Parte de nuestra serie Compliance & Regulation
Leer la guía completaProtección de datos en el Reino Unido después del Brexit: RGPD frente al RGPD del Reino Unido
El Brexit cambió fundamentalmente el panorama de protección de datos del Reino Unido. A partir del 1 de enero de 2021, el Reino Unido abandonó el marco legal de la UE y el RGPD de la UE dejó de aplicarse directamente. El Reino Unido mantuvo el RGPD de la UE en su legislación nacional como el "RGPD del Reino Unido" (según la Ley (de retirada) de la Unión Europea de 2018), complementado por la Ley de protección de datos de 2018 (DPA 2018). El resultado es un marco sustancialmente similar al GDPR de la UE, pero con diferencias importantes, y una frágil relación de adecuación entre el Reino Unido y la UE que las empresas deben monitorear de cerca.
Comprender las diferencias exactas entre el RGPD del Reino Unido y el RGPD de la UE, y gestionar el cumplimiento dual para las empresas que operan en ambas jurisdicciones, es esencial para las empresas con sede en el Reino Unido y las empresas internacionales con exposición al Reino Unido y la UE.
Conclusiones clave
- El RGPD del Reino Unido se deriva del RGPD de la UE, pero ahora es una ley nacional independiente: el RGPD de la UE ya no se aplica directamente en el Reino Unido.
- La UE otorgó decisiones de adecuación al Reino Unido en junio de 2021, lo que permite los flujos de datos entre la UE y el Reino Unido, pero están sujetas a una cláusula de extinción y a una revisión periódica.
- Flujos de datos Reino Unido → UE: el Reino Unido también otorgó a los países de la UE la adecuación según la ley del Reino Unido, permitiendo flujos UE → Reino Unido según el RGPD del Reino Unido.
- Diferencias clave: el RGPD del Reino Unido tiene diferentes SCC, diferentes mecanismos de transferencia, supervisión del ICO (no del EDPB) y posiciones cambiantes específicas del Reino Unido.
- La Ley de Protección de Datos e Información Digital (DPDI) de 2025 reformó el RGPD del Reino Unido: los cambios incluyen intereses legítimos relajados, nuevos intereses legítimos reconocidos y mantenimiento de registros simplificado.
- Las multas de la ICO alcanzan los £17,5 millones o el 4% de la facturación global: la misma estructura que el RGPD de la UE
- Las empresas sujetas tanto al RGPD del Reino Unido como al RGPD de la UE deben cumplir ambos marcos de forma independiente
El marco de protección de datos del Reino Unido después del Brexit
GDPR del Reino Unido y la Ley de Protección de Datos de 2018
El marco de protección de datos del Reino Unido comprende dos instrumentos principales:
RGPD del Reino Unido: El RGPD de la UE tal como se conserva en la legislación del Reino Unido, modificado por la DPA de 2018 y los instrumentos legales posteriores. Preserva las seis bases legales, los derechos de los interesados, el marco del controlador/procesador, los requisitos de DPIA y las obligaciones de DPO del RGPD de la UE con algunas modificaciones específicas del Reino Unido.
Ley de Protección de Datos de 2018: Complementa el RGPD del Reino Unido mediante:
- Implementar derogaciones específicas para el Reino Unido (por ejemplo, para aplicación de la ley, seguridad nacional, periodismo)
- Establecer las competencias y el papel de la ICO
- Proporcionar condiciones adicionales para el procesamiento de categorías especiales de datos.
- Establecer requisitos de DPO para las autoridades públicas.
- Crear el marco para los delitos penales y su ejecución.
Ley de Protección de Datos e Información Digital (DPDI) de 2025: Una reforma importante que modificó el RGPD del Reino Unido, introduciendo disposiciones más flexibles para el procesamiento comercial, disposiciones relajadas sobre intereses legítimos, "intereses legítimos reconocidos" (nueva categoría que evita la prueba de equilibrio), requisitos DPIA simplificados y un nuevo marco regulatorio para los servicios de identidad digital.
