UK GDPR Post-Brexit: Divergencia y Continuidad
La Ley de Protección de Datos del Reino Unido de 2018, que incorpora el UK GDPR, refleja de cerca el EU GDPR, pero con divergencias significativas que crean requisitos de cumplimiento distintos para las organizaciones que operan en el Reino Unido.
Continuidad:
- Mismos seis fundamentos legales para el procesamiento
- Mismos derechos de los interesados (acceso, supresión, rectificación, portabilidad)
- Mismo principio de responsabilidad y requisitos de documentación
- Misma obligación de notificación de violaciones de datos (72 horas a la ICO)
- Mismos requisitos de protección de datos por diseño y por defecto
Divergencias:
- Régimen de adecuación: el Reino Unido tiene sus propias decisiones de adecuación para transferencias internacionales de datos; la adecuación de la UE para transferencias de datos del Reino Unido se mantiene pero es objeto de controversia
- Orientación sobre IA: la ICO emitió una guía dedicada sobre IA (2023-2024) más detallada que la guía comparable del EDPB
- Datos biométricos: el tratamiento de datos biométricos en el Reino Unido tiene diferencias definitorias menores
- Excepciones de investigación: las excepciones de investigación y estadísticas del Reino Unido son algo más amplias que las equivalentes de la UE
- Cultura de aplicación: la ICO históricamente se ha centrado en la educación y la orientación antes de las multas; esto está cambiando con recientes acciones de aplicación de gran envergadura
Para las organizaciones que operan tanto en la UE como en el Reino Unido, el UK GDPR crea una obligación de cumplimiento paralelo que requiere la evaluación de los requisitos tanto del EU GDPR como del UK GDPR; no son idénticos.
La Multa de LastPass de la ICO: Estableciendo el Cifrado como Requisito Legal
La multa de la ICO en diciembre de 2025 contra LastPass UK (£1.2M) es el caso emblemático del UK GDPR para los estándares de cifrado. La notificación de aplicación estableció varios principios con amplias implicaciones:
El hallazgo central: La arquitectura de cifrado de LastPass — que almacenaba los datos de la bóveda de los usuarios con claves de cifrado accesibles desde el servidor — se encontró inadecuada bajo el Artículo 32 del UK GDPR. La ICO encontró que "el controlador debería haber implementado cifrado del lado del cliente, lo que habría asegurado que incluso en caso de una violación del servidor, los datos de la bóveda del usuario no serían accesibles para partes no autorizadas."
Lo que esto significa: La ICO ha establecido que donde existe una arquitectura más respetuosa con la privacidad (cifrado del lado del cliente) y es técnicamente viable, el uso de una arquitectura menos respetuosa con la privacidad (cifrado del lado del servidor) puede no satisfacer el estándar de "medidas técnicas apropiadas" del Artículo 32.
Implicaciones más amplias: Las organizaciones que almacenan datos sensibles utilizando cifrado del lado del servidor — donde los servidores del proveedor mantienen las claves de cifrado — pueden enfrentar el escrutinio de la ICO si ocurre una violación. La notificación de aplicación establece explícitamente que "las medidas técnicas deben ser proporcionales al riesgo, y donde el riesgo de acceso no autorizado a datos personales sensibles es alto, la medida apropiada puede requerir gestión de claves del lado del cliente."
Para herramientas de anonimización de PII: si el servicio de anonimización de un proveedor almacena el texto plano de documentos procesados del lado del servidor (para registros de auditoría, análisis de uso o características como el historial de documentos), esto crea un almacén de datos accesible desde el servidor que puede no cumplir con el estándar posterior a LastPass de la ICO para datos sensibles.
Orientación de la ICO sobre IA: Requisitos Técnicos para IA Generativa
La ICO emitió una guía integral sobre IA en 2023-2024, cubriendo ocho requisitos técnicos específicos para sistemas de IA generativa — más detallada que la guía equivalente de la UE:
1. Auditabilidad de los datos de entrenamiento: Los sistemas de IA entrenados con datos personales deben tener documentada la procedencia de los datos de entrenamiento, incluidos los procedimientos de anonimización aplicados.
