El Reino Unido está protegido por la Ley de Protección de Datos del Reino Unido de 2018 (DPA 2018), una ley que funciona junto con el Reglamento General de Protección de Datos del Reino Unido (UK rgpd), que es como el rgpd la UE pero tiene en cuenta la retirada del Reino Unido de la Unión Europea en 2020.
A continuación, resumo la Ley de Protección de Datos del Reino Unido de 2018, incluyendo a quién se aplica, cómo afecta a las empresas y los consumidores, sus diferentes requisitos, las sanciones por violar la ley y cómo funciona con el rgpd del Reino Unido.
- Qué es la ley de protección de datos del Reino Unido de 2018
- Ley de protección de datos del Reino Unido de 2018 Términos y definiciones clave
- ¿Qué cubre la Ley de Protección de Datos del Reino Unido?
- Requisitos de la Ley de Protección de Datos del Reino Unido
- Cómo afecta a los consumidores la Ley de Protección de Datos del Reino Unido
- Cómo afecta a las empresas la Ley de Protección de Datos del Reino Unido
- Quién debe cumplir con la DPA 2018
- Cómo pueden las empresas cumplir con la DPA 2018
- ¿Cómo se aplica la Ley de Protección de Datos del Reino Unido?
- Multas y sanciones en virtud de la Ley de Protección de Datos del Reino Unido
- Cómo ayuda Termly a cumplir la Ley de Protección de Datos del Reino Unido
- Resumen
Qué es la ley de protección de datos del Reino Unido de 2018
La Ley de Protección de Datos del Reino Unido de 2018, o la DPA de 2018, es una ley nacional establecida en el Reino Unido que forma parte del marco legal de privacidad de la región junto con la rgpd del Reino Unido.
Regula cómo se recopila, almacena y utiliza la información personal y complementa y amplía algunas de las normas establecidas por rgpd del Reino Unido.
Fecha de entrada en vigor de la Ley de Protección de Datos
La DPA 2018 entró en vigor el 25 de mayo de 2018.
Breve historia de la Ley de Protección de Datos, la rgpd del Reino Unido y la rgpd la UE
Para entender cómo la DPA 2018 y el rgpd del Reino Unido trabajan juntos, necesito explicar lo que sucedió con el marco de privacidad del Reino Unido después de que el país se retiró de la UE.
Técnicamente, la Ley de Protección de Datos y rgpd la UE se introdujeron y entraron en vigor antes de que el Reino Unido se retirara de la Unión Europea el 31 de enero de 2020.
El Reino Unido aprobó la DPA 2018 porque el rgpd de la UE contiene más de 30 áreas de disposiciones flexibles o normas adicionales que permiten variaciones nacionales en la forma en que los Estados miembros interpretan el Reglamento. La promulgación de la Ley de Protección de Datos de 2018 permitió al Reino Unido dar mayor efecto al rgpd en las áreas flexibles existentes.
Sin embargo, una vez que Reino Unido se retiró de la UE, el rgpd dejó de tener eficacia en la región. Para evitar un vacío legal, el gobierno británico recurrió a la Ley de Retirada de la Unión Europea de 2018 para incorporar el texto rgpd de la UE a la legislación interna británica.
El Reino Unido también obtuvo una decisión de adecuación que confirma que los regímenes de protección de datos del país son equivalentes a los de la UE, lo que permite que los datos sigan fluyendo desde la UE.
Por último, se modificó la DPA 2018 para alinearla con la nueva rgpd del Reino Unido, permaneciendo en vigor.
En la actualidad, la rgpd del Reino Unido es casi idéntica a la rgpd la UE, y ambas esbozan los mismos derechos de los interesados, bases jurídicas y obligaciones y requisitos empresariales.
Ley de protección de datos del Reino Unido de 2018 Términos y definiciones clave
Según el artículo 3 de la DPA 2018, los términos utilizados en la Ley tienen el mismo significado que en el artículo 4 de la rgpd del Reino Unido, que puedes consultar a continuación:
Cuando estas frases se utilizan en esta guía, es con estas definiciones específicas en mente.
¿Qué cubre la Ley de Protección de Datos del Reino Unido?
La DPA 2018 cubre la información personal de las personas en el Reino Unido.
Se aplica a todas las empresas y organizaciones con sede en el Reino Unido y a cualquier responsable o encargado del tratamiento de datos que:
- Ofrece bienes o servicios a personas en el Reino Unido, y
- Están fuera del Reino Unido pero controlan a personas en el Reino Unido.
Requisitos de la Ley de Protección de Datos del Reino Unido
A continuación, he resumido los principales requisitos de la DPA 2018 y cómo afecta a las empresas.