Diferencias clave: RGPD del Reino Unido frente al RGPD de la UE
| Área | RGPD UE | RGPD del Reino Unido (modificado por DPDI) |
|---|---|---|
| Autoridad supervisora | Coordinación de las APD nacionales + CEPD | ICO (única autoridad del Reino Unido, sin membresía en el CEPD) |
| Umbral obligatorio del DPO | Autoridades públicas + seguimiento sistemático a gran escala o categorías especiales | Mismo umbral, pero "individuo o equipo designado" es aceptable |
| Intereses legítimos | Se requiere una prueba de tres partes (propósito, necesidad, equilibrio) | Lo mismo, más una nueva categoría de "intereses legítimos reconocidos" que evita la prueba de equilibrio total |
| Intereses legítimos reconocidos | Ninguno | Nueva categoría para fines comerciales específicos que incluyen: marketing directo, transferencias intragrupo, seguridad de la red, seguimiento de los empleados para su salvaguardia |
| Requisito de EIPD | Tratamientos de alto riesgo (artículo 35) | Se mantiene, pero DPDI crea un concepto de "evaluación de alto riesgo" con orientación actualizada |
| Mantenimiento de registros | Todas las organizaciones con más de 250 empleados o procesamiento de alto riesgo | Requisitos simplificados bajo DPDI para organizaciones más pequeñas |
| Mecanismo de transferencia: SCC | SCC de la UE (junio de 2021, tres módulos) | Acuerdos internacionales de transferencia de datos (IDTA): SCC específicas del Reino Unido |
| Mecanismo de transferencia: TIA | Se requiere evaluación de impacto de transferencia | No se requiere explícitamente (pero el ICO recomienda una evaluación de riesgos) |
| Decisiones de adecuación | Proceso CEPD/Comisión | Valoración ICO + Designación Secretaria de Estado |
| Mecanismo de ventanilla única | Autoridad supervisora principal para las operaciones de la UE | Sin equivalente: el ICO tiene jurisdicción sobre entidades establecidas en el Reino Unido |
| Consentimiento de cookies | Directiva de privacidad electrónica (separada del RGPD) | PECR 2003 (separado del RGPD del Reino Unido); reforma bajo DPDI |
Estado de adecuación del Reino Unido y transferencias de datos entre UE y Reino Unido
Decisiones de adecuación de la UE para el Reino Unido (junio de 2021)
La Comisión Europea concedió al Reino Unido dos decisiones de adecuación el 28 de junio de 2021:
- Decisión de adecuación según el RGPD de la UE: permite el libre flujo de datos personales desde la UE/EEE al Reino Unido sin requerir mecanismos de transferencia adicionales
- Decisión de adecuación según la Directiva sobre aplicación de la ley: permite compartir datos sobre aplicación de la ley
La cláusula de extinción: Las decisiones de adecuación de la UE para el Reino Unido contienen una cláusula de extinción de cuatro años: expiran el 27 de junio de 2025, a menos que se renueven. La Comisión Europea llevó a cabo una revisión y ha indicado su intención de renovar, pero el proceso de renovación y las condiciones asociadas están sujetos a la evolución política y legal.
Riesgos para la relación de adecuación UE→Reino Unido:
- La divergencia entre la ley de protección de datos del Reino Unido y el RGPD (a través de la Ley DPDI y una futura reforma) podría desencadenar una revisión de la Comisión
- La legislación de vigilancia del gobierno del Reino Unido y las prácticas de recopilación masiva de datos han sido áreas de escrutinio de la UE.
- Cualquier decisión judicial del Reino Unido o cambio legislativo que reduzca significativamente los estándares de protección de datos podría llevar a la Comisión a suspender la adecuación.
Implicaciones prácticas: Las empresas que dependen de la idoneidad del Reino Unido para los flujos de datos UE→Reino Unido deben tener un plan de contingencia (IDTA o BCR del Reino Unido) en caso de que se retire o suspenda la idoneidad, incluso si la renovación parece probable.
Reino Unido → Flujos de datos de la UE
Según las disposiciones de transferencia internacional del RGPD del Reino Unido, el Secretario de Estado del Reino Unido ha otorgado regulaciones de adecuación para los países de la UE/EEE, lo que significa que los datos personales pueden fluir desde el Reino Unido a los países de la UE/EEE sin mecanismos de transferencia adicionales.
Acuerdos internacionales de transferencia de datos (IDTA)
Para transferencias desde el Reino Unido a países sin decisiones de adecuación del Reino Unido, el RGPD del Reino Unido exige salvaguardias adecuadas. La ICO publicó el Acuerdo Internacional de Transferencia de Datos (IDTA) y un Apéndice del IDTA a las SCC de la UE en marzo de 2022, reemplazando las cláusulas modelo más antiguas para las transferencias del Reino Unido.
Características clave de IDTA:
- Cláusulas contractuales estándar específicas del Reino Unido que cubren los cuatro escenarios del módulo SCC de la UE (C2C, C2P, P2P, P2C) en un solo documento
- Marco de "evaluación de riesgos" (en lugar de la TIA obligatoria del SCC de la UE)
- Definiciones específicas del Reino Unido y referencias a las autoridades supervisoras.