2. Monitoreo de salidas: Los sistemas que generan salidas de datos personales deben tener controles de monitoreo para detectar y prevenir divulgaciones inapropiadas de datos.
3. Limitación de propósito en el entrenamiento: Los datos personales utilizados para el entrenamiento deben limitarse al propósito específico; el entrenamiento de IA de propósito general utilizando datos de clientes requiere una base legal explícita.
4. Derechos individuales en la toma de decisiones automatizada: Los sistemas de IA que toman decisiones significativas sobre individuos deben implementar controles técnicos para facilitar los derechos individuales (acceso, explicación, impugnación).
5. Auditoría de sesgos: Los sistemas que procesan características protegidas (directamente o por inferencia) deben tener monitoreo técnico de sesgos.
6. Minimización de datos en el ajuste fino: El ajuste fino de datos personales debe aplicar minimización antes del entrenamiento; no solo políticas de anonimización sino también implementación técnica.
7. Retención en el entrenamiento: Los datos personales incorporados en los pesos del modelo deben ser abordables para solicitudes de supresión (se requieren salvaguardias técnicas o equivalentes).
8. Diligencia debida del modelo de terceros: Las organizaciones que utilizan sistemas de IA de terceros deben evaluar y documentar el cumplimiento técnico de esos sistemas con estos requisitos.
Estos ocho requisitos crean una lista de verificación de implementación técnica para implementaciones de IA en el Reino Unido.
Tendencias de Aplicación de la ICO: De la Orientación a las Multas
Históricamente, la ICO ha preferido la educación y las notificaciones de aplicación a las grandes multas. Esto está cambiando:
- LastPass (Dic 2025): £1.2M — fallo de seguridad técnica (arquitectura de cifrado)
- Comisión Electoral (2023): £4.4M de reprimenda (sin multa) — fallo de seguridad (servidor no parcheado)
- British Airways (2019, resuelto en 2020): £20M — violación de datos por ciberataque debido a seguridad inadecuada
- Marriott International (2019, resuelto en 2020): £18.4M — violación de datos por diligencia debida inadecuada
La ICO emitió 67 notificaciones de aplicación en 2024 — un récord histórico — lo que sugiere una creciente disposición a utilizar la aplicación formal.
La multa a LastPass es particularmente significativa porque se dirigió a una decisión sobre la arquitectura de cifrado, no solo a un resultado de violación. Esto sugiere que la ICO examinará las elecciones de diseño técnico, no solo la respuesta a la violación.
Implicaciones del Flujo de Datos UK-UE
Las organizaciones del Reino Unido que sirven a clientes de la UE o reciben datos personales de la UE enfrentan el requisito de cumplimiento dual:
- El UK GDPR se aplica al procesamiento en el Reino Unido
- El EU GDPR se aplica a los datos personales de la UE
Para las transferencias de datos de la UE al Reino Unido: la decisión de adecuación de la UE para el Reino Unido (otorgada en 2021) sigue siendo válida pero está sujeta a revisión y desafío legal. Las organizaciones no deben depender completamente de la adecuación del Reino Unido; las cláusulas contractuales estándar siguen siendo una salvaguarda adicional recomendada.
Para las organizaciones del Reino Unido que utilizan servicios en la nube basados en la UE: la transferencia del Reino Unido a la UE no está actualmente restringida (sin restricciones de la UE sobre flujos de datos del Reino Unido), pero el procesamiento de datos personales del Reino Unido por parte del proveedor de servicios de la UE puede activar los requisitos del EU GDPR para el procesador.
Orientación práctica: las organizaciones con flujos de datos UE-Reino Unido deben documentar tanto su postura de cumplimiento del UK GDPR como su postura de cumplimiento del EU GDPR por separado, señalando dónde son equivalentes y dónde se aplican requisitos específicos del Reino Unido.
Fuentes: