Cuando el RGPD entró en vigor en mayo de 2018, el Reino Unido todavía era un estado miembro de la UE. Aunque las negociaciones para la salida del Reino Unido de la UE (Brexit) habían estado en curso desde el referéndum de 2016, el Reino Unido seguía obligado a cumplir con el GDPR.
Sin embargo, tras el periodo de transición, el Reino Unido dejó de ser un Estado miembro de la UE el 31 de diciembre de 2020.
Eso ha generado una confusión significativa sobre si las organizaciones del Reino Unido aún deben cumplir con el GDPR. Y también, lo que sustituye al GDPR en la legislación del Reino Unido.
Para aclarar cualquier confusión restante, explicaremos cómo se relaciona ahora el GDPR con el Reino Unido en este artículo. También discutiremos el estado actual de la legislación de protección de datos del Reino Unido.
¿Se aplica el RGPD al Reino Unido?
A partir del 1 de enero de 2021, el RGPD de la UE ya no se aplica plenamente en el Reino Unido. Sin embargo, el Reino Unido, como todos los países no pertenecientes a la UE, sigue estando sujeto a los efectos extraterritoriales del RGPD.
Dos efectos extraterritoriales principales afectan a las organizaciones no comunitarias:
- Al vender bienes y servicios a ciudadanos de la UE. En este caso, la recopilación de datos personales sigue estando regulada y debe estar de acuerdo con el RGPD. Eso significa seguir los siete principios básicos y garantizar que el consentimiento se dé activamente.
- El seguimiento de la actividad del usuario también está cubierto, por ejemplo, la recopilación de cookies. Aquí, cualquier dato recopilado para monitorear a un ciudadano de la UE debe seguir el GDPR.
El incumplimiento del RGPD al pie de la letra dará lugar a una multa de 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. Para las organizaciones del Reino Unido, es más probable que esto sea castigado en los tribunales, dada la reciente adherencia a la legislación de la UE.
Esto no se aplica a las organizaciones del Reino Unido que no atienden a ciudadanos de la UE, por ejemplo, un restaurante local. Tampoco se aplica a las comunicaciones personales o familiares.
¿Qué ha sustituido al RGPD de la UE?
En preparación para el Brexit, el gobierno del Reino Unido transfirió gran parte de la legislación de la UE a la legislación del Reino Unido. Eso incluye el RGPD de la UE. En 2018, la Ley de Protección de Datos (DPA) ya incorporó los requisitos del RGPD de la UE a la legislación del Reino Unido. Sin embargo, se realizaron nuevas modificaciones a la DPA (2018) con la DPPEC (Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE)) en 2019. Esta legislación fusionó la DPA (2018) con el GDPR de la UE para crear un nuevo régimen de protección de datos específico del Reino Unido.
Esto se conoce como el GDPR del Reino Unido.
It’s easy to be compliant with CookieHub
Sign up today and create a custom cookie banner for your website
- 30 day free trial
- No credit card required
¿Qué es el RGPD del Reino Unido?
El RGPD del Reino Unido es una legislación independiente, distinta del RGPD de la UE. Sin embargo, el GDPR del Reino Unido comparte muchos de los mismos principios, derechos y obligaciones clave debido a su historia. Al igual que el RGPD de la UE, el RGPD del Reino Unido tiene dos principios clave:
- Las organizaciones que recopilan datos personales de ciudadanos del Reino Unido deben asegurarse de que se hagan de manera limitada y segura. Esto reduce la recopilación masiva de datos y evita la probabilidad de violaciones de datos.
- Los ciudadanos del Reino Unido tienen derecho a dar su consentimiento para la recopilación de datos y pueden rescindir su consentimiento en un momento posterior. Deben estar debidamente informados sobre cómo se utilizan sus datos antes de que puedan tomar una decisión.
El GDPR del Reino Unido también tiene implicaciones para las organizaciones que no son del Reino Unido. Al igual que el RGPD de la UE, el RGPD del Reino Unido ejerce un «efecto extraterritorial». Eso significa que las organizaciones ubicadas fuera del Reino Unido deben seguir el GDPR del Reino Unido en las siguientes circunstancias:
– Si comercializan bienes o servicios a ciudadanos con sede en el Reino Unido (ya sea de pago o gratis).
– Si monitorean el comportamiento en línea de los ciudadanos del Reino Unido cuando acceden a su sitio web.
En ambos casos, los datos personales de los ciudadanos del Reino Unido están sujetos a una legislación estricta. Por lo tanto, las empresas tanto en el Reino Unido como en la UE deben cumplir con el RGPD del Reino Unido y la UE, aunque ambos estén regulados por separado.
Una vez más, al igual que el GDPR de la UE, hay algunas excepciones notables. El RGPD del Reino Unido no regula las comunicaciones personales ni las empresas que no atiendan a los ciudadanos del Reino Unido. Por ejemplo, una librería local en Praga, Chequia.
¿Qué ocurre si no cumples con el RGPD del Reino Unido?
El incumplimiento del RGPD del Reino Unido también da lugar a multas: 17,5 millones de libras esterlinas o el 4% de la facturación global anual, lo que sea mayor. Esa no es la lista completa de posibles actividades de observancia. La Oficina del Comisionado de Información del Reino Unido (ICO) también se reserva el derecho de hacer cumplir las infracciones del RGPD del Reino Unido a través de otros medios, incluidos:
– Emitir advertencias y reprimendas
– Imponer una prohibición temporal o permanente del tratamiento de datos
– Ordenar la rectificación, limitación o supresión de los datos
– Suspender las transferencias de datos a terceros países
El GDPR del Reino Unido también clasifica las infracciones y emite diferentes niveles de sanciones. Hay dos niveles de penalización:
- Nivel inferior. Multas de hasta 8,7 millones o el 2% de la facturación global anual. Dictadas por las siguientes infracciones de artículos:
un. Artículo 8: Condiciones para el consentimiento de los niños
b. Artículo 11: Tratamiento que no requiere identificación
c. Artículos 25 a 39: Obligaciones generales de los encargados y responsables del tratamiento
d. Artículo 42: Certificación
e. Artículo 43: Organismos de certificación - Nivel superior. Multas de hasta 17,5 millones de libras esterlinas o el 4% de la facturación global anual. Problemas por las siguientes infracciones de artículos:
un. Artículo 5: Principios de tratamiento de datos
b. Artículo 6: Licitud del tratamiento
c. Artículo 7: Condiciones para el consentimiento
d. Artículo 9: Tratamiento de categorías especiales de datos
e. Artículos 12 a 22: Derechos de los interesados
f. Artículos 44 a 49: Transferencias de datos a terceros países u organizaciones internacionales
Conclusión
En resumen: en preparación para el Brexit, el gobierno del Reino Unido transfirió y consolidó la legislación existente al GDPR del Reino Unido. Este reglamento refleja el RGPD de la UE en muchos aspectos. Requiere que las organizaciones no británicas cumplan con la ley al recopilar y utilizar datos de ciudadanos del Reino Unido.
Por lo tanto, las empresas deben familiarizarse con la legislación y sus requisitos.
Fuentes:
https://www.itgovernance.co.uk/dpa-and-gdpr-penalties
https://ico.org.uk/for-organisations/dp-at-the-end-of-the-transition-period/data-protection-and-the-eu-in-detail/the-uk-gdpr/
https://article27representative.eu/brexit/brexit-and-the-gdpr/
https://www.itgovernance.co.uk/eu-gdpr-uk-dpa-2018-uk-gdpr
https://www.legislation.gov.uk/uksi/2019/419/introduction/made
https://www.gdpr.associates/gdpr-brexit/
Are you compliant?
CookieHub automatically scans your website to detect cookies, ensuring all cookies are easily managed.