Menu
blog-es
Inicio

DATA (USE AND ACCESS) ACT: LA REGULACIÓN QUE EXIGE REVISAR TU COMPLIANCE EN PROTECCIÓN DE DATOS SI TIENES CLIENTES EN EL REINO UNIDO

Detalles
Autor: Laura Gallego Herráez
Materia: Derecho Mercantil

 

La Ley de Datos (Uso y Acceso) de 2025 (Data (Use and Access), DUAA, por sus siglas en inglés) fue aprobada el 19 de junio de 2025, poniendo fin a un prolongado proceso de revisión del marco regulador del Reino Unido en materia de protección de datos y privacidad. Esta ley supone la reforma más significativa en este ámbito desde la implementación del Reglamento General de Protección de Datos (RGPD) en el país.

 

Las disposiciones aprobadas por dicha norma prevén una entrada en vigor escalonada. En este artículo analizamos las principales modificaciones introducidas en tres ámbitos clave:

  • Decisiones individuales automatizadas, en vigor desde el pasado 5 de febrero de 2026.
  • Derecho de acceso del interesado (Data Subject Access Request o DSAR), también aplicable desde el 5 de febrero de 2026.
  • Procedimiento de reclamaciones en materia de protección de datos, cuya entrada en vigor está prevista para el 19 de junio de 2026.

Para las empresas que tratan datos personales de usuarios residentes en el Reino Unido —con independencia de su lugar de establecimiento—, las reformas introducidas por la DUAA implican revisar sus políticas internas y de compliance para alinearlas con el nuevo marco normativo.

 

Read more

 

DECISIONES INDIVIDUALES AUTOMATIZADAS: DE LA PROHIBICIÓN AL “PERMISO POR DEFECTO”

Las decisiones individuales automatizadas son aquellas que se toman únicamente mediante procesos automáticos, sin intervención humana, utilizando tecnologías que analizan y valoran datos personales para determinar el resultado.

 

A continuación, mencionamos algunos ejemplos de decisiones automatizadas:

  • Finanzas: aprobación o denegación automática de solicitudes de crédito.
  • RRHH: filtrado y selección automática de currículums.
  • Seguros: cálculo y aprobación automática de primas basadas en datos de riesgo (edad, historial de conducción, ubicación).

Antes de la aprobación de la DUAA, el artículo 22 UK GDPR establecía la prohibición general de decisiones basadas exclusivamente en tratamiento automatizado de datos con efectos jurídicos o similares sobre el individuo titular de los mismos, salvo que, en el caso del tratamiento de datos ordinarios, aplicara alguna de las siguientes excepciones:

  1. Fuera necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
  2. Consentimiento expreso del interesado.
  3. Autorizada por la ley.

Con la aprobación de la DUAA, el artículo 22 UK GDPR es sustituido por los nuevos artículos 22A–22D UK GDPR. El cambio fundamental radica en que la norma deja de partir de una prohibición general de las decisiones automatizadas para establecer, por el contrario, su permiso por defecto, siempre que dichas decisiones se basen en datos personales ordinarios y no en datos de categorías especiales.

 

En el caso de los datos de categorías especiales (como, por ejemplo, los datos biométricos, relativos a la salud o al origen étnico), se mantiene el régimen restrictivo previo contemplado en el artículo 22 del UK GDPR. Es decir, todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos de categoría especial, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre él o le afecte de manera similar de forma significativa, salvo que este haya dado su consentimiento expreso o exista un interés público.

 

Salvaguarda de derechos, libertades e intereses legítimos del interesado

Tanto en las decisiones automatizadas basadas en datos ordinarios como en aquellas basadas en el tratamiento de datos de categoría especial, se mantienen las garantías ya recogidas en la UK GDPR antes de la aprobación de la DUAA. En este sentido, el responsable del tratamiento de datos deberá adoptar las medidas adecuadas para salvaguardar los derechos, las libertades y los intereses legítimos del interesado. Como mínimo, deberá garantizar el derecho de este a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión cuando así lo solicite.

 

Dichas garantías también son de aplicación en la Unión Europea, como se indica en el artículo 22 del Reglamento General de Protección de Datos (RGPD).

