGPD de la UE corren bajo un plazo continuo de un mes. Cuando una única SAR abarque datos personales tanto del Reino Unido como de la UE, trate el plazo del RGPD de la UE como vinculante.
Consentimiento de cookies: las páginas dirigidas a la UE siguen requiriendo el consentimiento previo pleno para las cookies analíticas y de apariencia. Las páginas dirigidas al Reino Unido pueden pasar a un modelo de exclusión voluntaria para esas categorías de cookies conforme a las exenciones de la PECR. Considere enfoques basados en geolocalización o preferencias para audiencias mixtas.
Transferencias internacionales: las transferencias de la UE al Reino Unido están cubiertas por la decisión de adecuación. Las transferencias del Reino Unido a la UE están cubiertas por las normas de adecuación del Reino Unido. Mantenga SCC de contingencia para los flujos de la UE al Reino Unido como cobertura frente a una eventual suspensión de la adecuación.
Representantes: las organizaciones establecidas únicamente en el Reino Unido (no en la UE) necesitan un representante en la UE para el tratamiento dirigido a la UE conforme al artículo 27 del RGPD de la UE. Las organizaciones establecidas únicamente en la UE necesitan un representante en el Reino Unido conforme al artículo 27 del RGPD del Reino Unido. Pueden ser entidades diferentes.
Notificación de vulneraciones: un único incidente que afecte tanto a titulares de datos del Reino Unido como de la UE requiere notificación tanto a la ICO como a la APD principal de la UE correspondiente dentro de las 72 horas posteriores a tener conocimiento del incidente.
Para un análisis detallado del marco del Reino Unido de manera independiente, consulte nuestra guía sobre las leyes de privacidad de datos del Reino Unido. Para el lado de la UE, consulte nuestra guía sobre las leyes de privacidad de datos de la UE.
Avances Recientes (2024-2026)
Mayo de 2026: se espera de manera inminente que la ICO finalice sus directrices sobre cookies. Continúa la consulta de la ICO sobre las directrices de ADM.
Febrero de 2026: entran en vigor las principales disposiciones de protección de datos de la DUAA. Los intereses legítimos reconocidos, el nuevo marco de ADM, la pausa del plazo de las SAR y las exenciones de cookies ya están operativos. Las multas de la PECR suben al nivel de 17.5 millones de libras.
Diciembre de 2025: la Comisión Europea renueva las decisiones de adecuación del Reino Unido para el RGPD y la Directiva de Aplicación de la Ley, válidas hasta el 27 de diciembre de 2031.
Octubre de 2025: el CEPD adopta dictámenes que respaldan la renovación de la adecuación, señalando a la vez preocupaciones de monitoreo sobre las facultades del Secretario de Estado, la prueba de transferencia posterior del Reino Unido y la independencia de la ICO.
Junio de 2025: la DUAA recibe la sanción real (19 de junio de 2025). La ICO anuncia un enfoque proporcional y de apoyo a medida que entran en vigor las nuevas disposiciones.
Octubre de 2024: la Ley DPDI recibe la sanción real, introduciendo una primera ronda de reformas post-Brexit al RGPD del Reino Unido, previas a la DUAA.
Junio de 2021: la Comisión Europea adopta las decisiones de adecuación originales para el Reino Unido.
Enero de 2021: el RGPD del Reino Unido pasa a existir como derecho de la UE retenido.
Preguntas frecuentes
¿Sigue el Reino Unido cubierto por el RGPD tras el Brexit?
El RGPD de la UE ya no se aplica directamente en el Reino Unido. En su lugar, el Reino Unido cuenta con su propio RGPD del Reino Unido, retenido en el derecho interno mediante la Ley de Retirada de la Unión Europea de 2018 y complementado por la Ley de Protección de Datos de 2018. Ambas leyes comenzaron siendo casi idénticas palabra por palabra, pero la Ley de Uso y Acceso de Datos de 2025, vigente desde febrero de 2026, ha introducido diferencias materiales en materia de intereses legítimos, toma de decisiones automatizada, tramitación de SAR y consentimiento de cookies.
¿Qué es la Ley de Uso y Acceso de Datos de 2025 y cuándo entró en vigor?
La Ley de Uso y Acceso de Datos de 2025 (DUAA) recibió la sanción real el 19 de junio de 2025. Sus principales disposiciones en materia de protección de datos entraron en vigor el 5 de febrero de 2026. La ley enmienda el RGPD del Reino Unido y la DPA 2018 para introducir los intereses legítimos reconocidos (sin necesidad de LIA para las categorías enumeradas), normas reformadas de toma de decisiones automatizadas, un mecanismo de pausa del plazo para las SAR, nuevas exenciones de cookies conforme a la PECR, multas más altas de la PECR, disposiciones ampliadas sobre investigación científica y la transición de la ICO hacia convertirse en la Information Commission.
