Proyecto de ley sobre uso y acceso a datos (DUA) del Reino Unido: Navegando por los cambios y el cumplimiento con BigID

El Reino Unido Proyecto de ley sobre uso y acceso a datos (DUA) se presentó a la Cámara de los Lores del Reino Unido el 24 de noviembre de 2024 para reformar el marco de protección de datos existente, específicamente la Ley de Protección de Datos, Reglamento sobre Privacidad y Comunicaciones Electrónicas (PECR)y RGPD del Reino UnidoEl Proyecto de Ley DUA busca equilibrar la innovación basada en datos y proteger los derechos de privacidad individual. Sin embargo, podría generar discrepancias con las normas de privacidad de datos de la UE, lo que podría afectar la adecuación de los datos del Reino Unido.

¿Qué es el Proyecto de Ley DUA?

En Proyecto de ley de datos (uso y acceso) Es una propuesta legislativa para establecer un marco para los sistemas de identificación digital y regular el uso y acceso a los datos en el país. El Proyecto de Ley DUA se publicó el 24 de octubre de 2024 para reemplazar el fallido proyecto de ley del gobierno anterior. Proyecto de Ley de Protección de Datos e Información Digital (DPDI).

La DUA tiene como objetivo “Desbloquear el uso seguro y eficaz de los datos para el interés público” A la vez que impulsa el crecimiento económico y mejora la vida de los residentes del Reino Unido, el proyecto de ley busca modernizar las prácticas de datos, promover la innovación digital y garantizar medidas sólidas de protección de datos.

Reformas clave establecidas en el proyecto de ley DUA

El Proyecto de Ley DUA tiene un impacto sustancial en la protección de datos del Reino Unido, centrándose en reducir las cargas regulatorias para las pequeñas y medianas empresas (pymes), simplificar las solicitudes de acceso de los interesados (SAD) y mejorar la armonización con las políticas de datos de la UE. Estos cambios propuestos tienen implicaciones y siguen siendo cruciales para las organizaciones que se preparan para futuros cambios legislativos.

El proyecto de ley DUA propuso varias modificaciones importantes al panorama de protección de datos del Reino Unido:

Intereses legítimos y procesamiento

• Interés legítimo: El Proyecto de Ley propone que los responsables del tratamiento no necesiten realizar una Evaluación de Intereses Legítimos (LIA) cuando el tratamiento se enmarque en «intereses legítimos reconocidos». Estos incluyen escenarios como la salvaguardia de la seguridad nacional, la protección de las personas vulnerables o la respuesta a una emergencia.

Además, el Proyecto de Ley DUA proporciona ejemplos específicos de actividades de tratamiento que pueden considerarse necesarias para intereses legítimos, como el marketing directo, el intercambio interno de datos y la ciberseguridad. El Proyecto de Ley aporta la claridad necesaria, garantizando que los responsables del tratamiento comprendan cuándo pueden basarse legítimamente en intereses legítimos para el tratamiento de datos.

• Tratamiento posterior de datos personales: El Proyecto de Ley refuerza la normativa sobre el tratamiento posterior de datos personales, haciendo hincapié en su compatibilidad con la finalidad original de la recopilación. Las organizaciones deben realizar evaluaciones más rigurosas para garantizar que cualquier nuevo uso de datos personales se ajuste a su propósito inicial.