 

Con esta medida, el Reino Unido pretende crear un marco regulatorio más permisivo para la toma de decisiones basadas exclusivamente en el procesamiento automatizado de datos.

 

No obstante, la Information Commissioner’s Office (ICO) ha anunciado la publicación, durante la primavera de 2026, de una guía destinada a abordar esta reforma legislativa. En ella se aclararán conceptos clave y sus implicaciones prácticas, lo que resultará de gran utilidad para comprender e interpretar los efectos reales de la nueva normativa.

 

SOLICITUD DEL INTERESADO (DATA SUBJECT REQUEST O DSR): REGLA ‘STOP THE CLOCK’ Y BÚSQUEDAS RAZONABLES Y PROPORCIONADAS

La Data Subject Request (DSR) se refiere a la solicitud que una persona residente en el Reino Unido, o un tercero autorizado en su nombre, puede presentar ante una empresa para obtener la información a la que tiene derecho conforme al artículo 15 del UK GDPR.

 

Esta solicitud puede incluir:

  • La confirmación por parte de la empresa de si está tratando datos personales del solicitante.
  • Una copia de los datos personales del solicitante que la empresa esté tratando.
  • Información adicional relativa al tratamiento de dichos datos personales.

Stop the clock rule

Las empresas deben responder a las DSR de los usuarios en un plazo de 30 días naturales, a contar desde la fecha en la que la empresa la recibe. Tras las modificaciones introducidas por la DUAA, las organizaciones pueden suspender (‘stop the clock’) este plazo de un mes cuando reciban una solicitud de un titular de datos personales o de un tercero autorizado por este, si necesitan información adicional para comprender el alcance de la petición y así poder dar la respuesta requerida. La suspensión del plazo opera hasta que se reciba la aclaración solicitada; una vez proporcionada, el plazo reanuda su cómputo a contar desde la fecha en que se interrumpió.

 

Searches needed to be reasonable and proportionate

La medida de suspensión del plazo (stop the clock) facilita la aplicación de otra disposición ya prevista en el case law, pero ahora codificada expresamente en la DUAA, según la cual los usuarios solo tienen derecho a información relativa al tratamiento de sus datos personales, siempre que el responsable del tratamiento pueda proporcionarla tras realizar una investigación razonable y proporcionada.

 

De este modo, se busca equilibrar los derechos de los interesados con las obligaciones operativas de los responsables del tratamiento, limitando el alcance de las solicitudes de acceso a aquellas búsquedas que resulten factibles y no desproporcionadas.

 

PROCESO DE RECLAMACIONES (DATA PROTECTION)

La DUAA establece que las personas que deseen presentar una reclamación relacionada con el tratamiento de sus datos personales deberán, con carácter previo, dirigirse obligatoriamente al responsable del tratamiento - esto es, a la organización o empresa que trate sus datos - antes de poder elevar dicha reclamación ante la Information Commissioner’s Office(ICO).

 

Asimismo, la DUAA introduce por primera vez la obligación de que los responsables del tratamiento dispongan de un proceso de reclamaciones accesible y transparente que permita a los interesados presentar sus reclamaciones. Según las recomendaciones del ICO, esto puede lograrse mediante las siguientes acciones:

  • Poner a disposición de los usuarios un formulario de reclamaciones para que estos puedan cumplimentarlo y enviarlo por email a la empresa.
  • Habilitar una línea de teléfono para tramitar reclamaciones.
  • Habilitar un portal de reclamaciones en línea.

Si desea recibir más información sobre el resto de medidas introducidas por la DUAA, así como sobre otras actualizaciones relevantes en materia de protección de datos y uso de IA aplicables a empresas que ofrecen bienes y/o servicios a usuarios residentes en el Reino Unido, no dude en ponerse en contacto con nosotros enviando un email a laura.gallego@scornik.com.

 

Written by Laura Gallego Herráez.

Síguenos En

Linked-In Twitter Facebook YouTube Instagram

Contáctanos

t: +44 (0) 207 831 7070

m: +44 (0) 754 066 7073

m: +34 682 110 031

e: london@scornik.com

©2026 Scornik Gerstein LLP - 9-10, Staple Inn, London WC1V 7QH - VAT No. 443944141

We use the word 'partner' to refer to a member of the LLP, or an employee or consultant with equivalent standing and qualifications.