- Términos obligatorios que no deben modificarse; cláusulas opcionales disponibles
Apéndice de IDTA a las SCC de la UE: permite a las empresas utilizar las SCC de la UE como base para transferencias en el Reino Unido agregando un apéndice que las adapta a los fines del Reino Unido. Este es el enfoque preferido por muchas empresas multinacionales que ya han implementado SCC de la UE y desean cubrir transferencias al Reino Unido sin documentación separada.
Transición de las SCC de la UE: La ICO amplió el plazo para actualizar los contratos SCC de la UE heredados a las IDTA del Reino Unido: las empresas que celebraron contratos SCC de la UE antes del 21 de septiembre de 2022 tenían hasta el 21 de marzo de 2024 para reemplazarlos con IDTA del Reino Unido (ampliado por las directrices de la ICO).
Seleccionar el mecanismo de transferencia apropiado:
| Escenario | Mecanismo de transferencia del Reino Unido |
|---|---|
| Reino Unido→UE/EEE | Regulaciones de adecuación: no se necesita ningún mecanismo adicional |
| Reino Unido → EE. UU. | IDTA del Reino Unido o Anexo IDTA a los SCC de la UE (Acuerdo de acceso a datos entre EE. UU. y el Reino Unido para el cumplimiento de la ley) |
| Reino Unido→otros países adecuados | No se necesita ningún mecanismo adicional |
| Reino Unido→países no adecuados | IDTA del Reino Unido o Anexo IDTA |
| Intragrupo | IDTA del Reino Unido, apéndice de IDTA o BCR |
Poderes y enfoque de aplicación de la ley de la ICO
La Oficina del Comisionado de Información (ICO) es la autoridad supervisora de protección de datos independiente del Reino Unido. Después del Brexit, la ICO ya no forma parte del CEPD y actúa de forma independiente en todos los aspectos.
Poderes de ejecución de la ICO:
- Emitir avisos informativos exigiendo a las organizaciones que proporcionen información.
- Emitir avisos de evaluación (auditorías)
- Emitir avisos de cumplimiento (que requieren acciones de cumplimiento)
- Emitir avisos de sanción:
- Nivel inferior: hasta £8,7 millones o el 2% de la facturación anual global (lo que sea mayor), para infracciones menos graves
- Nivel superior: hasta £17,5 millones o el 4% de la facturación anual global (lo que sea mayor), para las infracciones más graves
- Enjuiciamiento penal por delitos deliberados contra datos (según DPA 2018 Parte 3 y delitos)
Enfoque de cumplimiento de la ICO: Históricamente, la ICO ha adoptado un enfoque proporcionado y basado en el riesgo: interactuando con las organizaciones a través de amonestaciones y orientación informal antes de llegar a multas. Sin embargo, la ICO ha impuesto multas importantes: £20 millones a British Airways (posteriormente reducida a £20 millones en apelación), £18,4 millones a Marriott International y múltiples multas de siete cifras a las autoridades públicas.
Ley posterior a la DPDI: La Ley DPDI de 2025 modificó el marco de la ICO, introduciendo un "objetivo principal" para promover una economía digital próspera junto con la protección de datos y creando un código de prácticas estatutario para una IA responsable. Esto indica un enfoque regulatorio algo más pro-innovación que antes de la DPDI.
Cumplimiento dual: RGPD del Reino Unido y RGPD de la UE
Para las empresas sujetas tanto al RGPD del Reino Unido como al RGPD de la UE (la situación más común para las empresas con sede en el Reino Unido y operaciones en la UE), gestionar el cumplimiento dual requiere un diseño cuidadoso del programa.
Estructuración para doble cumplimiento:
-
Entidades legales separadas: si sus operaciones en el Reino Unido y la UE son entidades legales separadas, cada una tiene su propia autoridad de supervisión (ICO para el Reino Unido, DPA nacional relevante para la UE) y debe mantener programas de cumplimiento separados.
-
Base de política común: el RGPD del Reino Unido y el RGPD de la UE comparten aproximadamente el 95 % de sus requisitos sustantivos. Se puede crear un único programa de privacidad integral que cubra todos los requisitos de ambos, con capas específicas del Reino Unido y de la UE en la parte superior.
-
Mecanismos de transferencia: las transferencias entre el Reino Unido y la UE utilizan las regulaciones de adecuación del Reino Unido (actualmente no se necesita ningún mecanismo). Las transferencias UE-Reino Unido utilizan la decisión de adecuación de la UE para el Reino Unido (actualmente no se necesita ningún mecanismo). Las transferencias internas entre el Reino Unido y otros países necesitan IDTA del Reino Unido. Las transferencias internas entre la UE y otros países necesitan SCC de la UE
-
Autoridad supervisora principal: según el RGPD de la UE, las operaciones de la UE pueden designar una autoridad supervisora principal para el procesamiento transfronterizo de la UE a través del mecanismo de ventanilla única. Esto no se aplica en el Reino Unido: el ICO supervisa todas las entidades establecidas en el Reino Unido.
-
Avisos de privacidad: mantenga avisos de privacidad separados o distinga claramente las bases legales del Reino Unido y de la UE, la información de contacto (DPO, representante del Reino Unido, representante de la UE) y referencias de la autoridad supervisora.
-
Nombramiento de DPO: si es necesario en ambos marcos, un solo DPO puede prestar servicios en ambas jurisdicciones. Los datos de contacto del DPO en los avisos de privacidad del Reino Unido deben hacer referencia a las obligaciones del Reino Unido; Los avisos de la UE deben hacer referencia a las obligaciones de la UE
Consideraciones de protección de datos específicas del Reino Unido
PECR (Reglamento de privacidad y comunicaciones electrónicas de 2003)
UK PECR regula las cookies, el marketing electrónico y los datos de tráfico/ubicación. Es independiente del RGPD del Reino Unido y no fue actualizado por la Ley DPDI, aunque la reforma está en curso. Requisitos clave de PECR:
- Consentimiento de cookies: consentimiento claramente informado requerido para cookies no esenciales
- Marketing por correo electrónico/SMS: se requiere consentimiento de suscripción para individuos; Opción de exclusión (opt-in suave) disponible cuando existe una relación con el cliente y productos iguales o similares.
- Llamadas en frío: prohibidas a números del Servicio de Preferencia Telefónica (TPS); empresas pueden registrarse al TPS Corporativo
Datos biométricos (categoría especial según el RGPD del Reino Unido)
Los datos biométricos procesados para identificar de forma única a personas son una categoría especial según el RGPD del Reino Unido. El Anexo 1 de la DPA 2018 proporciona condiciones específicas para el procesamiento de categorías especiales, incluido el consentimiento explícito y las condiciones de la legislación laboral.
Representante en el Reino Unido para controladores establecidos fuera del Reino Unido
Según el artículo 27 del RGPD del Reino Unido, los controladores y procesadores no establecidos en el Reino Unido pero sujetos al RGPD del Reino Unido (porque ofrecen bienes/servicios a personas del Reino Unido o monitorean el comportamiento de las personas del Reino Unido) deben designar a un representante en el Reino Unido. Esta es una función independiente del DPD y puede ser una persona física o jurídica.
Lista de verificación de cumplimiento de la protección de datos del Reino Unido
- [] Determine si el RGPD del Reino Unido, el RGPD de la UE o ambos se aplican a su organización.
- Representante en el Reino Unido designado si está establecido fuera del Reino Unido y está sujeto al RGPD del Reino Unido.
- [] Aviso de privacidad actualizado para hacer referencia al RGPD del Reino Unido, a las ICO y a los derechos específicos del Reino Unido.
- IDTA del Reino Unido o Anexo IDTA implementado para transferencias desde el Reino Unido a países no adecuados
- Mecanismo de transferencia UE→Reino Unido revisado (actualmente basándose en la adecuación de la UE para el Reino Unido; monitorear los cambios)
- DPO designado cuando así lo requiera el RGPD del Reino Unido; información de contacto publicada
- Se mantiene un registro de las actividades de procesamiento (artículo 30 del RGPD del Reino Unido)
- EIPD realizadas para actividades de procesamiento de alto riesgo
- Evaluaciones de intereses legítimos documentadas cuando los intereses legítimos son la base legal
- Cumplimiento de PECR revisado: consentimiento de cookies, mecanismos de suscripción de marketing electrónico
- Formación del personal completada sobre las obligaciones del RGPD del Reino Unido.
- Procedimiento de notificación de incumplimientos: notificación 72 horas al ICO, notificación individual para incumplimientos de alto riesgo
- Procedimientos de derechos de los interesados implementados (cronograma del RGPD del Reino Unido: un mes)
- Contratos SCC heredados de la UE revisados y actualizados a los IDTA del Reino Unido cuando sea necesario
Preguntas frecuentes
¿Sigue siendo aplicable el RGPD de la UE en el Reino Unido después del Brexit?
No. El RGPD de la UE dejó de aplicarse directamente en el Reino Unido el 1 de enero de 2021. Sin embargo, el Reino Unido mantuvo el RGPD de la UE como ley nacional en forma de "RGPD del Reino Unido", que es sustancialmente similar pero ahora es un estatuto independiente del Reino Unido. Si procesa datos personales de personas de la UE/EEE o tiene un establecimiento con sede en la UE, el RGPD de la UE continúa aplicándose a esos aspectos de su negocio independientemente del Brexit.
