Cumplimiento del RGPD Post-Brexit: el RGPD del Reino Unido y el RGPD de la UE

GDPR es la ley de privacidad y seguridad de datos de Europa. Define un conjunto de reglas para recopilar y usar los datos personales de los ciudadanos de la UE, tanto para empresas de la UE como para extranjeras.

GDPR cubre las reglas clave para recopilar y usar datos personales. Requiere que tu empresa sea justa y clara sobre cómo utilizas los datos recopilados de tus clientes. También debes recopilar y usar los datos solo para los fines sobre los que informaste a tu base de clientes.

Las directrices de GDPR también se aplican al almacenamiento de datos personales y regulan cuánto tiempo puedes almacenarlos y cómo mantenerlos protegidos. La seguridad de los datos implica usar medidas técnicas como cifrado y autenticación de dos factores. También incluye medidas organizativas como capacitación del personal y limitar el acceso a los datos.

El Reino Unido, antes del Brexit, también estaba sujeto a GDPR. Sin embargo, tras el Brexit, el Reino Unido creó su propio conjunto de reglas para GDPR. Ahora se le suele llamar UK GDPR.

Por lo tanto, es importante entender qué es el UK GDPR si deseas recopilar y usar los datos de los ciudadanos del Reino Unido. Cubramos cómo difiere del EU GDPR, y cuáles son las leyes y regulaciones que rigen los datos en el Reino Unido.

¿Qué es el EU GDPR?

El EU GDPR es una ley de protección de datos que entró en vigor en 2018 en la UE. La ley busca dar a las personas control sobre sus datos personales. También responsabiliza a las empresas por cómo usan y almacenan los datos de sus clientes. Es también un aspecto importante del nómina internacional, por lo que es importante familiarizarse con sus regulaciones.

El EU GDPR tiene siete reglas y responsabilidades clave que cada empresa debe seguir. Incluyen:

1. Legalidad, Equidad y Transparencia

GDPR requiere que: "los datos personales sean procesados de manera legal, justa y transparente." Tu empresa debe tener una buena razón para usar los datos de alguien. Podría ser el permiso de la persona, necesidad legal o interés legítimo.

No puedes recopilar datos simplemente porque es conveniente. GDPR requiere una razón legal, y debes ser claro y honesto con tus clientes sobre por qué los necesitas.

2. Limitación de Propósito

Cuando tu empresa recopila datos personales, debes tener una razón específica y usarlos solo para ese propósito. También debes informar a tus clientes del motivo de la recopilación y tener documentos que expliquen el uso previsto. Es importante revisar regularmente el procesamiento de datos. Cuando sea necesario, actualizar rápidamente la documentación y los procedimientos.

3. Minimización de Datos

Bajo GDPR, las empresas deben recopilar solo los datos que necesitan. Al recopilar menos datos, reduces el riesgo de problemas en caso de una brecha de datos. Esto implica no solicitar información innecesaria, sino solo la necesaria para cumplir un propósito específico.

4. Precisión

Los datos que recopilas deben ser precisos y mantenerse actualizados. Si alguien te dice que su información ha cambiado, debes actualizarla. Esto significa revisar y corregir los datos regularmente para asegurar que siempre sean correctos.

5. Limitación de Almacenamiento

No debes mantener datos personales por más tiempo del necesario. Una vez que ya no necesitas los datos para el motivo por el cual los recopilaste, debes eliminarlos o anonimizarlos. Esto asegura que la información de las personas no se conserve indefinidamente, lo cual podría ser arriesgado.

6. Integridad y Confidencialidad (Seguridad)

Debes proteger los datos personales de ser perdidos, robados o accedidos por personas no autorizadas. Esto incluye usar contraseñas fuertes, cifrar los datos y asegurar que solo ciertas personas puedan ver o usar los datos. Si ocurre una brecha de datos, debes reportarla en 72 horas para minimizar el daño.

7. Responsabilidad

Las organizaciones deben responsabilizarse por los datos que recopilan. También deben demostrar que cumplen con las reglas de GDPR. Esto implica tener políticas claras, capacitar al personal y poder mostrar cómo protegen los datos. Si existe un alto riesgo de un problema con los datos, deben realizar una Evaluación de Impacto en la Protección de Datos para identificar y solucionar posibles problemas antes de que ocurran.

