La Ley de Protección de Datos y de Información Digital (DPDI) del Reino Unido de 2025 realiza 14 desviaciones significativas del GDPR de la UE, creando la primera divergencia regulatoria sustantiva entre los marcos de protección de datos de la UE y del Reino Unido desde el Brexit. La decisión de adecuación UE-Reino Unido, originalmente válida hasta junio de 2025 y extendida a la espera de revisión, enfrenta un escrutinio creciente por parte de los profesionales del GDPR y de la Comisión Europea.
La Ejecución de LastPass: El Referente Técnico del GDPR del Reino Unido
La multa de £1.2 millones impuesta por la ICO a LastPass UK en diciembre de 2025 es el caso de ejecución de seguridad técnica más significativo del Reino Unido. La ICO encontró:
Inadecuación de la encriptación: LastPass almacenó bóvedas de contraseñas maestras de clientes con encriptación obsoleta que la ICO consideró "inadecuada" bajo el Artículo 32 del GDPR del Reino Unido. Específicamente, la ICO encontró que algunas iteraciones de bóveda usaron PBKDF2-SHA256 con solo 1 iteración, muy por debajo de la recomendación mínima de 600,000 iteraciones del NCSC del Reino Unido para claves derivadas de contraseñas.
El estándar legal establecido: El Artículo 32 del GDPR del Reino Unido requiere "medidas técnicas apropiadas" que reflejen el "estado de la técnica." La ICO encontró que el "estado de la técnica" para la derivación de claves de encriptación en 2022 (cuando ocurrió la violación) requería mucho más de lo que LastPass proporcionó. Esto establece que los estándares de seguridad evolucionan: lo que era aceptable en 2015 puede no ser aceptable en 2022.
Implicación directa para las herramientas de encriptación: Las organizaciones que utilizan herramientas de procesamiento de datos deben verificar que las implementaciones de encriptación de esas herramientas cumplan con los estándares actuales de "estado de la técnica," no solo con los estándares mínimos básicos. La ejecución de LastPass por parte de la ICO convierte la calidad de la encriptación del proveedor en un requisito de cumplimiento directamente auditable.
Ley DPDI 2025: Principales Divergencias del GDPR de la UE
La Ley DPDI realiza 14 desviaciones identificadas del GDPR de la UE. Las más significativas operativamente:
1. Reforma de intereses legítimos: La Ley DPDI crea una lista de "intereses legítimos reconocidos" que no requieren la prueba de balanceo del GDPR de la UE contra los intereses del sujeto de datos. Esto hace que el interés legítimo sea una base legal más accesible para las organizaciones del Reino Unido, reduciendo los requisitos de consentimiento para algunos procesamientos comerciales.
2. Investigación, estadísticas y archivo: La Ley DPDI amplía significativamente la exención de investigación, permitiendo un uso secundario más amplio de datos personales para fines de investigación sin los requisitos de consentimiento explícito que impone el GDPR de la UE.
3. Toma de decisiones automatizada: El reemplazo de la Ley DPDI para el Artículo 22 del GDPR (derechos de toma de decisiones automatizadas) es más permisivo para decisiones automatizadas comerciales. El requisito de revisión humana significativa se relaja para algunas categorías de procesamiento automatizado.
4. Mantenimiento de registros: La Ley DPDI elimina los requisitos obligatorios de ROPA (registros de actividades de procesamiento) para organizaciones pequeñas (menos de 250 empleados) sin procesamiento "sistemático." El GDPR de la UE requiere ROPA para todas las organizaciones cuyo procesamiento no sea ocasional.
5. Consentimiento de cookies: La Ley DPDI incluye disposiciones para "alternativas sin cookies" y reduce los requisitos de consentimiento para cookies de análisis, diseñadas específicamente para reducir la carga del banner de consentimiento de cookies. Los requisitos de ePrivacy del GDPR de la UE (aplicados en paralelo) aún requieren consentimiento para cookies de seguimiento.
6. Transferencias internacionales: La Ley DPDI otorga al Secretario de Estado del Reino Unido una autoridad más amplia para otorgar decisiones de adecuación, lo que podría permitir al Reino Unido otorgar adecuación a países que la UE no ha considerado, creando marcos de transferencia divergentes.
El Riesgo de Adecuación: Qué Podría Activar la Revisión de la UE
La revisión de adecuación de la Comisión de la UE sobre el Reino Unido evaluará si el GDPR del Reino Unido (modificado por la Ley DPDI) proporciona una protección "esencialmente equivalente" al GDPR de la UE:
Áreas de preocupación identificadas por los monitores de la UE:
- La expansión de intereses legítimos de la Ley DPDI puede crear brechas que la UE considere inadecuadas
- La ley de vigilancia del Reino Unido (Ley de Poderes de Investigación de 2016) sigue siendo incompatible con los estándares del GDPR según el precedente del TJUE en casos relacionados
- Los acuerdos de intercambio de datos entre el Reino Unido y EE. UU. bajo la Ley CLOUD crean potencial para la exposición de datos de la UE al acceso de las fuerzas del orden de EE. UU.
Si se suspende o revoca la adecuación: Más de 10,000 acuerdos de Cláusula Contractual Estándar entre el Reino Unido y la UE tendrían que activarse de inmediato. Las organizaciones que actualmente dependen únicamente de la adecuación para las transferencias entre el Reino Unido y la UE enfrentarían brechas de cumplimiento.
Manteniendo el Cumplimiento Dual del GDPR de la UE y del Reino Unido
Para las organizaciones sujetas tanto al GDPR de la UE como al GDPR del Reino Unido, el enfoque práctico:
Usar el estándar más estricto como base: El Artículo 32 del GDPR de la UE, la prueba de balanceo de intereses legítimos del GDPR y los requisitos de toma de decisiones automatizadas del GDPR son más estrictos que sus equivalentes en la Ley DPDI. Las organizaciones que cumplen con los estándares del GDPR de la UE cumplen automáticamente con los estándares del GDPR del Reino Unido (con algunas adiciones específicas del Reino Unido).
Documentar ambas bases legales: Para el procesamiento bajo intereses legítimos, documentar tanto la prueba de balanceo del GDPR de la UE como que el procesamiento caería dentro de los intereses legítimos reconocidos por la Ley DPDI del Reino Unido. La documentación dual protege contra la divergencia.
Monitorear el estado de la decisión de adecuación: El resultado de la revisión de adecuación de 2026 determinará si se necesitan mecanismos de transferencia separados para las transferencias entre el Reino Unido y la UE. Las organizaciones deben mantener las Cláusulas Contractuales Estándar como un mecanismo de respaldo incluso si actualmente dependen de la adecuación.
Encriptación al estado actual de la técnica: La ejecución de LastPass por parte de la ICO convierte los estándares de encriptación del proveedor en una consideración activa de cumplimiento. Verificar que las herramientas de PII, los almacenes de datos y las implementaciones de gestión de claves utilicen parámetros recomendados actuales (AES-256-GCM, argon2id para la derivación de claves con recomendaciones de parámetros actuales).
La divergencia del GDPR del Reino Unido post-Brexit representa la primera fractura significativa de los estándares de protección de datos de la UE. Para las organizaciones que operan en ambas jurisdicciones, la postura más segura es diseñar para los requisitos aplicables más estrictos, que siguen siendo los estándares técnicos centrales del GDPR de la UE.
Fuentes: