Todos los artículos del blog

RGPD en el Reino Unido | Actualización de 2021 de la decisión de adecuación del Reino Unido

Después del Brexit, el Reglamento General de Protección de Datos del Reino Unido (UK-RGPD) y el Acta de Protección de Datos de 2018 afectan a cómo tú, como propietario de una web, debes obtener y almacenar los consentimientos de cookies de los visitantes del Reino Unido y la UE.

Actualizado el 18 de enero, 2022

El Reino Unido abandonó la UE el 31 de diciembre de 2021.

¿Qué pasará ahora con el RGPD de la UE y las leyes nacionales de privacidad de datos del Reino Unido?

En este artículo, conoceremos más a fondo el RGPD en el Reino Unido y cómo cumplir la ley con Cookiebot CMP (del inglés Consent Management Platform).

Actualización de 2021 de la adecuación del RGPD en el Reino Unido

Desde que el Reino Unido ha abandonado la UE, la cuestión de las transferencias de datos personales ha estado muy presente en muchos sitios web, empresas y organizaciones de privacidad en ambos bloques.

En el acuerdo firmado por el Reino Unido y la UE a finales de diciembre de 2020, una disposición permitía la continuación del flujo de datos sin restricciones entre los dos bloques durante un periodo provisional de seis meses (hasta junio de 2021).

El 28 de junio de 2021, la Comisión Europea adoptó una decisión de adecuación para el Reino Unido, garantizando la continuidad del libre flujo de datos personales entre los dos bloques durante los próximos cuatro años.

Según el RGPD de la UE, esta puede adoptar decisiones de adecuación si considera que un tercer país (es decir, un país fuera de la Unión Europea) tiene un nivel de protección de datos equivalente. Si es así, los datos personales de los residentes de la UE pueden transferirse a este país libremente (como siempre, todavía requiriendo el consentimiento de los usuarios finales, por supuesto).

Desde que el Reino Unido abandonó la UE con el Brexit, el Reino Unido no está cubierto por el RGPD, y las conversaciones de adecuación han sido un punto importante para asegurar el flujo continuado para los sitios web, las empresas y las organizaciones de ambos bloques.

La decisión de adecuación del Reino Unido de junio de 2021 incluye una “cláusula de extinción” que limita estrictamente la libre circulación de datos a un periodo de cuatro años desde la fecha de entrada en vigor, tras el cual el estatus de adecuación del Reino Unido no se renovará automáticamente. Si la UE decide renovar los acuerdos, se iniciará un nuevo proceso de adopción.

El Reino Unido ya cuenta con una nueva ley de nacional de privacidad de datos llamada UK-RGPD, que es exactamente igual a la versión de la UE y que está respaldada por el Acta de Protección de Datos de Reino Unido de 2018.

El cumplimiento del UK-RGPD y del RGPD de la UE sigue siendo una obligación para cualquier sitio web, empresa u organización que procese datos personales dentro del Reino unido o de la UE: el consentimiento explícito de los usuarios debe obtenerse antes de permitir que cualquier tratamiento o transferencia tenga lugar.

Échale un vistazo a la decisión de adecuación del Reino Unido de junio de 2021

Échale un vistazo a la consulta de la ICO sobre las transferencias de datos hacia y desde Reino Unido a partir de agosto de 2021

Escanea tu sitio web para ver a qué parte del mundo envías datos

Prueba la plataforma de gestión del consentimiento (CMP, del inglés Consent Management Platform) Cookiebot hoy mismo de forma gratuita

Más información sobre el RGPD y el consentimiento de los usuarios finales

Cumplimiento del RGPD tras el Brexit en 2021

Cookiebot CMP para el cumplimiento en el Reino Unido

Cumplir con el RGPD de la UE, el nuevo RGPD del Reino Unido y las legislaciones de protección de datos complementarias, como el Acta de Protección de Datos de 2018, puede parecer un poco confuso, al igual que el resto de las complicaciones que ya de por sí conlleva el Brexit.

Cookiebot CMP by Usercentrics es la solución líder a nivel mundial para el cumplimiento del RGPD para sitios web de todas las formas y tamaños.

Construida alrededor de un potente escáner que detecta todas las cookies, rastreadores y troyanos, Cookiebot CMP otorga a tus usuarios el control automático sobre sus datos personales, en pleno cumplimiento con los requisitos de los regímenes de privacidad de datos de la UE y del Reino Unido.

Las cookies son una de las formas más comunes por las que los sitios web procesan datos personales, por lo que es extremadamente importante en términos de cumplimiento de la normativa de datos tanto saber qué cookies están activas en tu sitio web como permitir a tus usuarios finales tener una opción de consentimiento previo de las cookies que quieren que estén activas, cuando visitan tu dominio.

Al simular las interacciones de los visitantes en tu sitio web (desplazándose, haciendo clic y explotando todos los usos posibles de tu dominio), Cookiebot CMP detecta los rastreadores presentes, tanto propios (los de tu sitio web), como de terceros (normalmente cookies de marketing de empresas ad tech que invaden la privacidad).

Con su banner de consentimiento altamente personalizable y su función de focalización geográfica, la CMP Cookiebot se encarga de la parte difícil de cumplir con las principales leyes de privacidad de datos del mundo.

Cookiebot CMP ofrece un cumplimiento plug-and-play del RGPD de la UE, el RGPD de Reino Unido, la CCPA/CPRA de California, la LGPD de Brasil, la POPIA de Sudáfrica, la PDPA de Singapur y más.

Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes un sitio web pequeño.

Escanea tu sitio web de forma gratuita para ver qué cookies y rastreadores se encuentran en uso

Más información sobre el RGPD y el consentimiento

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una ley de la UE que entró en vigor en mayo de 2018 y es vinculante para todos los 27 estados miembros de la UE. Controla cómo se permite a las empresas y las organizaciones gestionar los datos personales.

Los datos personales se definen en el RGPD como todo aquello que directa o indirectamente puede identificar a una persona natural, como nombres, direcciones físicas, direcciones IP, datos de ubicación e información sobre hechos físicos, mentales, económicos, culturales o sociales.

Los datos personales sensibles, sin embargo, se definen por el RGPD como datos sobre convicciones religiosas, opiniones políticas y/u orientación sexual.

GDPR in the UK is enforced by ICO, GDPR's watchdog on the Isles
El RGPD protege los datos personales de los individuos de dentro de la UE.

El RGPD clarifica un total de ocho derechos de los individuos, incluyendo el derecho de acceso a los datos propios (la denominada Solicitud de Acceso por Parte del Sujeto), además de la petición de eliminación de sus datos personales.

El derecho más importante que el RGPD ha otorgado a los ciudadanos europeos es aquel que estipula que sus datos (tanto personales como sensibles) no pueden ser recogidos ni procesados sin su consentimiento previo.

El RGPD requiere que los propietarios de las webs:

  1. Obtengan un consentimiento claro e inequívoco por parte de sus usuarios, 
  2. Previo a cualquier procesamiento de datos personales,
  3. Después de haber especificado todos los tipos de cookies y otras tecnologías de seguimiento presentes y en funcionamiento en sus páginas,
  4. De una manera accesible y fácil de entender, tienen que permitir a los usuarios tanto consentir como retirar dicho consentimiento de cada categoría específica de cookies,
  5. Entonces pueden de manera segura y confidencial documentar el consentimiento de cada usuario,
  6. Y pedir que se renueve el consentimiento regularmente, por ejemplo, cada seis meses.

Esta es la columna vertebral del cumplimiento del RGPD.

¿Tienes dudas sobre si tu sitio web cumple con el RGPD? Compruébalo con el test de cumplimiento gratuito de Cookiebot CMP.

Prueba Cookiebot CMP gratis durante 14 días… O para siempre si tienes un sitio web pequeño.

RGPD en el Reino Unido después de 2021

El Reino Unido ha sido regulado por el RGPD europeo desde su entrada en vigor en mayo de 2018.

Tras abandonar la UE el 1 de enero de 2021, el Reino Unido oficialmente ya no forma parte del RGPD de la UE, es decir, el RGPD europeo ya no tiene ninguna jurisdicción nacional en el Reino Unido como lo había hecho desde mayo de 2018.

El Reino Unido ha aprobado su propia versión, llamada UK-RGPD, que, junto con el Acta de Protección de Datos de 2018, se encuentra en vigor en la actualidad.

El nuevo UK-RGPD británico es esencialmente igual que su predecesor europeo, sólo revisado para que sea capaz de cubrir áreas de legislación nacional que no se abordan en el texto europeo. Esto incluye, entre otros, aspectos de seguridad nacional, servicios de inteligencia e inmigración.

Más información sobre el UK-RGPD

Más información sobre el Acta de Protección de Datos de 2018

Prueba Cookiebot CMP gratis para cumplir el RGPD

Consulta la exhaustiva lista de requisitos de la IAPP sobre la privacidad en relación con el Brexit

El RGPD y las otras leyes de datos del Reino Unido

La Oficina del Comisionado para la Información (Information Commissioners’ Office) tiene varias leyes de datos que aplicar en el Reino Unido.

Después del Brexit, el 1 de enero de 2021, las siguientes legislaciones han entrado en vigor en el Reino Unido:

El PECR es la implementación nacional en el Reino Unido de la Directiva europea de ePrivacy. Aborda la protección de datos personales en relación con las comunicaciones electrónicas, específicamente cookies y comunicaciones de marketing online.

Visita la ICO para leer más sobre el PECR.

