Loading…
Si alguna vez se ha preguntado si puede copiar y pegar su programa de GDPR de la UE en el Reino Unido, la respuesta breve es: en su mayor parte, con tres excepciones sustantivas. Desde el 1 de enero de 2021, el Reino Unido ha operado el UK GDPR junto con la Data Protection Act 2018, con la Information Commissioner's Office (ICO) como única autoridad. La Data (Use and Access) Act 2025 alejó aún más al Reino Unido del marco de la UE, y una decisión de adecuación de la UE mantiene abierto el flujo de datos UE↔Reino Unido al menos hasta 2025.
| Dimensión | 🇬🇧 UK GDPR | 🇪🇺 GDPR de la UE |
|---|---|---|
| Instrumento jurídico | UK GDPR (el GDPR de la UE retenido, con sus enmiendas) + Data Protection Act 2018 + Data (Use and Access) Act 2025 | Reglamento (UE) 2016/679 |
| Fecha de entrada en vigor en su forma actual | 1 de enero de 2021 (posterior al Brexit) | 25 de mayo de 2018 |
| Regulador | Information Commissioner's Office (ICO): una sola autoridad | 27 autoridades de protección de datos de los Estados miembros de la UE + EDPB |
| Multa máxima | £17.5M o el 4% de la facturación global (lo que sea mayor) | €20M o el 4% de la facturación global |
| Multa de nivel inferior | £8.7M o el 2% de la facturación global | €10M o el 2% de la facturación global |
| Representante del artículo 27 | Se requiere un Representante del Reino Unido independiente para responsables/encargados del tratamiento no establecidos en el Reino Unido | Se requiere un Representante de la UE para responsables/encargados del tratamiento no establecidos en la UE |
| Transferencias internacionales: instrumentos | IDTA del Reino Unido, Adenda del Reino Unido a las SCC de la UE, BCR, adecuación | SCC de la UE, BCR, adecuación |
| Adecuación del Reino Unido respecto de la UE | Sí: la UE se considera adecuada | La adecuación de la UE respecto del Reino Unido es válida al menos hasta el 27 de junio de 2025 (con disposiciones de prórroga) |
| Edad de consentimiento de los menores | 13 (Reino Unido): diferente de la edad predeterminada de 16 de la UE | 16 (los Estados miembros pueden reducirla a 13) |
| Código de Diseño Apropiado para la Edad | Sí: código estatutario de la ICO (15 estándares) | Sin equivalente directo a nivel de la UE |
| PECR / ePrivacy | PECR: el régimen de ePrivacy del Reino Unido regula las cookies, el marketing y los datos de tráfico | Directiva ePrivacy (transposiciones de los Estados miembros); Reglamento ePrivacy pendiente |
| Reformas de la DPDI / DUA Act | Data (Use and Access) Act 2025: reformas específicas: toma de decisiones automatizada, investigación, tratamiento por entidades benéficas, esquemas de datos inteligentes, identidad digital | No aplicable directamente; la UE impulsa actos sectoriales (AI Act, Data Act, DSA, DMA) |
| Derecho a la portabilidad de los datos | Artículo 20: igual que en la UE | Artículo 20 |
| Derecho a oponerse a las decisiones automatizadas | Artículo 22: los cambios propuestos por la DPDI nunca se promulgaron tal como se redactaron originalmente | Artículo 22: estricto |
| Requisitos de DPO | Artículo 37: sin umbral independiente; responsabilidad de la alta dirección bajo la DUAA | Artículo 37: obligatorio en casos definidos |
| Autoridad de Control Principal | ICO (única) | Mecanismo de ventanilla única del EDPB en las 27 autoridades de control |
| Notificación de brechas | 72 horas a la ICO (igual que en la UE) | 72 horas a la autoridad de control principal |
| Respuesta a la Solicitud de Acceso del Titular | 1 mes + prórroga de 2 meses (igual que en la UE) | 1 mes + prórroga de 2 meses |
| Datos de categoría especial (art. 9) | El Anexo 1 de la DPA 2018 añade condiciones para el tratamiento en el ámbito laboral, la salud pública y la investigación | Artículo 9 + legislación de los Estados miembros |
| Marco del sector público | DPA 2018 Parte 3 (aplicación de la ley) + Parte 4 (servicios de inteligencia) | Directiva de Aplicación de la Ley 2016/680 (independiente del GDPR) |
Sí. Desde el Brexit, la UE y el Reino Unido son jurisdicciones independientes a efectos del artículo 27. Un responsable del tratamiento no establecido en la UE/Reino Unido que ofrezca servicios a personas en ambas regiones necesita tanto un Representante de la UE como un Representante del Reino Unido; pueden coordinarse a través de un único proveedor, pero deben ser entidades jurídicamente independientes.
Se ha debatido políticamente desde las propuestas de la DPDI. La decisión de adecuación actual (junio de 2021) es válida al menos hasta el 27 de junio de 2025, con disposiciones de prórroga. La Comisión supervisa las reformas del Reino Unido; una divergencia importante (cambios a gran escala en los derechos de los titulares de los datos o en el régimen de transferencias a terceros países) podría desencadenar una revisión.
Sí, en la mayoría de los casos. Identifique al responsable del tratamiento de cada uno, nombre a ambos Representantes y haga referencia a ambas autoridades para las reclamaciones. Las diferencias en la edad de consentimiento y el Código de Diseño Apropiado para la Edad pueden requerir secciones específicas para el Reino Unido en servicios a los que probablemente accedan menores.
Reformas específicas en lugar de una reescritura total: se flexibilizaron las disposiciones sobre toma de decisiones automatizada para los casos protegidos, se aclaró el tratamiento con fines de investigación y se introdujeron esquemas de datos inteligentes e identidad digital. La mayor parte del cumplimiento diario permanece sin cambios.
Sí: debe estar establecido en el Reino Unido. Una persona física residente en el Reino Unido o una entidad jurídica del Reino Unido cumple los requisitos. La ICO ha rechazado los servicios que solo proporcionan un buzón de correo.
Mapea los controles una vez y cumple dos veces. RegulatoryBridge te ofrece un único flujo de DSAR, un único DPO y un único manual de respuesta ante brechas, abarcando ambos marcos.