Articles
Educacion
La Ley de Datos (Uso y Acceso) de 2025: Todo lo que las empresas deben saber
Educacion
Nuevo

La Ley de Datos (Uso y Acceso) de 2025: Todo lo que las empresas deben saber

Publicado  

12/9/2025

por 

Ali Talip Pınarbaşı

7
min lectura

Published  

December 9, 2025

by 

Ali Talip Pınarbaşı

10 min read
Resumen

Si bien el Reino Unido abandonó oficialmente la UE a finales de 2020, sus esfuerzos por modernizar el marco británico de protección de datos solo han llegado a buen término recientemente. El 19 de junio de 2025, el Data Use and Access Act 2025 (DUAA 2025) recibió la sanción real (royal assent) y se convirtió en ley.

Varias disposiciones técnicas entraron en vigor entre junio y septiembre de 2025. Sin embargo, muchas de las reformas que tendrán implicaciones materiales para las empresas (cookies, intereses legítimos reconocidos y algunos cambios en la toma de decisiones automatizada) se introducirán progresivamente mediante regulaciones de entrada en vigor (commencement regulations) durante los próximos meses.

En conjunto, la DUAA introduce modificaciones notables en los tres pilares clave del marco legal británico de protección de datos: el UK GDPR, la UK Data Protection Act 2018 y el PECR. Por ejemplo, la DUAA introduce nuevas reglas de consentimiento para cookies, flexibiliza las restricciones sobre la toma de decisiones automatizada y establece un sistema de verificación digital.

Si tu organización opera en el Reino Unido o proporciona productos o servicios a personas u organizaciones con sede en el Reino Unido, es esencial comprender los cambios introducidos por la DUAA.

En este artículo, cubrimos cuáles son los cambios clave en la legislación británica de protección de datos bajo la DUAA 2025, cuándo entrarán en vigor los nuevos cambios y cómo impactará la DUAA 2025 en cookies, consentimiento y tracking online. Sigue leyendo para descubrir cómo la DUAA 2025 puede afectar a tus operaciones comerciales en el Reino Unido.

¿Cuáles son los cambios clave en la legislación británica de protección de datos bajo la DUAA 2025?

Aunque su nombre podría sugerir que la DUAA es una ley completamente nueva que reemplaza al UK GDPR, no lo es. En su lugar, modifica disposiciones específicas del UK GDPR, la Data Protection Act 2018 y las Privacy and Electronic Communications Regulations (PECR).

Veamos más de cerca los principales cambios introducidos por la DUAA 2025.

Reglas de consentimiento de cookies actualizadas

La Data (Use and Access) Act 2025 permitirá que los proveedores de servicios de la sociedad de la información, como sitios web y apps móviles, instalen ciertas cookies de bajo riesgo, como cookies estadísticas, sin obtener el consentimiento previo del usuario. Por ejemplo, los sitios web podrán utilizar cookies que recopilan información sobre cómo los visitantes interactúan con el sitio con el objetivo de mejorar su funcionalidad o servicios. Las cookies utilizadas para adaptar la apariencia o funciones de un sitio web a las preferencias de los usuarios también podrán activarse por defecto sin consentimiento previo.

Sin embargo, la instalación de estas cookies en los dispositivos de los usuarios seguirá estando sujeta a otras obligaciones de cumplimiento. Las organizaciones deberán seguir proporcionando información clara sobre el propósito y uso de las cookies y permitir que los usuarios puedan optar por rechazarlas en cualquier momento.

Aunque estos cambios flexibilizan las reglas para ciertas cookies de bajo riesgo y tecnologías similares, las cookies publicitarias y la mayoría de las herramientas de tracking utilizadas para perfilado, así como las cookies de redes sociales, seguirán requiriendo consentimiento bajo el PECR y el UK GDPR.

Aumento de las multas bajo PECR

La Information Commissioner’s Office (ICO) ahora tendrá la capacidad de imponer multas de hasta 17,5 millones de libras o el 4% de la facturación anual global, alineando así las sanciones bajo PECR con el UK GDPR. Esto supone un aumento sustancial frente al máximo anterior de 500.000 libras.