Ya que es una implementación nacional, es decir, una ley interna del Reino Unido, el PERC todavía se aplica después del Brexit.

ICO and GDPR: enforcement of PECR, DTA and GDPR in the UK
La ICO se encarga de hacer cumplir el PERC, la DPA2018 y el nuevo UK-RGPD.

La ICO y las cookies – directrices actualizadas del PECR

La ICO actualizó sus directrices en relación con el uso de cookies y, por tanto, el procesamiento de los datos del usuario, de acuerdo con el PECR. Esto se ha producido para que estuviera en consonancia con los estándares de consentimiento del RGPD.

Según el dictamen de la ICO, la única manera válida de consentimiento en las webs es el otorgamiento de los mismos, previamente al seguimiento inicial, y obtenidos a través de mensajes de cookies sin casillas pre-seleccionadas.

Más información sobre las directrices actualizadas en el propio sitio web de la ICO.

A los propietarios de webs y operadores no se les está permitido recoger o procesar información personal si los usuarios simplemente cierran un mensaje de cookies o eligen seguir navegando en un sitio después de que haya aparecido un mensaje de cookies.

Al contrario, los usuarios deben de consentir de manera afirmativa a todas las categorías de cookies, excepto las estrictamente necesarias para el funcionamiento de la web.

Logo banner powered by Cookiebot by Usercentrics
Mensaje de consentimiento de cookies de Cookiebot CMP que cumple con el RGPD del Reino Unido.

¿Quién aplica el RGPD en el Reino Unido?

Mientras el Reino Unido todavía formaba parte de la Unión Europea, era responsabilidad de la Oficina del Comisionado para la Información (Information Commissioner’s Office, ICO) hacer cumplir el RGPD de la UE en suelo británico.

Sin embargo, dado que el Reino Unido ya no es un estado miembro de la UE, las principales responsabilidades de la ICO serán ahora hacer cumplir su propia versión nacional, el UK-RGPD, y el Acta de Protección de Datos de 2018.

El RGPD de la UE es aplicado por las autoridades nacionales de protección de datos (llamadas APD) en cada nación de la UE, aunque la responsabilidad y el poder especiales recaen sobre la APD irlandesa por ser el regulador principal del RGPD de la UE.

Esto se debe a que una cláusula dentro del RGPD especifica que el regulador líder de la ley debe ser la APD del país que albergue un controlador de datos de una compañía tecnológica, que en el caso de Irlanda vienen a ser ambas Facebook y Google.

ICO enforces the GDPR in the UK
La ICO es la autoridad de datos y el ejecutor del RGPD en el Reino Unido.

ICO y el RGPD

La ICO es el brazo ejecutor del RGPD en el Reino Unido con poder de conducir investigaciones criminales y emitir multas. Tenemos un ejemplo claro cuando el año pasado la ICO registró las oficinas de Cambridge Analytica, la desprestigiada compañía de datos que abusó de la información personal de unos 87 millones de personas, a través de sus perfiles de Facebook, influenciar tanto las elecciones en USA como en Reino Unido.

Después del Brexit, la ICO se convertirá en la encargada de la aplicación, supervisión y regulación de la ley interna del RGPD del Reino Unido.

Las multas del RGPD en el Reino Unido

De acuerdo con el RGPD, las webs y empresas del Reino Unido que no cumplan con sus requisitos pueden recibir multas de hasta 20 M. € o el 4% del total de los ingresos anuales de la empresa, la cantidad que resulte más elevada.

Hasta el momento, las multas en el Reino Unido varían mucho, tanto en su forma como en severidad.

La ICO ha aplicado ya el RGPD en el Reino Unido en numerosas ocasiones.

Muchas de las sanciones monetarias emitidas por la ICO un año después de la entrada en vigor del RGPD en el Reino Unido giran en torno a acciones de marketing directo no solicitado, que es, de acuerdo con el RGPD, ilegal. Se requiere el consentimiento previo de sus clientes o usuarios antes de que una empresa o web pueda llevar a cabo marketing directo.

La ICO ha afirmado que prefiere trabajar con las empresas para mejorar sus prácticas, en lugar de buscar las penas máximas.

La aplicación del RGPD ha tomado, hasta el momento, forma de penas pecuniarias, pero también juega el papel para guía de compañías y organizaciones con el objetivo de mejorar sus prácticas ya que, a veces, como ha dicho la ICO, “una advertencia puede ser suficiente”.

Cómo cumplir con el RGPD en el Reino Unido

Si procesas datos personales de individuos dentro del Reino Unido, debes cumplir con el RGPD, el Acta de protección de datos de 2018 y el PECR.

Después del Brexit, tienes que atenerte a los requisitos legales del RGPD del Reino Unido, el Acta de Protección de Datos de 2018 y el PECR.