DSAR y toma de decisiones automatizada

• DSAR: El Proyecto de Ley DUA perfecciona la gestión de las Solicitudes de Acceso de los Interesados (SIR), exigiendo a los responsables del tratamiento realizar búsquedas razonables y proporcionadas, aunque no define estos términos explícitamente. Introduce exenciones para la información protegida por el secreto profesional y aclara los plazos de respuesta basados en la verificación de identidad o detalles adicionales del procesamiento. A diferencia del Proyecto de Ley DPDI, no permite a los responsables del tratamiento rechazar solicitudes de queja, pero ofrece respaldo legal para las limitaciones del alcance de las búsquedas, garantizando que solo estén obligados a proporcionar información con base en un esfuerzo razonable y proporcionado. Esto ofrece mayor claridad y seguridad jurídica a las organizaciones que gestionan el cumplimiento de las SIR.
• Toma de decisiones automatizada: El Proyecto de Ley establece regulaciones más estrictas para las decisiones importantes tomadas exclusivamente mediante procesamiento automatizado, garantizando la equidad y la transparencia en la toma de decisiones algorítmica. Limita la prohibición de la toma de decisiones automatizada a los casos que afectan significativamente a los interesados e involucran datos de categorías especiales. Además, introduce nuevos derechos para los interesados, incluido el derecho a recibir información sobre decisiones automatizadas y a solicitar intervención humana en el proceso de toma de decisiones.

Consentimiento y cookies

• Regulación del consentimiento de cookies: El proyecto de ley modifica el Reglamento sobre la Privacidad y las Comunicaciones Electrónicas (PECR), que tiene como objetivo reducir las ventanas emergentes y los banners de cookies al permitir ciertos tipos de galletas ser colocado sin consentimiento explícito del usuario. Estas incluyen cookies utilizadas para la funcionalidad esencial del sitio web, la seguridad, la prevención del fraude y la medición de audiencia. Además, el proyecto de ley fomenta el desarrollo de configuraciones basadas en el navegador o a nivel de dispositivo que permitan a los usuarios administrar sus preferencias de cookies de manera más efectiva, reduciendo la necesidad de solicitar repetidamente el consentimiento.
• Aclaración del consentimiento: El proyecto de ley define el «consentimiento libremente otorgado» para abordar las preocupaciones sobre los servicios que requieren el consentimiento como condición de acceso. Este cambio promueve una mayor transparencia y prácticas de datos más sencillas para el usuario.
• Investigación científica: El proyecto de ley modifica el RGPD del Reino Unido para permitir que los responsables del tratamiento de datos procesen datos para la investigación científica con el fin de obtener el consentimiento para un área específica de investigación. Esto permite que los interesados consientan solo a ciertos aspectos de la investigación, en lugar de a todo el estudio.

Nuevas incorporaciones del proyecto de ley DUA

El proyecto de ley DUA incluye nuevos elementos no incluidos en el proyecto de ley DPDI, tales como:

• Datos de categoría especial: En virtud de la Cláusula 74, el Secretario de Estado tiene la facultad de emitir reglamentos que amplíen las categorías especiales de datos contempladas en el Artículo 9 del RGPD del Reino Unido. Estos reglamentos pueden introducir nuevas categorías de datos, refinar las condiciones aplicables, prohibir el tratamiento y añadir definiciones para adaptarse a los avances tecnológicos y sociales.
• Datos de los niños: El proyecto de ley DUA refuerza la protección de datos de niños al exigir a la Oficina del Comisionado de Información del Reino Unido (ICO) que priorice la vulnerabilidad de los niños en el procesamiento de datos a la hora de aplicar las leyes de protección de datos.
• Quejas de los interesados: El proyecto de ley DUA exige que los interesados primero presentar quejas Directamente al responsable del tratamiento correspondiente antes de escalarlos a la ICO si no se resuelven, con el objetivo de reducir la carga de trabajo de la ICO. Las organizaciones deben establecer un procedimiento formal de quejas y mantener un registro de quejas sobre protección de datos, que debe compartirse con la ICO si se solicita.
• Transferencias internacionales de datos: El proyecto de ley modifica el RGPD del Reino Unido al permitir que el Secretario de Estado apruebe transferencias de datos utilizando una nueva “prueba de protección de datos”, garantizando que los estándares de otros países no sean significativamente inferiores a los del Reino Unido.
• Servicios de verificación digital: El proyecto de ley establece normas para los servicios de verificación digital, incluyendo un registro de proveedores y un marco de confianza, cuyo objetivo es mejorar la confianza en la verificación de identidad en línea.