Reglas revisadas sobre toma de decisiones automatizadas

Anteriormente, en virtud del artículo 22 del RGPD del Reino Unido, las personas tenían derecho a no estar sujetas a decisiones exclusivamente automatizadas, incluida la elaboración de perfiles, cuando esas decisiones tuvieran efectos legales o de importancia similar, con ciertas excepciones.

La DUAA elimina esta prohibición general. La toma de decisiones automatizadas y el perfilado que produzcan efectos significativos estarán ahora permitidos en la mayoría de los casos. Una excepción clave aplica cuando la decisión se basa en datos de categoría especial, como salud, origen étnico o datos biométricos.

Aunque estas decisiones ya no están sujetas a restricciones amplias, las organizaciones deberán seguir aplicando ciertas salvaguardas. Por ejemplo, las personas deberán poder solicitar que un humano revise la decisión, impugnarla y recibir información clara que explique cómo se toman estas decisiones.

Nuevos intereses legítimos reconocidos

La DUAA amplía el alcance de los intereses legítimos como base legal al introducir los intereses legítimos reconocidos.

Cuando un propósito de una actividad de tratamiento encaje dentro de una de estas categorías reconocidas, las organizaciones podrán basarse en intereses legítimos sin tener que llevar a cabo una evaluación completa de interés legítimo, si dicho tratamiento es necesario para ese propósito concreto. Entre los ejemplos de intereses legítimos reconocidos se encuentran la prevención y detección de delitos y situaciones de emergencia, tal como se establece en el Anexo 4 de la DUAA.

El Secretario de Estado activará esta disposición y tendrá además el poder de añadir o eliminar intereses legítimos reconocidos. Por tanto, las empresas deberían seguir de cerca las evoluciones en este ámbito.

Procedimiento de reclamaciones más estricto

Bajo la DUAA 2025, los interesados tendrán derecho a presentar una reclamación ante un responsable del tratamiento basándose en que dicho responsable ha infringido el UK GDPR o la Parte 3 de la DUAA.

Los responsables deberán facilitar las reclamaciones tomando medidas apropiadas para investigar el asunto, como proporcionar un formulario de reclamación electrónico, acusar recibo en un plazo de 30 días e informar a los interesados sobre el resultado de la investigación de la supuesta infracción.

Reconfiguración de las normas de transferencias internacionales

La DUAA 2025 introduce dos cambios significativos en el marco británico de transferencias internacionales de datos.

  1. Autoriza al Secretario de Estado a aprobar transferencias de datos a terceros países u organizaciones internacionales mediante regulaciones. Anteriormente, dichas transferencias dependían de decisiones formales de adecuación.
  2. Sustituye el estándar anterior de protección de datos “esencialmente equivalente” por una nueva prueba. Bajo este nuevo criterio, el Secretario de Estado deberá determinar si el nivel de protección para los interesados en el país u organización de destino no es materialmente inferior al proporcionado bajo la legislación británica de protección de datos.

Aunque la redacción se ha revisado, si este cambio terminológico tendrá un impacto material dependerá de cómo el Secretario de Estado lo implemente mediante regulaciones.

Solicitudes de acceso (DSAR) más flexibles

La DUAA introduce el mecanismo de “stop the clock”, que permitirá a las organizaciones pausar el plazo de respuesta a una solicitud de acceso (Data Subject Access Request, DSAR) cuando necesiten información adicional de los interesados.

Además, la sección 78 de la DUAA aclara que el derecho del interesado a acceder a sus datos personales se limita a la información que el responsable pueda proporcionar basándose en una búsqueda razonable y proporcionada de los datos solicitados. Aunque esto refleja la guía existente de la ICO, la DUAA otorga fuerza legal a este principio ya establecido. Aprende más sobre DSAR en nuestra guía completa:

{{learn-everything-you-need-to-know-about-dsar}}

Ampliación de los poderes de la ICO

La DUAA concede a la ICO poderes adicionales de enforcement, incluyendo el poder de obligar a testigos a asistir a entrevistas y requerir a las organizaciones la elaboración de informes técnicos.