¿Necesito DPO separados para operaciones en el Reino Unido y la UE?
Un único DPO puede cumplir con las obligaciones tanto del Reino Unido como de la UE, siempre que tenga suficiente conocimiento de ambos marcos y sea accesible para los interesados y las autoridades supervisoras en ambas jurisdicciones. Los datos de contacto del DPO deben publicarse en avisos de privacidad para ambas jurisdicciones, y el DPO debe conocer las directrices de la ICO específicas del Reino Unido junto con las directrices del CEPD para las obligaciones de la UE.
¿Qué sucede si la UE retira la adecuación del Reino Unido?
Los flujos de datos entre la UE y el Reino Unido requerirían un mecanismo de transferencia alternativo, normalmente los SCC de la UE. Las empresas tendrían que firmar cláusulas contractuales estándar de la UE para las transferencias entre la UE y el Reino Unido y realizar evaluaciones de impacto de las transferencias. Esto sería importante desde el punto de vista operativo, pero manejable para las empresas que han planificado contingencias. La perturbación práctica sería mayor para las empresas que dependen de flujos de datos informales (datos de empleados, infraestructura de nube compartida entre entidades de la UE y el Reino Unido) sin documentación de transferencia formal.
¿Qué son los "intereses legítimos reconocidos" según la Ley DPDI?
La Ley DPDI de 2025 introdujo "intereses legítimos reconocidos", una nueva categoría de fines de procesamiento que no requiere la prueba completa de equilibrio de intereses legítimos en tres partes según el RGPD del Reino Unido. Los intereses legítimos reconocidos incluyen: marketing directo por parte de la organización que recopiló los datos; transferencias intragrupo con fines administrativos; fines de seguridad de la red y la información; Monitoreo y gestión de empleados para el cumplimiento legal y de seguridad. Las empresas pueden confiar en ellos sin documentar una prueba de equilibrio formal, lo que simplifica el cumplimiento para estos casos de uso específicos.
¿Cómo se aplica la protección de datos del Reino Unido a los ciudadanos del Reino Unido que viven en el extranjero?
El RGPD del Reino Unido protege a las personas en el Reino Unido; no está vinculado a la ciudadanía o nacionalidad del Reino Unido. Un ciudadano de la UE que vive en el Reino Unido está protegido por el RGPD del Reino Unido. Un ciudadano del Reino Unido que vive en Francia está protegido por el RGPD de la UE aplicado en Francia. Las leyes son territoriales en su aplicación principal, no basadas en la ciudadanía. Los datos de los ciudadanos del Reino Unido no están inherentemente sujetos al RGPD del Reino Unido cuando se encuentran fuera del Reino Unido, a menos que el controlador/procesador esté establecido en el Reino Unido o esté dirigido a personas del Reino Unido.
¿Las cookies en el Reino Unido se rigen por el RGPD o el PECR del Reino Unido?
Las cookies se rigen principalmente por el Reglamento de Privacidad y Comunicaciones Electrónicas de 2003 (PECR) del Reino Unido, no directamente por el RGPD del Reino Unido. PECR requiere información clara sobre las cookies y consentimiento para las cookies no esenciales. El RGPD del Reino Unido se aplica a los datos personales recopilados a través de cookies (donde las cookies procesan datos personales). Ambos marcos deben cumplirse simultáneamente: PECR gobierna la ubicación de las cookies; El RGPD del Reino Unido rige el procesamiento posterior de los datos personales recopilados.
Próximos pasos
El panorama de protección de datos posterior al Brexit en el Reino Unido es más complejo de lo que muchas empresas anticipaban, en particular para aquellas que operan en jurisdicciones del Reino Unido y la UE simultáneamente. Mantener el ritmo de las orientaciones de la OIC, las reformas de la Ley DPDI y la relación de adecuación de la UE requiere atención constante.
ECOSIRE ayuda a las empresas a diseñar y mantener programas de cumplimiento duales entre el Reino Unido y la UE, implementar mecanismos apropiados de transferencia de datos internacionales e incorporar la privacidad desde el diseño en sus plataformas tecnológicas.
Más información: Servicios ECOSIRE
Descargo de responsabilidad: esta guía tiene fines informativos únicamente y no constituye asesoramiento legal. La ley de protección de datos del Reino Unido está evolucionando a través de la legislación y las directrices de la ICO. Consulte a un asesor legal calificado del Reino Unido para obtener asesoramiento específico para su organización.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Más de Compliance & Regulation
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.