Esta ley también dificulta que las empresas engañen a los consumidores con lenguaje confuso o vago. Asegura que las empresas notifiquen a los visitantes de sus sitios web que están recopilando sus datos.

Bajo GDPR, los clientes y consumidores dan su consentimiento explícito para esta recopilación de información. Los sitios deben solicitar su consentimiento pidiéndoles hacer clic en un botón u otra acción. Además, los sitios deben notificar rápidamente a los visitantes si sus datos personales se ven comprometidos por una brecha.

Por último, la ley también exige una evaluación de la seguridad de los datos del sitio. También determina si la empresa necesita contratar a un Oficial de Protección de Datos (DPO). En algunos casos, un miembro del personal existente puede cumplir este rol.

¿Qué es el UK GDPR?

El Reglamento General de Protección de Datos del Reino Unido (UK GDPR) es la ley del Reino Unido que regula la protección de datos. Está basado en el EU GDPR y tiene muchas similitudes con él. El GDPR del Reino Unido post-Brexit mantiene los valores centrales del EU GDPR, asegurando que se mantengan los estándares de protección de datos.

¿A qué casos se aplica el UK GDPR?

Una de las principales diferencias entre el UK GDPR y el EU GDPR radica en su aplicabilidad. El EU GDPR se aplica a todas las organizaciones, tanto dentro como fuera de la UE. Cada empresa que quiera recopilar y procesar los datos de los ciudadanos de la UE debe cumplir con el EU GDPR, independientemente de dónde tenga su sede.

Por otro lado, el UK GDPR tiene una aplicación mucho más limitada. Se aplica a cualquier empresa que recopile datos personales de ciudadanos del Reino Unido. Aplica a empresas registradas en el Reino Unido y fuera de sus fronteras.

Las empresas que recopilan datos tanto de ciudadanos del Reino Unido como de la UE deben seguir tanto el EU GDPR como el UK GDPR.

¿Quiénes son las Autoridades Regulatorias relevantes?

Las autoridades regulatorias que hacen cumplir las reglas y regulaciones del GDPR también difieren.

En la UE, cada país debe establecer uno o más organismos regulatorios que supervisen y hagan cumplir las reglas del EU GDPR. Estos son conocidos como Autoridades de Supervisión.

Además de al menos una Autoridad de Supervisión en cada país miembro, el EU GDPR también está gobernado por el Comité Europeo de Protección de Datos (EDPB). Este comité asegura que todos los países miembros apliquen el GDPR de manera coherente. También resuelve disputas que puedan surgir entre ellos. El EDPB también promueve la cooperación entre diferentes Autoridades de Supervisión.

En el Reino Unido, la autoridad reguladora que gobierna, supervisa y hace cumplir el UK GDPR es la Oficina del Comisionado de Información (ICO). La ICO tiene funciones similares a las de una Autoridad de Supervisión. El Departamento de Ciencia, Innovación y Tecnología del Reino Unido patrocina la operación de la ICO.

¿Cuál es la diferencia entre el UK GDPR y el EU GDPR?

Existen varias diferencias entre el UK GDPR y el EU GDPR. Las dos primeras, aplicabilidad y autoridades de supervisión, se abordan en detalle. Sin embargo, hay varias otras diferencias que una empresa que recopila datos de clientes tanto en el Reino Unido como en la UE debería considerar.

El UK GDPR está Adaptado al marco legal del Reino Unido

Dado que el EU GDPR regula múltiples países bajo un mismo marco, su ley GDPR tiene referencias a instituciones de la UE. El UK GDPR lo localiza a instituciones dentro del país.

El EU GDPR se enfoca en todos los países bajo su jurisdicción. El UK GDPR describe procesos para la cooperación entre las instituciones del Reino Unido y la UE.

La mayoría de los estándares para la protección de datos son iguales en el EU y el UK GDPR, pero el UK GDPR tiene varias diferencias. Tiene exenciones para ciertas autoridades públicas. También exige el nombramiento de oficiales de protección de datos. El Reino Unido también tiene requisitos más estrictos para las notificaciones de brechas de datos que su contraparte en la UE.

