El proyecto de ley de datos (uso y acceso) del Reino Unido: ¿una nueva era para la protección de datos o un paso atrás?

La introducción del proyecto de ley de datos (uso y acceso) en el Parlamento británico el 3 de octubre de 2024 representa un momento significativo en la evolución del marco de protección de datos del Reino Unido. Aunque el proyecto de ley promete una mayor claridad en torno a los intereses legítimos, el tratamiento secundario y la toma de decisiones automatizada, también plantea dudas sobre si estos cambios realmente promueven los principios de la protección de datos o simplemente simplifican las operaciones empresariales a costa de la privacidad de las personas.


En este artículo de opinión sostendré que, aunque el proyecto de ley contiene disposiciones que podrían mejorar la eficiencia del tratamiento de datos, existe el riesgo de que diluya las mismas salvaguardias que la legislación de protección de datos fue diseñada para hacer cumplir. El equilibrio entre el crecimiento económico, la innovación y la protección de los derechos individuales es delicado, y este proyecto de ley, en mi opinión, se inclina demasiado a favor de los intereses empresariales sobre la privacidad.

Intereses legítimos reconocidos: ¿Un precedente arriesgado?

Una de las principales características del proyecto de ley es la introducción de una lista de "intereses legítimos reconocidos" que permiten el tratamiento de datos personales sin necesidad de consentimiento explícito. Estos intereses incluyen asuntos como la seguridad nacional, la seguridad pública y la prevención de la delincuencia, causas nobles, sin duda. Pero también abre la puerta a interpretaciones más amplias de lo que constituye un "interés legítimo".


La preocupación aquí radica en cómo se aplican estos intereses legítimos en la práctica. Aunque la protección de las personas vulnerables y la respuesta a las emergencias son incuestionablemente importantes, la ampliación del alcance de los intereses legítimos corre el riesgo de debilitar el requisito de que las organizaciones obtengan el consentimiento explícito en situaciones en las que tradicionalmente sería necesario. La vaguedad en torno a lo que constituye una emergencia o una amenaza para la seguridad nacional podría, con el tiempo, erosionar el propio concepto de consentimiento y dar a los responsables del tratamiento demasiado margen de maniobra.


En mi opinión, esta disposición podría sentar un peligroso precedente, permitiendo a las organizaciones eludir los derechos de las personas en nombre de supuestos intereses legítimos. El proyecto de ley necesita definiciones más precisas y límites más claros en torno a estos intereses, garantizando que se utilicen con moderación y transparencia.

Tratamiento secundario: ¿Compatibilidad o extralimitación?

Otro cambio notable del proyecto de ley es la autorización del tratamiento secundario de datos para fines que se consideren compatibles con el motivo original de la recogida. A primera vista, esto parece razonable, ya que permite un uso flexible de los datos que beneficie tanto al responsable del tratamiento como al interesado. Sin embargo, los criterios de lo que se considera "compatible" son algo ambiguos.


El proyecto de ley enumera varias circunstancias en las que el tratamiento secundario se consideraría compatible, como la protección de intereses vitales, la salvaguarda de personas vulnerables o el cumplimiento de obligaciones fiscales. Parecen excepciones razonables, pero la cuestión clave es la posibilidad de extralimitación. Una vez que se permite el tratamiento secundario por determinados motivos, resulta más fácil ampliar la lista de excepciones con el tiempo.


En mi opinión, se trata de una pendiente resbaladiza. Sin límites estrictos al tratamiento secundario, corremos el riesgo de normalizar la reutilización de los datos personales de maneras que nunca fueron previstas por la persona cuando proporcionó sus datos originalmente. Esto podría erosionar la confianza en los responsables del tratamiento de datos, lo que llevaría a las personas a dudar más a la hora de compartir información personal.

Toma de decisiones automatizada: ¿Guardias o lagunas?