Introducción de servicios de verificación digital

La DUAA establece un nuevo marco regulatorio e impone nuevos requisitos a los servicios de verificación de identidad digital.

Establecimiento de la Comisión de Información

La sección 117 de la DUAA 2025 establece la Information Commission y establece que reemplazará a la Information Commissioner’s Office.

¿Cuándo entrarán en vigor los cambios?

Aunque la Data Use and Access Act se convirtió en ley el 19 de junio de 2025, solo algunas disposiciones técnicas entraron en vigor. La mayoría de las disposiciones entrarán en vigor mediante commencement regulations que serán emitidas por el Secretario de Estado.

El Gobierno planea implementar las disposiciones de la Ley en 4 etapas principales. A fecha de noviembre de 2025, el Secretario de Estado ha implementado regulaciones específicas para las etapas 1 y 2. Por ejemplo, la regulación sobre la conservación de información por parte de proveedores de internet en relación con la muerte de un menor entró en vigor en septiembre de 2025.

Sin embargo, las modificaciones más relevantes para las empresas, como los intereses legítimos reconocidos y la flexibilización de las reglas de consentimiento de cookies y toma de decisiones automatizada, aún no han entrado en vigor. Las empresas deberían seguir de cerca el despliegue de las commencement regulations de la DUAA 2025, que puede consultarse aquí.

¿Cómo impactará la DUAA 2025 en cookies, consentimiento y tracking online?

Si tienes un sitio web, una app móvil u otra plataforma online dirigida a usuarios en el Reino Unido, necesitas familiarizarte con los nuevos cambios en los requisitos de consentimiento de cookies y transparencia.

En primer lugar, la DUAA 2025 elimina el requisito de consentimiento previo para ciertas cookies de bajo riesgo y tecnologías similares. Por ejemplo, si utilizas cookies y herramientas similares para recopilar y tratar información sobre cómo las personas usan tu plataforma y servicios con fines de mejora del servicio o para adaptar la apariencia y funcionalidad de tu web a las preferencias de tus usuarios, no necesitarás el consentimiento previo.

Sin embargo, esto no es una exención ilimitada: aún deberás informar a los usuarios, y las cookies de mayor riesgo, como las cookies publicitarias y de redes sociales, seguirán requiriendo consentimiento bajo PECR y el UK GDPR. Además, seguirás obligado a proporcionar a los usuarios información sobre los fines de las cookies y darles la opción de rechazarlas en cualquier momento.

En otras palabras, aunque el régimen es más flexible para determinadas cookies técnicas o de bajo riesgo, seguirás necesitando un mecanismo sólido que garantice transparencia y permita a los usuarios oponerse o desactivar estas cookies en cualquier momento.

Cómo Didomi puede ayudar con el cumplimiento de DUAA

Aunque la DUAA facilita que las empresas desplieguen ciertas cookies de bajo riesgo (por ejemplo, cookies estadísticas/analíticas y algunas cookies de personalización) sin consentimiento previo, sigue exigiendo que las organizaciones proporcionen transparencia clara sobre el propósito y uso de esas cookies y ofrezcan a los usuarios un mecanismo sencillo para optar por rechazarlas.

Además, las cookies publicitarias, la mayoría de los trackers de terceros y los plugins de redes sociales seguirán requiriendo consentimiento previo bajo PECR y el UK GDPR.

Dado que la sanción máxima bajo PECR se ha elevado a 17,5 millones de libras o el 4% de la facturación global, las organizaciones deben asegurarse de clasificar correctamente las cookies y mantener un mecanismo conforme de cookies/consentimiento alineado con los requisitos de PECR y UK GDPR.

Nuestra Consent Management Platform (CMP) permite que organizaciones globales recopilen consentimiento y mantengan registros de este, como parte de un conjunto integral de soluciones centradas en la privacidad que incluyen gestión de solicitudes de privacidad, gestión de first-party data, monitoreo de cumplimiento y server-side tagging.