Transferencias de datos personales

Las transferencias de datos en la UE son mucho más sencillas bajo el EU GDPR. En esencia, el EU GDPR considera todos los países bajo su jurisdicción como un mismo mercado. Esto significa que las empresas en la UE pueden transferir datos a otros países de la UE. Sin embargo, deben cumplir con los principios generales de protección de datos.

El Brexit hizo que el Reino Unido se considere una jurisdicción separada a los ojos del EU GDPR, similar a Canadá o EE. UU. Como resultado, se establecen más salvaguardas para transferir datos entre ambas entidades. Por ejemplo, las empresas que transfieren datos al Reino Unido pueden tener que usar cláusulas estándar de protección de datos o reglas corporativas vinculantes para mantener la seguridad de los datos.

Diferencias para los representantes

Otra diferencia importante entre ambas leyes radica en cómo tratan a los representantes. Es decir, el EU GDPR requiere que las empresas de terceros países que recopilan datos personales de sus ciudadanos tengan un representante en el país donde recopilan los datos.

El Reino Unido requiere un representante, pero no necesariamente debe estar ubicado en el Reino Unido. Similar al EU GDPR, este representante actúa como punto de contacto. Su principal objetivo es garantizar una cooperación fluida entre la organización y las autoridades regulatorias relevantes. Pero, el Reino Unido no requiere presencia local.

Las empresas que operan bajo ambos GDPR pueden tener que establecer representantes separados dependiendo de las jurisdicciones involucradas.

Mecanismos OSS

Las empresas que navegan por el EU GDPR a menudo se preocupan por estar involucradas con muchas Autoridades de Supervisión. Sin embargo, el EU GDPR tiene una disposición llamada mecanismo OSS, que permite un proceso más simplificado para las empresas.

El mecanismo OSS permite a las empresas tratar con solo una Autoridad de Supervisión. Aún así, deja abierta la posibilidad de sugerencias de otra Autoridad de Supervisión si la situación lo requiere.

El UK GDPR no tiene tales disposiciones, ya que está localizado en un solo país. La Oficina del Comisionado de Información (ICO) es la única equivalente a una Autoridad de Supervisión. Es responsable de todas las decisiones del UK GDPR.

Enmiendas y actualizaciones

El proceso para enmendar y actualizar el GDPR también varía. Con el EU GDPR, todos los cambios ocurren a través del proceso legislativo de la UE. Es un proceso que involucra decisiones colectivas y varias autoridades regulatorias.

Pero, el UK GDPR está bajo el gobierno del Reino Unido. El gobierno del Reino Unido tiene la autoridad para hacer enmiendas y actualizaciones al GDPR. Aunque busca mantener un alto nivel de seguridad de datos similar al del EU GDPR, puede hacer enmiendas de manera independiente.

Penalizaciones y multas

La última diferencia radica en las penalizaciones y multas. Tanto el EU GDPR como el UK GDPR pueden decidir multar a las empresas que ignoren las reglas del GDPR con tarifas fijas. O pueden aplicar un porcentaje de los ingresos anuales de la empresa. La tarifa dependerá de cuál sea mayor.

Bajo el EU GDPR, las empresas pueden ser multadas con €10 millones, o 2% por infracciones menores. La multa puede llegar hasta €20 millones, o 4% por infracciones más graves.

El UK GDPR reconoce infracciones menores y mayores también. Las infracciones menores se multan con £8,700,000, o 2%. Las más graves pueden costar a la empresa £17,500,000, o 4%.

Consideraciones de Cumplimiento y Desafíos

Navegar tanto por el EU GDPR como por el UK GDPR puede ser desafiante, por lo que las empresas deben conocer en detalle la diferencia entre ambos. Aquí algunos desafíos que podrías enfrentar al navegar el GDPR en estos dos países:

1. Aplicabilidad Dual

Aunque hay muchas similitudes, es importante considerar ambas al crear la política de seguridad de datos. Las empresas que operan en el Reino Unido y la UE deben asegurarse de que sus prácticas de protección de datos sigan ambos estándares.

2. Transferencias de datos

Dado que no hay términos acordados sobre transferencia de datos entre el Reino Unido y la UE, deberías intentar implementar un mecanismo de transferencia de datos adecuado. Esto podría significar crear reglas corporativas vinculantes o confiar en cláusulas contractuales estándar.

