El proyecto de ley de protección de datos e información digital (DPDI) es la primera legislación importante sobre protección de datos desde que el Reino Unido abandonó la Unión Europea (UE) hace cuatro años. En lugar de reemplazar completamente la legislación existente, el proyecto de ley DPDI revisa el régimen de protección de datos existente en el Reino Unido.
Durante muchos años, el régimen de protección de datos del Reino Unido estuvo alineado con el de la Unión Europea. En 2016 se publicó el Reglamento General de Protección de Datos (GDPR), que supuso un cambio importante en la política de protección de datos de la Unión Europea, que llevaba casi dos décadas sin actualizarse. El RGPD se incorporó a la legislación del Reino Unido como una serie de políticas de protección de datos, en particular la Ley de Protección de Datos de 2018. El RGPD se ha convertido en el estándar de facto para la protección de datos en todo el mundo.
Salir de la UE significó que el Reino Unido ya no formaba parte del régimen de protección de datos de la UE. Sin embargo, como la legislación de protección de datos del Reino Unido se alineó con la de la UE, fue sencillo para el Reino Unido obtener un acuerdo de adecuación de datos, que es esencial para que las organizaciones con sede en la UE compartan datos libremente con aquellos fuera de la UE.
Han pasado dos años desde que el proyecto de ley DPDI se presentó por primera vez ante el Parlamento en 2022, y actualmente se encuentra en la etapa de comité en la Cámara de los Lores.
La Comisión Europea examinará cualquier cambio en las políticas de protección de datos del Reino Unido para confirmar si el acuerdo de adecuación de datos sigue siendo válido. La UE ya ha cuestionado al Reino Unido sobre el carácter intrusivo de la Ley de poderes de investigación de 2016.
El proyecto de ley DPDI introduce un marco regulatorio para la identificación en línea, llamado servicios de verificación digital, pero sin ningún requisito legal para la aplicación de las identificaciones en línea. Si bien las políticas básicas de protección de datos del Reino Unido siguen aproximadamente en línea con las de la UE, la DPDI flexibiliza algunos de los elementos regulatorios. Sin embargo, esto sólo es aplicable a aquellas organizaciones que no operan dentro de la UE.
“Si tienes una empresa que también opera en la UE, entonces en realidad tienes dos regímenes que eran iguales, pero que ahora empiezan a divergir en ciertas áreas”, dice Daniel Tozer, socio especializado en una ley de tecnología y datos para Keystone Law.
Uno de los cambios propuestos es la eliminación del requisito de evaluaciones de impacto de la protección de datos. En cambio, se espera que las organizaciones lleven a cabo evaluaciones de procesamiento de alto riesgo.
“Aún será necesario realizar evaluaciones, en las que el procesamiento de datos implica un alto riesgo, pero habrá más flexibilidad en cuanto a cómo realizarlas. No será necesario seguir plantillas o requisitos específicos”, afirma Anthony Lee, socio especializado en tecnología de la información de Gunnercooke. “Muchas empresas lo verán como algo bueno, ya que reducirá la carga de cumplimiento”.
Uno de los cambios principales es que el proyecto de ley DPDI elimina la necesidad de un delegado de protección de datos (DPO). En cambio, las funciones del DPO pueden asignarse a las de una persona responsable de alto nivel, como un director de información (CIO) o un director de marketing (CMO).
La posibilidad de eliminar el DPO tiene impactos tanto positivos como negativos. Actualmente, el DPO es una figura independiente dentro del equipo ejecutivo que es responsable de garantizar que se sigan las políticas de protección de datos adecuadas. Sin embargo, en la mayoría de los casos, las autoridades de protección de datos querrán hablar con las personas responsables del procesamiento de datos, como el director de información antes mencionado, por lo que tiene sentido combinar las funciones.
“El propósito principal del individuo responsable de alto nivel es que sea alguien que tome las decisiones, por ejemplo, sobre cómo usar una lista de marketing o qué conjuntos de datos usar para análisis”, dice Tozer. “Estas son las personas que dicen sí o no a esas cosas, por lo que se puede entender por qué, desde esa posición, son la persona con la que la ICO quiere poder hablar”.
Sin embargo, también existe el argumento de que combinar las funciones de un DPO con las de CIO o CMO podría generar conflictos de intereses. Incluso si se delegaran las funciones del responsable superior, habría un conflicto entre querer maximizar la usabilidad de los datos y garantizar el pleno cumplimiento de las políticas de protección de datos.
La DPDI ha flexibilizado algunas de las políticas de protección de datos relativas al procesamiento automatizado de datos sin el consentimiento del interesado, siempre que no tenga un impacto significativo sobre el propio interesado.
El proyecto de ley DPDI también reemplazaría la Oficina del Comisionado de Información (ICO) por la Comisión de Información. Si bien el organismo público perdería parte de su independencia y neutralidad, debido a que el secretario de Estado designa al comisionado jefe, también tendría mayores poderes y podría asignar mayores multas por violaciones de datos y incumplimiento de las normas de protección de datos.