Principios para el tratamiento de datos
Según la Ley de Protección de Datos del Reino Unido de 2018, los datos personales deben tratarse de forma justa, transparente y lícita.
Las entidades sólo pueden recopilar legalmente los datos necesarios que sean pertinentes y proporcionados a los fines revelados al consumidor en un aviso de privacidad conforme.
Cualquier información que no se considere "necesaria" o "razonable" no puede recopilarse a menos que se obtenga previamente un consentimiento explícito, expreso e informado.
Derechos del interesado
La DPA 2018 del Reino Unido solidifica los derechos de los sujetos de datos del Reino Unido según lo escrito en el rgpd del Reino Unido, que incluyen el derecho a:
- Acceder a sus datos
- Corregir sus datos
- Borrar sus datos
- Restringir el tratamiento de sus datos
- Oposición al tratamiento de datos
Categorías especiales de datos
La DPA 2018 hizo que los controladores de datos deban tener una base legal clara para procesar "categorías especiales" de datos, como la siguiente información personal sensible:
- Origen racial o étnico
- Opiniones políticas
- Creencias religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos
- Datos sanitarios
- Vida sexual u orientación sexual
Sin embargo, también introdujo la categoría de "datos de delitos penales", que hace legal el tratamiento de datos personales relativos a condenas y procesos penales para las entidades autorizadas.
Seguridad de los datos
Bajo la DPA 2018, las entidades deben asegurarse de que están procesando de forma segura los datos personales.
El tratamiento debe incluir las medidas organizativas y técnicas adecuadas para mantener la cantidad y el tipo de datos a salvo de accesos no autorizados u otros perjuicios.
Estos requisitos de seguridad también figuran en rgpd del Reino Unido.
Cumplimiento de la ley
La DPA 2018 del Reino Unido hace que una autoridad competente pueda procesar legalmente datos personales con fines policiales en la Parte 3 de la ley.
Más concretamente, establece los siguientes requisitos:
- Los datos procesados con fines policiales deben hacerse de manera legal y justa, adhiriéndose a los principios básicos de protección de datos descritos por la DPA 2018 y rgpd del Reino Unido,
- Los datos deben recogerse con fines policiales claramente definidos y legítimos,
- Sólo podrán tratarse los datos necesarios, adecuados y pertinentes para fines policiales,
- Todos los datos personales tratados con fines policiales sólo podrán conservarse el tiempo necesario para los fines previstos y no más,
- Sólo las autoridades competentes pueden tratar datos de este modo, es decir, las fuerzas policiales y otros organismos británicos autorizados.
Cómo afecta a los consumidores la Ley de Protección de Datos del Reino Unido
La Ley de Protección de Datos del Reino Unido afecta a los consumidores al consolidar sus derechos a la intimidad, como señala rgpd británica.
Los usuarios del Reino Unido pueden presentar solicitudes verificables de cumplimiento de estos derechos en cualquier momento, y las entidades deben responder en el plazo previsto o se arriesgan a multas por incumplimiento.
Las solicitudes de los interesados para que se respeten sus derechos de privacidad deben atenderse siempre que sea técnicamente posible, y la carga de la prueba recae en la empresa.
Cómo afecta a las empresas la Ley de Protección de Datos del Reino Unido
Más allá de los requisitos legales ya mencionados en esta guía, la Ley de Protección de Datos del Reino Unido también afecta a las políticas de privacidad y cookies de las empresas.
Dado que la Ley de Protección de Datos se integra con la rgpd del Reino Unido en la Parte 2 de la ley, exige a las empresas que presenten a los usuarios un aviso de privacidad conforme en el que se explique:
- Qué datos personales desea recopilar,
- Base jurídica para la recogida de los datos,
- Los derechos de los interesados sobre su información y cómo ejercerlos,
- Si comparte datos con terceros,
- Su política de conservación de datos,
- Información de contacto de su empresa.
Del mismo modo, las empresas deben actualizar sus políticas de cookies para identificar y explicar todas las cookies que utiliza el sitio web.
Debe presentarse a los usuarios tan pronto como aterricen en la página para mantenerlos adecuadamente informados siguiendo ambas leyes.
Quién debe cumplir con la DPA 2018
Todas las empresas, entidades y organizaciones británicas están obligadas a cumplir la Ley de Protección de Datos del Reino Unido.
También se aplica a las entidades situadas fuera del Reino Unido que cumplan los siguientes criterios:
- Ofrecer bienes o servicios a personas en el Reino Unido,
- Supervise los comportamientos en línea de los ciudadanos del Reino Unido.
Cómo pueden las empresas cumplir con la DPA 2018
Para cumplir con la DPA 2018, las empresas también deben cumplir con la rgpd del Reino Unido, lo que significa implementar todo lo siguiente en su sitio web o app:
- Publique en su sitio web un aviso de privacidad actualizado que cumpla todos los requisitos de transparencia,
- Publique una política de cookies actualizada en su sitio web identificando todas las cookies que utiliza y explicando su finalidad,
- Añada un banner de consentimiento de cookies a su sitio web con acceso a un centro de preferencias para que los usuarios del Reino Unido puedan ejercer sus derechos de exclusión voluntaria contemplados en ambas leyes,
- Utilizar contactos conformes entre procesadores de datos y terceros responsables del tratamiento de datos,
- Garantizar que las transferencias de datos cumplen la legislación y se ajustan a ambas leyes,
- Disponer de medios para recibir y responder a las solicitudes verificadas de los interesados para hacer un seguimiento de sus derechos de privacidad,
- Aplicar medidas de seguridad para proteger todos los datos personales de accesos no autorizados y otros daños.
Si es probable que su tratamiento de categorías especiales de datos conlleve un alto riesgo (por ejemplo, uso de datos biométricos a gran escala), debe realizar una DPIA para evaluar y mitigar los riesgos.
¿Cómo se aplica la Ley de Protección de Datos del Reino Unido?
La DPA 2018 es aplicada por la Oficina del Comisionado de Información (ICO).
La ICO es responsable de realizar investigaciones y tomar medidas contra una entidad que haya incumplido la DPA 2018 y la rgpd del Reino Unido.
También aportan ideas y orientaciones para la interpretación de la Ley, el Reglamento y el marco general de la privacidad en el Reino Unido.
Multas y sanciones en virtud de la Ley de Protección de Datos del Reino Unido
Las infracciones de la rgpd del Reino Unido pueden dar lugar a multas de hasta el 4% de la facturación global anual o 17,5 millones de libras esterlinas (lo que sea mayor). Sin embargo, la rgpd de 2018 establece sanciones independientes para infracciones específicas, como el tratamiento ilícito para fines policiales
Cómo ayuda Termly a cumplir la Ley de Protección de Datos del Reino Unido
Termly ayuda a las empresas a cumplir fácilmente con leyes como la UK Data Protection Act (y la UK rgpd) ofreciendo soluciones de políticas respaldadas legalmente, como nuestro Generador de Política de Privacidad y la plataforma gestión del consentimiento (CMP).
Nuestro Generador de Política de Privacidad se actualiza periódicamente e incluye los requisitos de notificación establecidos por más de 25 leyes de privacidad de todo el mundo.
Vea un ejemplo en la siguiente captura de pantalla.
También puede utilizar el CMP de Termlypara configurar un banner de consentimiento de cookies que cumpla con la normativa, con acceso a una política de cookies precisa y un centro de preferencias para que sus usuarios del Reino Unido puedan hacer un seguimiento sencillo de sus distintos derechos.
Incluye un formulario gratuito de Solicitud de Acceso del Sujeto a los Datos (DSAR), que hace que recibir y responder a estas solicitudes sea aún más eficaz y fluido para su empresa.
Resumen
El Reino Unido está protegido por la Ley de Protección de Datos de 2018 y rgpd del Reino Unido, dos sólidos marcos de privacidad que proporcionan varios derechos a los consumidores y esbozan varias obligaciones y directrices estrictas que las empresas deben seguir.
Para cumplir con la DPA 2018, planifique actualizar sus políticas de privacidad y cookies, agregue un formulario DSAR a su sitio web y utilice un CMP que cumpla adecuadamente con todos los requisitos de opt-in y opt-out descritos por esta ley y la rgpd del Reino Unido.
Para simplificar el cumplimiento, utilice soluciones como el Generador de Política de Privacidad y CMP de Termly, y manténgase en el lado correcto de las leyes de privacidad del Reino Unido (¡y más allá!).
Más sobre el autor
Escrito por Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha es Especialista en Seguridad de la Información y Protección de Datos y Responsable Certificada de Protección de Datos. Ha sido responsable de protección de datos durante los últimos seis años, ayudando a pequeñas y medianas empresas a cumplir la legislación. También ha sido mentora en materia de cumplimiento de la privacidad para muchas aceleradoras de empresas internacionales. Está especializada en implantar, supervisar y auditar el cumplimiento empresarial de la normativa sobre privacidad (HIPAA, LPRPDE, Directiva Sobre Privacidad Electrónica, RGPD, CCPA, POPIA, LGPD). Masha estudió Derecho en la Universidad de Belgrado y aprobó el examen de abogacía en 2016. Más sobre el autor
