anonym.legal

By · Last updated 2026-06-05

Volver al BlogGDPR y Cumplimiento

ICO Reino Unido: UK GDPR Post-Brexit...

ICO multó a LastPass con £1.2M por cifrado inadecuado en diciembre de 2025. La decisión establece que el cifrado del lado del cliente es un...

June 5, 20267 min de lectura
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

El RGPD del Reino Unido tras el Brexit: qué cambió

La Ley de Protección de Datos de 2018 del Reino Unido incorporó el UK GDPR al ordenamiento jurídico británico. Se asemeja al RGPD de la UE, pero no en todos los aspectos. Si opera en el Reino Unido y en la UE, debe cumplir dos listas de verificación distintas.

Lo que se mantuvo igual:

  • Seis bases jurídicas para el tratamiento
  • Derechos de los interesados: acceso, supresión, rectificación, portabilidad
  • Notificación de brechas al regulador en 72 horas
  • Privacidad desde el diseño y por defecto

Lo que cambió:

  • El Reino Unido gestiona sus propias decisiones de adecuación para transferencias internacionales
  • Las directrices británicas sobre IA de 2023–2024 van más lejos que las del EDPB
  • Las excepciones de investigación del Reino Unido son ligeramente más amplias que las europeas
  • El regulador está pasando del asesoramiento a las multas, más rápido que antes

La brecha entre las normas del Reino Unido y las de la UE es real. Trátelas como dos listas independientes.

En diciembre de 2025, el ICO impuso una multa de 1,2 millones de libras esterlinas a LastPass UK por una arquitectura de cifrado deficiente. Esta es la resolución UK GDPR más importante en materia de seguridad técnica hasta la fecha.

Lo que encontró el regulador: LastPass almacenaba los datos de los cofres con claves gestionadas en el servidor. Cualquier persona con acceso al servidor podía leer el cofre. La resolución determinó que esto incumplía el criterio de las "medidas técnicas adecuadas" del artículo 32 del UK GDPR.

La frase clave del aviso: "El responsable del tratamiento debería haber utilizado cifrado del lado del cliente. Esto habría protegido los datos de los cofres incluso en caso de una brecha en el servidor."

Lo que establece: Si existe un diseño más seguro y es implementable, usar el más débil puede ahora vulnerar el artículo 32. La gestión de claves en el servidor ya no es un estándar seguro para datos sensibles.

Quién está en riesgo: Cualquier servicio que almacene datos personales sensibles y conserve las claves de cifrado en sus propios servidores. Esto incluye herramientas que registran texto procesado para registros de auditoría, estadísticas de uso o historial de documentos. Si el servidor puede leer el texto, los reguladores pueden preguntar por qué no eligió el cifrado del lado del cliente. Vea cómo anonym.legal gestiona esto con arquitectura de cero conocimiento.

Directrices británicas sobre IA: ocho reglas técnicas

El regulador británico publicó directrices detalladas sobre IA en 2023–2024. Cubren ocho requisitos específicos para sistemas de IA generativa. Las directrices comparables de la UE son menos detalladas.

1. Procedencia de los datos de entrenamiento — La IA entrenada con datos personales debe documentar su origen y los pasos de anonimización aplicados.

2. Supervisión de salidas — Los sistemas que producen salidas personales deben tener controles para detectar y prevenir divulgaciones inapropiadas.

3. Limitación de finalidad — Los datos usados para el entrenamiento de IA deben corresponder a la finalidad declarada. El entrenamiento general con datos de clientes requiere una base jurídica clara.

4. Derechos en decisiones automatizadas — Si su IA toma decisiones importantes sobre una persona, debe permitir el acceso, la explicación y la impugnación.

5. Supervisión de sesgos — Los sistemas que usan características protegidas —directamente o por inferencia— deben tener controles técnicos de sesgo.

6. Minimización antes del ajuste fino — Los datos personales deben reducirse antes del fine-tuning. Una política sola no es suficiente.

7. Supresión de pesos del modelo — Si los datos entran en los pesos del modelo, necesita un plan para atender solicitudes de supresión.

8. Revisión de IA de terceros — Si usa la IA de otra empresa, debe verificar y documentar su cumplimiento con los ocho puntos.

Estas ocho reglas forman una lista de verificación práctica para cualquier despliegue de IA en el Reino Unido.

Aplicación en el Reino Unido: el giro hacia las multas

El regulador solía preferir cartas de orientación sobre sanciones. Eso está cambiando. Las acciones recientes muestran un patrón claro:

AcciónImporteAñoMotivo
British Airways20 M £2020Brecha — seguridad débil
Marriott International18,4 M £2020Brecha — diligencia insuficiente
LastPass UK1,2 M £2025Fallo en el diseño de cifrado
Electoral CommissionReprimenda 4,4 M £2023Servidor sin parches

En 2024 se emitieron 67 avisos de aplicación — un récord. El caso LastPass es notable porque la multa fue por una decisión de diseño, no solo por el resultado de una brecha. Los reguladores examinaron cómo LastPass construyó su sistema. Eso es nuevo.

Transferencias UK–UE: riesgo en ambas direcciones

Las organizaciones del Reino Unido que manejan datos personales europeos tienen obligaciones por ambos lados.

De la UE al Reino Unido: La UE concedió al Reino Unido una decisión de adecuación en 2021. Sigue vigente. Pero está siendo impugnada jurídicamente. No dependa solo de ella — las cláusulas contractuales tipo (CCT) son un respaldo prudente.

Del Reino Unido a la UE: No existe restricción actual para transferir datos británicos a procesadores de la UE. Pero un procesador europeo que trate datos del Reino Unido puede igualmente generar obligaciones bajo el RGPD de la UE.

Paso práctico: Redacte su posición UK GDPR y su posición RGPD UE como dos documentos separados. Anote dónde coinciden y dónde difieren. Ese es el registro que necesitará si un regulador lo solicita. Nuestra guía de cumplimiento mapea ambas partes.

Para un análisis más profundo del diseño de cero conocimiento y cómo aborda el riesgo de brecha de servidor identificado en LastPass, consulte nuestra página de arquitectura de seguridad.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.