¿Pueden los datos personales seguir fluyendo libremente entre la UE y el Reino Unido?
Sí. La Comisión Europea renovó ambas decisiones de adecuación del Reino Unido el 19 de diciembre de 2025, cubriendo las transferencias conforme al RGPD de la UE y a la Directiva de Aplicación de la Ley. Las decisiones renovadas son válidas hasta el 27 de diciembre de 2031. Las transferencias de datos personales de la UE al Reino Unido no requieren Cláusulas Contractuales Tipo ni otros mecanismos de transferencia durante ese período, siempre que el tratamiento subyacente cumpla por lo demás con el RGPD de la UE.
¿Qué son los intereses legítimos reconocidos bajo el RGPD del Reino Unido?
Los intereses legítimos reconocidos son una nueva categoría de tratamiento lícito, introducida por el Anexo 4 de la DUAA en el artículo 6 del RGPD del Reino Unido. Cubren la prevención y detección de delitos, la protección de personas vulnerables, la respuesta a emergencias, la seguridad nacional y pública, la asistencia en tareas de interés público sancionadas por la ley, y las transferencias de datos intragrupo. A diferencia del tratamiento ordinario basado en el interés legítimo, estas categorías no exigen una Evaluación de Interés Legítimo. El RGPD de la UE no tiene un equivalente: toda invocación del interés legítimo en la UE exige una prueba de ponderación completa.
¿Qué cambió para las solicitudes de acceso de los titulares bajo la DUAA?
La DUAA introdujo un mecanismo de pausa del plazo: el plazo de respuesta de un mes para las SAR se pausa cuando un responsable solicita aclaración o información adicional al titular de los datos, y se reanuda cuando se recibe dicha aclaración. La ley también codifica que las búsquedas de las SAR solo necesitan ser razonables y proporcionadas. Estos cambios se aplican únicamente a las SAR del RGPD del Reino Unido. Las SAR del RGPD de la UE siguen corriendo bajo un plazo continuo de un mes, sin importar los intercambios de aclaración.
¿Deben las empresas cumplir tanto con el RGPD del Reino Unido como con el RGPD de la UE?
Sí, si tratan datos personales tanto de residentes del Reino Unido como de la UE. Una empresa con sede en el Reino Unido que vende a clientes de la UE debe cumplir con el RGPD de la UE respecto de esos clientes y con el RGPD del Reino Unido respecto de los residentes del Reino Unido. Esto ahora exige la gestión separada de las evaluaciones de interés legítimo reconocido (LIA completa para la UE, posiblemente sin LIA para el Reino Unido), los plazos de las SAR, la lógica de toma de decisiones automatizada y los enfoques de consentimiento de cookies para las audiencias del Reino Unido frente a las de la UE.
¿Amenaza la DUAA la decisión de adecuación de la UE?
No de manera inmediata. La Comisión renovó la adecuación en diciembre de 2025 tras evaluar la DUAA, y consideró aceptable la divergencia actual. Sin embargo, el CEPD señaló áreas para un monitoreo continuo: la nueva prueba de adecuación posterior del Reino Unido, las facultades del Secretario de Estado para seguir enmendando el marco mediante legislación secundaria, y el deber de la ICO de considerar la innovación. Si esas facultades se ejercen para debilitar las protecciones de los titulares de datos, la adecuación podría revisarse antes de su vencimiento en 2031.
Fuentes y referencias
- Ley de Uso y Acceso de Datos de 2025, c.18(legislation.gov.uk).gov
- Ley de Protección de Datos de 2018(legislation.gov.uk).gov
- Ley de Uso y Acceso de Datos de 2025: cambios en protección de datos y privacidad - GOV.UK(gov.uk).gov
- Ficha Informativa de la Ley de Uso y Acceso de Datos: RGPD del Reino Unido y DPA - GOV.UK(gov.uk).gov
- Ley de Uso y Acceso de Datos de 2025 - ICO(ico.org.uk).gov
- Declaración sobre la Entrada en Vigor de la DUAA - ICO, Febrero de 2026(ico.org.uk).gov
- Interés Legítimo Reconocido - ICO(ico.org.uk).gov
- La Comisión Renueva las Decisiones para Permitir el Flujo Libre y Seguro de Datos Personales con el Reino Unido - Comisión Europea, Diciembre de 2025(ec.europa.eu).gov
- Proyectos de Decisiones de Adecuación del Reino Unido: el CEPD Adopta sus Dictámenes - CEPD, Octubre de 2025(edpb.europa.eu).gov
- Decisiones de Adecuación de la UE - Comisión Europea(commission.europa.eu).gov
- Recepción de Información Personal desde el EEE - ICO(ico.org.uk).gov
- Acuerdo de Transferencia Internacional de Datos del Reino Unido - ICO(ico.org.uk).gov