En el borrador actual del proyecto de ley DPDI, gran parte de la redacción relativa a los cambios no es tan clara como podría haber sido. El uso de terminología subjetiva deja cierta ambigüedad en una serie de áreas sobre lo que estaría y no estaría permitido en relación con el procesamiento de datos dentro del Reino Unido.
“Podemos esperar que los casos de prueba aparezcan rápidamente en los tribunales del Reino Unido. La ICO probablemente estará particularmente interesada en la toma de decisiones automatizada, porque muchas empresas utilizan alguna forma de toma de decisiones automatizada en sus prácticas”, dice Tozer.
¿El proyecto de ley DPDI cumplirá con los estándares de la UE?
Los cambios que el proyecto de ley DPDI traerá al régimen de protección de datos del Reino Unido sólo afectarían a aquellas organizaciones que operan dentro del país. Si una organización opera en un país europeo, aún se espera que cumpla con el RGPD. Dado que muchas organizaciones con sede en el Reino Unido operan en países europeos, esta legislación tendrá un impacto insignificante en las empresas.
“Si una empresa tiene operaciones en el Reino Unido y Europa, probablemente tendrá sentido seguir cumpliendo con el RGPD en todos los ámbitos en lugar de tener un conjunto de procedimientos para el Reino Unido y otro diferente para Europa”, afirma Lee.
Un riesgo adicional es que si la Comisión Europea considera que el régimen de protección de datos del Reino Unido se ha visto notablemente debilitado por el proyecto de ley DPDI, entonces el Reino Unido podría perder su acuerdo de adecuación de datos. Si esto sucediera, cualquier empresa que opere dentro de la UE y necesite compartir datos con una empresa en el Reino Unido necesitaría acuerdos contractuales para compartir datos.
“Si se aprueba el proyecto de ley, en su forma actual, se podría ver al Reino Unido potencialmente perdiendo su estatus de adecuación porque la Comisión Europea considera que la nueva ley no es esencialmente equivalente al GDPR o podría haber un desafío tipo Schrems. ”, dice Lee.
“Si eso sucede, entonces la transferencia de datos de países como Francia o Alemania al Reino Unido tendría que realizarse a través de cláusulas contractuales estándar u otra forma de marco de adecuación con todo lo que eso implica. Eso causará preocupación, y es posible que las empresas en los países europeos estén menos dispuestas a permitir que sus datos se trasladen al Reino Unido por temor a no cumplir con las normas”.
Si el Reino Unido perdiera su acuerdo de adecuación de datos, esto generaría mayores costos para las empresas que brindan datos y servicios al Reino Unido e incluso podría resultar en que se nieguen a operar dentro del país, debido al aumento de las obligaciones legales y contractuales que se esperan de ellas.
“La New Economics Foundation ha estimado que perder la decisión de adecuación costará entre 1.000 y 1.600 millones de libras sólo en honorarios legales”, dice Mariano delli Santi, responsable jurídico y de políticas del Open Rights Group. “Esto sería sólo para que el abogado revise sus contratos y cambie las cláusulas”.
El proyecto de ley DPDI se encuentra actualmente en trámite en el Parlamento, pero no se garantiza su incorporación a la legislación del Reino Unido. Reclamar algunos beneficios del Brexit –a través de la flexibilización de los requisitos regulatorios– ha sido un foco reciente de las políticas de la actual administración. Sin embargo, con el inminente receso de verano en julio y las elecciones generales previstas antes de fin de año, esto no está de ninguna manera garantizado.
Si el proyecto de ley DPDI no recibe la aprobación real en el momento de las elecciones generales, es posible que no entre en vigor. El Partido Laborista lidera actualmente las encuestas de opinión del Reino Unido y, como sus políticas difieren de las del Partido Conservador, es posible que el proyecto de ley DPDI no siga adelante o que adopte una forma diferente.
El proyecto de ley DPDI ofrece algunos beneficios regulatorios limitados para las organizaciones, especialmente las nuevas y las pequeñas y medianas empresas (PYME), que operan únicamente en el Reino Unido. Sin embargo, cualquier empresa que se expanda a la UE aún necesitaría endurecer sus políticas de protección de datos para cumplir con los estándares del GDPR.
“Existe un riesgo real de que el proyecto de ley no llegue a los estatutos antes de las próximas elecciones generales. Si tenemos una administración laborista en el otro lado de las elecciones, lo que parece cada vez más probable, es posible que abandone el proyecto de ley”, dice Lee.
“Dadas las circunstancias, probablemente tenga sentido seguir cumpliendo con el régimen actual, especialmente si su negocio tiene un carácter internacional, en lugar de invertir tiempo y recursos en prepararse para una legislación que tal vez nunca vea la luz”. día.”