El GDPR, privacidad de datos para los ciudadanos británicos

El Reglamento General de Protección de Datos del Reino Unido, también conocido como GDPR del Reino Unido para abreviar, es una ley británica de protección de datos que se adoptó recientemente el 1 de enero de 2021. Dado que el Reino Unido abandonó recientemente la Unión Europea a finales de 2020 y, por lo tanto, ya no está bajo la jurisdicción del Reglamento General de Protección de Datos o GDPR, el país necesitaba hacer ligeras modificaciones en las formas en que protegía los derechos de los datos personales de sus ciudadanos. Con este fin, la ley GDPR del Reino Unido refleja en gran medida la ley GDPR de la UE, aunque con algunos cambios en el ámbito territorial de la ley, así como en algunas disposiciones.

¿Cuál es el ámbito de aplicación del GDPR del Reino Unido?

En términos de alcance y aplicabilidad del GDPR del Reino Unido, la ley se aplica al tratamiento de datos personales en las siguientes circunstancias:

• Cuando el tratamiento de datos se lleve a cabo en el contexto de actividades relacionadas con un establecimiento de un responsable o encargado del tratamiento, en un país o territorio que no sea un Estado miembro de la UE, independientemente de que dicho tratamiento de datos tenga lugar o no en dicho país o territorio.
• Los datos personales pertenecen a un interesado que se encuentra en el Reino Unido cuando tiene lugar el tratamiento de datos.
• Las actividades de tratamiento de datos están relacionadas con la oferta de bienes o servicios en el Reino Unido, tanto si dicha oferta es de pago como si no, y con el seguimiento del comportamiento de un interesado en el Reino Unido.

En lo que respecta al ámbito de aplicación material y personal de la ley, el GDPR del Reino Unido no presenta ninguna variación nacional con respecto al Reglamento general de protección de datos, ya que el ámbito de aplicación material y personal de este último sigue siendo coherente con el primero.

¿Cuáles son los requisitos de los responsables del tratamiento de datos con arreglo al GDPR del Reino Unido?

De conformidad con la ley GDPR de la UE, el GDPR del Reino Unido adopta los mismos principios de datos en lo que respecta a la salvaguardia de los datos personales de los interesados. Estos principios de datos incluyen la transparencia, la limitación de la finalidad, la limitación del almacenamiento, la minimización de los datos, la exactitud, la integridad y la confidencialidad, y la responsabilidad. Por otra parte, hay varios cambios que se hicieron en relación con las obligaciones de los controladores de datos en virtud del GDPR del Reino Unido. Estos cambios incluyen:

• Notificación de procesamiento de datos– Bajo el GDPR del Reino Unido, los controladores de datos están obligados tanto a registrarse en la Oficina del Comisionado de Información o ICO para abreviar, como a pagar una tarifa anual de protección de datos que oscila entre £ 40 ($ 54) y £ 2,900 ($ 3,931). Esta gama de precios se basa en los distintos niveles en los que un controlador de datos concreto estará sujeto a la ley, dependiendo de una serie de factores como el número de empleados, la facturación anual de la empresa u organización y si el controlador de datos en cuestión es una organización benéfica, una autoridad pública o una entidad comercial. Por otra parte, hay algunas empresas y organizaciones que están exentas de esta tasa, como las organizaciones sin ánimo de lucro y las funciones judiciales.
• Transferencias de datos– El GDPR británico impone mayores restricciones a la transferencia de datos personales a terceros. En virtud de la ley, estas transferencias sólo se permiten cuando son necesarias para fines policiales, cuando la transferencia se basa en la constatación de medidas adecuadas de protección de datos con respecto a un tercer país, o cuando existen otras garantías apropiadas, cuando la transferencia se realiza en circunstancias especiales especificadas, o cuando la transferencia está relacionada con una autoridad competente u organización internacional en un tercer país, como un organismo internacional que desempeña funciones relacionadas con la aplicación de la ley.
• Datos de menores– En virtud del GDPR del Reino Unido, la edad de consentimiento en relación con los servicios de la sociedad de la información se rebaja de 16 a 13 años. De este modo, cuando los responsables del tratamiento recojan, traten o divulguen datos personales de niños menores de 13 años, “deberá obtenerse el consentimiento del titular de la patria potestad del niño para que el tratamiento sea lícito”.
• Categorías especiales de datos personales – De forma similar a la ley GDPR de la UE, la GDPR del Reino Unido prohíbe el tratamiento de categorías especiales de datos personales, a menos que este tratamiento de datos se encuentre dentro de los límites enumerados dentro de las excepciones señaladas por la ley. Algunas de estas excepciones incluyen cuando “el tratamiento es necesario por razones de interés público en el ámbito de la salud pública sobre la base de la legislación nacional” o “el tratamiento es necesario por razones de interés público sustancial sobre la base de la legislación nacional”.