El Reino Unido tiene un acuerdo de adecuación con la UE, que asegura el libre flujo de datos personales entre ambos bloques por un periodo de cuatro años (hasta junio de 2025).

Cookiebot CMP te permite un cumplimiento total de todas las leyes de privacidad de datos nacionales del Reino Unido y de el RGPD de la UE.

Prueba Cookiebot CMP gratuitamente durante 14 días, o para siempre si tienes un sitio web pequeño.

Escanea tu sitio web para comprobar qué cookies y rastreadores se encuentran en uso

Resumen

Para recapitular:

El RGPD y el Reino Unido

En junio de 2021, la UE adoptó una decisión de adecuación para el Reino Unido, que garantiza el libre flujo de datos durante un estricto periodo de cuatro años (hasta junio de 2025).

Tras este periodo, la UE debe reanudar las conversaciones de adecuación para determinar si el Reino Unido sigue ofreciendo un nivel de protección de datos equivalente para los residentes de la UE y su privacidad.

Después del Brexit, el nuevo RGPD del Reino Unido entrará en vigor y conllevará la misma protección de datos y requisitos que antes exigía la legislación europea.

La ICO y el RGPD

La ICO es la principal encargada de hacer cumplir el UK-RGPD, el Acta de Protección de Datos de 2018 y el PECR.

Más información sobre la ICO

El Acta de protección de datos de 2018 y el PECR

Una versión modificada del Acta de Protección de Datos de 2018 entró en vigor el 31 de enero de 2020.

El PECR es una ley interna del Reino Unido que regula la comunicación electrónica y se sigue aplicando después del Brexit.

Preguntas frecuentes

¿Se aplica el RGPD en el Reino Unido tras el Brexit?

El Reglamento General de Protección de Datos de la UE se aplica a cualquier tratamiento de datos personales de los individuos de dentro de la Unión Europea, pero tras el Brexit, no se seguirá aplicando al tratamiento de datos personales de los individuos de dentro del Reino Unido. Tras el Brexit, se aplica el nuevo UK-RGPD, que es equivalente al RGPD de la UE.

Más información sobre el RGPD y el consentimiento

¿Quién hará cumplir el UK-RGPD?

La Oficina del Comisionado para la Información (ICO) es el principal organismo de supervisión y aplicación del RGPD del Reino Unido. La ICO está facultada para llevar a cabo investigaciones penales, adoptar directrices y emitir multas en caso de incumplimiento.

Más información sobre el UK-RGPD

¿Qué se consideran datos personales según el UK-RGPD?

Los datos personales son cualquier cosa que pueda emplease para identificar a un individuo vivo, ya sea directa o indirectamente. Los datos personales incluyen nombres, direcciones, licencias de conducir, número de pasaporte, datos médicos, información de ubicación, información sobre creencias religiosas y convicciones políticas, pero también cookies, direcciones IP e historiales de búsqueda y navegación.

Prueba Cookiebot CMP gratis durante 14 días, o para siempre si tienes un sitio web pequeño.

¿Cómo puedo controlar las cookies de mi sitio web?

Las cookies son difíciles de controlar, muchas cookies se cargan secretamente a través de otras, y muchas de ellas lo harán a lo largo de visitas repetidas. Emplear una plataforma de gestión del consentimiento puede ayudar a que tu sitio web controle su configuración de cookies y garantizar el cumplimiento de las leyes de privacidad de datos como el RGPD de la UE o el RGPD del Reino Unido.

Más información sobre el RGPD después del Brexit

Fuentes

Más información sobre el UK-RGPD (en inglés)

Más información sobre el Acta de Protección de Datos de 2018 (en inglés)

Decisión de adecuación del Reino Unido de la Comisión Europea de junio de 2021 (en inglés)

Más información sobre el RGPD tras el Brexit (en inglés)

Consulta la lista de requisitos exhaustiva de la IAPP sobre el Brexit (en inglés)

Texto legal oficial del Reglamento General de protección de datos (RGPD)

Texto legal oficial de la Directiva ePrivacy de 2009

Texto legal oficial del Acta de Protección de Datos del Reino Unido de 2018 (en inglés)

Reglamentos de Privacidad y Comunicaciones Electrónicas (PECR) (en inglés)

ICO (en inglés)

La ICO aplica las leyes de datos en el Reino Unido (en inglés)

Directrices actualizadas de la ICO (en inglés)

    Mantente al día

    Únete a nuestra comunidad de entusiastas de la privacidad de datos en expansión ahora. Suscríbete a la newsletter de Cookiebot™ para poder recibir las últimas actualizaciones directamente en tu bandeja de entrada.

    Clicando en “Suscribirme” confirmo que quiero suscribirme a la newsletter de Cookiebot™. Puedo retirar este consentimiento clicando en el botón para darme de baja o simplemente escribiendo a [email protected]. Consultar la Política de privacidad.