Cómo BigID puede ayudar a las organizaciones a alinearse con el proyecto de ley DUA

BigID Permite a las organizaciones cumplir con el nuevo Proyecto de Ley de Uso y Acceso a Datos (DUA) del Reino Unido al proporcionar capacidades avanzadas de descubrimiento, clasificación, gobernanza e inteligencia artificial de datos. Con escaneo y catalogación automatizadosBigID ayuda a las organizaciones a identificar y gestionar datos personales y sensibles, optimizando el cumplimiento de las normativas más estrictas sobre el tratamiento de datos, los intereses legítimos, el consentimiento y los derechos de los interesados. Las capacidades de BigID para la supervisión de la seguridad y el cumplimiento también ayudan a mitigar los riesgos asociados con las transferencias de datos, la toma de decisiones automatizada y la protección de datos de menores, alineando a las organizaciones con los requisitos regulatorios en constante evolución de la Ley DUA.

Con BigID, las organizaciones pueden:

• Obtenga visibilidad de datos: Clasifique, categorice, etiquete y etiquete automáticamente datos personales confidenciales de forma precisa, granular y a escala por persona, sensibilidad, tipo, contexto y contenido.
• Descubrir datos: Descubra y catalogue sus datos confidenciales, incluidos los estructurados, semiestructurados y no estructurados, en entornos locales y en la nube.
• Minimizar datos: Garantice la minimización de datos a través del descubrimiento y correlación de duplicados para eliminar automáticamente datos ROT y reducir su superficie de ataque.
• Automatizar la gestión de derechos de datos: Automatice las solicitudes de cumplimiento de derechos de datos personales individuales, como acceso, actualizaciones, apelaciones y eliminación.
• Administrar el consentimiento y las preferencias universales: Gestione y ajuste el consentimiento y las preferencias de los consumidores de forma universal y centralizada en varios canales con facilidad.
• Optimice la gestión del ciclo de vida de los datos: Aplique un enfoque basado en políticas para automatizar la gestión del ciclo de vida de los datos en la recopilación, retención y eliminación.
• Monitorear las transferencias transfronterizas de datos: Crear políticas y asignar residencia a fuentes de datos y datos de personas para hacer cumplir los requisitos de residencia de datos y monitorear y alertar sobre las transferencias de datos.
• Evaluar el riesgo de privacidad: Iniciar, gestionar, documentar y completar diversas evaluaciones, incluidas PIA, Evaluación de Impacto de la Protección de Datos, IA, TIA, LIA y proveedor, para mantener el cumplimiento y reducir el riesgo.
• Lograr el cumplimiento del proyecto de ley DUA: Optimice los procesos de cumplimiento con capacidades y marcos de privacidad y seguridad de extremo a extremo para aplicar políticas, cumplir con los requisitos regulatorios y proteger datos personales, confidenciales y regulados.

Conéctese con los expertos en privacidad de BigID para ver cómo optimizar la gestión de la privacidad y, al mismo tiempo, fortalecer el cumplimiento. ¡Programe su demostración hoy!

Autor

Verrion Wright

Estrategia y desarrollo de contenidos

Verrion Wright es un ambicioso experto en marketing con más de 20 años de experiencia en marketing de productos, desarrollo de contenidos y estrategia digital. Centrado en la información basada en datos y el marketing integrado, ha ocupado puestos de responsabilidad en diversos sectores, como los servicios informáticos, la privacidad de datos, el marketing y la publicidad (planificación de medios). En BigID, Verrion es el Director de Estrategia y Desarrollo de Contenidos, que ayuda a elevar el contenido a través de todos los pilares, regiones y compradores, creando consistentemente contenido convincente a través de varios medios - incluyendo vídeo, artículos, listas de control, libros blancos y guías.