3. Requisitos diferentes

Existen diferencias significativas entre los dos GDPR, por lo que es importante entender cuáles son. Al recopilar datos de ciudadanos tanto del Reino Unido como de la UE, debes tener en cuenta ambos GDPR y sus diferencias para mantener el cumplimiento.

4. Mayor responsabilidad

La razón principal para seguir el GDPR podría ser que deseas que tus clientes y consumidores confíen en ti. Para otras empresas, es para evitar multas y sanciones elevadas. Si esto es importante para ti, deberías planear y considerar que serás responsable bajo ambos GDPR.

¿Por qué es importante mantenerse en cumplimiento con ambos EU y UK GDPR?

Como se mencionó antes, es importante cumplir con el EU y UK GDPR si estás recopilando datos de residentes del Reino Unido o de la UE.

Una de las principales razones para seguir el GDPR en tu empresa es que te permite construir confianza con tus clientes. También fomenta la transparencia y buena comunicación entre ambos. Una buena comunicación y confianza serán beneficiosas para la reputación de tu negocio.

El GDPR también puede ayudarte a optimizar tus procesos de protección y recopilación de datos. Con su énfasis en recopilar solo los datos necesarios, puede guiar a tu empresa en las mejores prácticas de seguridad y almacenamiento. Esto te ayudará a evitar recopilar y gestionar datos innecesarios, y a ahorrar en procesos complejos y costosos para gestionarlos.

Sin embargo, probablemente el mayor beneficio para las empresas es mantener el cumplimiento legal. Es decir, ayuda a evitar multas y sanciones elevadas que puedan ocurrir. Si tus clientes y consumidores no están satisfechos con cómo manejas sus datos, podrían iniciar acciones legales contra ti.

En el Reino Unido, las multas por incumplimiento del GDPR pueden llegar hasta £17.5 millones. En la UE, las tarifas pueden acumularse hasta €20 millones.

Mejores prácticas para empresas que navegan por el UK GDPR y el EU GDPR

Como empresa que debe navegar ambos GDPR, hay algunas mejores prácticas que puedes seguir para mantener el cumplimiento. Por supuesto, hay diferencias importantes dependiendo del tipo de negocio que tengas, pero en general deberías:

1. Entender en profundidad las diferencias entre el UK y el EU GDPR

2. Determinar si tu negocio requiere cumplir con ambos, o solo con el UK o el EU GDPR.

3. Implementar las medidas de protección de datos necesarias. Mantenerse en línea con las recomendaciones establecidas por las regulaciones GDPR relevantes.

4. Finalmente, revisar y actualizar regularmente tus políticas de seguridad de datos, y estar atento a cualquier cambio en el GDPR.

Si no estás seguro de qué GDPR aplica a tu empresa y línea de negocio, también puedes considerar contratar expertos para gestionarlo por ti. Consultar con las autoridades relevantes para asegurar que tu negocio cumple con el UK GDPR, EU GDPR, o ambos si es necesario.

Preguntas frecuentes

¿El Reino Unido todavía sigue el EU GDPR?

El Reino Unido sigue el UK GDPR, que comparte muchas similitudes con el EU GDPR. Si eres una empresa que opera en el Reino Unido, pero recopila datos sobre clientes de la UE, aún deberás cumplir con el EU GDPR.

¿Cuáles son los 7 principios del GDPR en el Reino Unido?

Los siete principios del GDPR en el Reino Unido incluyen Legalidad, equidad y transparencia, Limitación de propósito, Minimización de datos, Precisión, Limitación de almacenamiento, Integridad y confidencialidad, y Responsabilidad.

¿El UK GDPR solo aplica a ciudadanos del Reino Unido?

Sí, el UK GDPR se aplica a los ciudadanos del Reino Unido. Cada empresa debe cumplir con los requisitos del UK GDPR al procesar datos de residentes del Reino Unido.

¿Qué se considera un consentimiento conforme al UK GDPR?

El UK GDPR tiene estándares claros sobre qué significa un consentimiento conforme. La solicitud de consentimiento debe estar redactada de manera clara y sin ambigüedades. Debe involucrar que los usuarios y visitantes del sitio hagan clic en una opción de aceptación (opt-in). El UK GDPR prohíbe estrictamente las casillas de aceptación preseleccionadas. También requiere que los sitios web implementen opciones de consentimiento “granulares” para diferentes tipos de procesamiento.