El proyecto de ley introduce requisitos para la toma de decisiones automatizada, en particular en los casos en que las decisiones tienen efectos jurídicos significativos o de importancia similar sobre las personas. Aunque se trata de un paso positivo para abordar el creciente papel de la IA y los algoritmos en la toma de decisiones, las exenciones del proyecto de ley para determinadas decisiones suscitan preocupación.


En concreto, el proyecto de ley permite excepciones en casos relacionados con la seguridad pública, la prevención del delito y la seguridad nacional. Aunque estas excepciones pueden estar justificadas, también crean posibles lagunas en las que las organizaciones podrían basarse en la toma de decisiones automatizada sin la supervisión adecuada. Las salvaguardias para decisiones importantes, como permitir a las personas solicitar la intervención humana o impugnar decisiones, son encomiables, pero las exenciones podrían socavar estas protecciones.


En mi opinión, la introducción de normas para la toma de decisiones automatizadas es necesaria desde hace tiempo, pero las exenciones del proyecto de ley corren el riesgo de crear un sistema de dos niveles, en el que las personas afectadas por determinados tipos de decisiones reciban menos protección que otras. Esto podría conducir a una creciente desconfianza en los sistemas automatizados, especialmente en ámbitos sensibles como la aplicación de la ley o la seguridad pública.

Transferencias internacionales de datos: ¿Conseguir el equilibrio adecuado?

Uno de los aspectos más polémicos de la protección de datos es la cuestión de las transferencias internacionales de datos. El proyecto de ley introduce una "prueba de protección de datos" para aprobar las transferencias de datos a terceros países u organizaciones internacionales. Aunque esta prueba simplifica el proceso en comparación con la anterior norma "esencialmente equivalente" del RGPD, también suscita preocupación por la reducción del nivel de protección.


La nueva norma, que exige que los terceros países ofrezcan una protección "no sustancialmente inferior" a la del Reino Unido, es menos estricta que el planteamiento anterior. Aunque esto puede facilitar los flujos internacionales de datos, también corre el riesgo de debilitar la protección de los ciudadanos británicos cuyos datos se transfieren al extranjero. Dado el deseo del Reino Unido de posicionarse como centro neurálgico del comercio digital, existe el riesgo de que esta relajación de las normas se perciba como una priorización de los intereses empresariales sobre los derechos individuales.


En mi opinión, el Reino Unido debe ser prudente a la hora de aplicar esta nueva norma. Aunque los flujos internacionales de datos son fundamentales para el comercio moderno, no deben ir en detrimento de la privacidad de las personas. El gobierno debe garantizar que cualquier acuerdo con terceros países proporcione protecciones sólidas y que la "prueba de protección de datos" se aplique con rigor.

Conclusión: ¿Un paso demasiado lejos?

El proyecto de Ley de Datos (Uso y Acceso) es sin duda un paso adelante en la racionalización de los procesos de protección de datos y en la aplicación de prácticas de tratamiento de datos más eficientes. Sin embargo, el hecho de que se centre en los intereses de las empresas, ya sea mediante la ampliación de los intereses legítimos, el tratamiento secundario o la relajación de las normas para las transferencias internacionales de datos, suscita gran preocupación por la erosión de los derechos individuales a la privacidad.


En mi opinión, el proyecto de ley inclina la balanza demasiado a favor de los intereses empresariales y gubernamentales. Aunque el crecimiento económico y la innovación son esenciales, no deben ir en detrimento de la privacidad y la confianza que las leyes de protección de datos están diseñadas para salvaguardar. El proyecto de ley debe modificarse para hacer más estrictas las definiciones en torno a los intereses legítimos, garantizar que el tratamiento secundario siga siendo la excepción y no la regla, y mantener las normas más estrictas para las transferencias internacionales de datos.


A medida que el proyecto de ley avanza en el Parlamento, es fundamental que los legisladores encuentren el equilibrio adecuado entre el fomento de la innovación y la protección de los derechos de privacidad de las personas. Si no se logra este equilibrio, el Reino Unido corre el riesgo de socavar su reputación como líder en protección de datos y, lo que es más importante, de perder la confianza de sus ciudadanos.

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.