¿Cuáles son los derechos de los interesados en virtud del GDPR del Reino Unido?

Al igual que ocurre con el ámbito de aplicación de la ley, así como con las obligaciones de los responsables del tratamiento, los derechos de los interesados en virtud del GDPR del Reino Unido son en gran medida similares a los que se ofrecen a los interesados en virtud de la ley GDPR de la UE. Estos derechos incluyen el derecho a ser informado, el derecho de acceso, rectificación, supresión, portabilidad de datos, el derecho a no ser objeto de decisiones automatizadas y el derecho de oposición o exclusión voluntaria. Sin embargo, hay algunas variaciones entre las dos leyes en lo que respecta a los derechos que se ofrecen a los interesados. Estas variaciones en relación con el GDPR del Reino Unido incluyen:

• El derecho a ser informado– El GDPR del Reino Unido otorga a los sujetos de datos el derecho a ser informados en lo que respecta a la recopilación, el procesamiento y la divulgación de sus datos personales. Sin embargo, el GDPR del Reino Unido incluye otras excepciones a este derecho, como “conflictos con fines periodísticos, académicos, artísticos o literarios, que son de interés público” o casos en los que la divulgación de datos personales “expondría a una persona a procedimientos por un delito al revelar pruebas de la comisión de dicho delito”.
• Derecho de acceso– El GDPR del Reino Unido otorga a los interesados el derecho de acceder a cualquier dato personal que un responsable del tratamiento pueda poseer sobre ellos, sujeto a ciertas excepciones. Algunas de estas excepciones incluyen los casos en los que el acceso a los datos personales de un interesado “afectaría al precio de un instrumento de financiación empresarial o a la decisión de actuar con él” o “perjudicaría el correcto desempeño de determinadas funciones del Banco de Inglaterra”.
• Derecho de rectificación– El GDPR británico otorga a los interesados el derecho a rectificar sus datos personales, sujeto a varias exenciones. Algunas de estas exenciones incluyen las solicitudes de rectificación que “perjudicarían el correcto desempeño de una función específica diseñada para proteger al público” o “impedirían el cumplimiento de una obligación legal de divulgar los datos personales”.

¿Cuáles son las sanciones por infringir el GDPR del Reino Unido?

Aunque el GDPR del Reino Unido refleja muchas de las disposiciones y regulaciones de la ley GDPR de la UE, el Reino Unido obviamente necesitaba una nueva forma de castigar a los controladores de datos que se encontraron en violación debido a la decisión del país de abandonar la UE en 2020. Como tal, la Oficina del Comisionado de Información o ICO tiene la autoridad para hacer cumplir el RGPD del Reino Unido, y los controladores de datos que se encuentren en incumplimiento de la ley están sujetos a sanciones monetarias similares a las impuestas en virtud del Reglamento General de Protección de Datos de la UE, que incluye “a cantidad máxima más alta es de 17,520 millones de libras esterlinas o el 4% del volumen de negocios anual mundial (lo que sea mayor) y la cantidad máxima estándar es de 8,710 millones de libras esterlinas o el 2% del volumen de negocios anual mundial, dependiendo de la disposición infringida”.

Como el Reino Unido tomó la decisión innovadora de abandonar la Unión Europea a finales de 2020, posteriormente necesitaron crear un marco jurídico que proporcionara el mismo nivel de protección de datos a los ciudadanos británicos que los ofrecidos a los ciudadanos de los Estados miembros de la UE en virtud del Reglamento General de Protección de Datos. Así, en enero de este año se aprobó el RGPD del Reino Unido, con el fin de lograr exactamente este objetivo. A su vez, los interesados del Reino Unido pueden estar seguros de que sus datos personales y su privacidad siguen estando protegidos en todo momento, a pesar de que ya no forman parte de la UE.