Además, nuestro Managing Director UK & Ireland, Nial Ferguson, destaca la importancia de colaborar con expertos de confianza para navegar cambios constantes en regulaciones de protección de datos, no solo en el Reino Unido, sino en todo el mundo:

La DUAA es un recordatorio de que la ley de protección de datos en el Reino Unido está evolucionando. Aunque algunas cookies de bajo riesgo ya no requieran consentimiento previo, PECR y UK GDPR siguen imponiendo reglas estrictas sobre tecnologías de publicidad y tracking, y el nivel de riesgo ha aumentado con las multas de PECR ahora alineadas con las de GDPR.

Por eso es tan importante que las organizaciones trabajen con partners de confianza como Didomi para interpretar correctamente estos cambios, y por qué nadie debería asumir que esto significa el fin de los banners de cookies.

Nial Ferguson, Managing Director UK & Ireland en Didomi

Ponte en contacto con nuestro equipo para hablar sobre tus retos de privacidad y descubrir cómo nuestras soluciones pueden ayudarte a cumplir con la legislación británica de protección de datos:

{{talk-to-an-expert}}

Preguntas frecuentes (FAQ)

¿La Data Use and Access Act 2025 reemplaza el RGPD de UK ?

Aunque su nombre podría sugerir que la DUAA es una ley completamente nueva que reemplazará el RGPD de UK , esto está lejos de ser cierto.

La DUAA 2025 modificará ciertas disposiciones del RGPD del Reino Unido, la Ley de Protección de Datos del Reino Unido de 2018 y la PECR.

¿La Ley de Uso y Acceso a los Datos de 2025 (DUAA) aumenta la cantidad máxima de multas en virtud del PECR?

La nueva ley otorgará al regulador de privacidad del Reino Unido, la ICO, la facultad de imponer multas de hasta 17,5 millones de libras esterlinas o el 4% de la facturación mundial en virtud del PECR, la ley principal que rige las cookies y tecnologías similares. Según el régimen anterior, el límite máximo era de 500 000 libras esterlinas.

¿La Data Use and Access Act 2025 (DUAA) aumenta el importe máximo de las multas bajo PECR?

Sí. La Ley de Uso y Acceso a los Datos permitirá a los proveedores de servicios de la sociedad de la información, como sitios web y aplicaciones móviles, establecer ciertas cookies estadísticas y tecnologías similares sin el consentimiento previo del usuario. Por ejemplo, los sitios web podrán utilizar cookies para recopilar información sobre cómo los visitantes interactúan con su sitio web con el fin de mejorar los servicios o el sitio web sin el consentimiento del usuario.

¿La DUAA 2025 flexibiliza los requisitos para ciertas cookies?

La Ley de Datos (Uso y Acceso) de 2025 (DUAA 2025) va más allá de la protección de datos al abordar una variedad de asuntos, incluidos el registro nacional de activos clandestinos, el procesamiento de la aplicación de la ley, los esquemas de datos inteligentes y los servicios de verificación digital.

El autor
Los autores
Ali Talip Pınarbaşı
Freelance writer
London-based Data Privacy Law Consultant with a Master of Laws Degree in EU Privacy law at King's College London, advising businesses on how to comply with data protection laws.
Acceder al perfil del autor
Ali Talip Pınarbaşı
Freelance writer
London-based Data Privacy Law Consultant with a Master of Laws Degree in EU Privacy law at King's College London, advising businesses on how to comply with data protection laws.
Access author profile
Access author profile

Artículos relacionados

Educacion
Ley de privacidad en Chile: Todo lo que necesitas saber sobre la Ley de Protección de Datos Personales (LPPD)
November 11, 2025
Leer el artículo
Educacion
Todo lo que necesitas saber sobre el cumplimiento con el RGPD en 2025
November 6, 2025
Leer el artículo
Educacion
Ley de cookies en España: todo lo que necesitas saber
May 16, 2022
Leer el artículo
Educacion
CRM, CDP, DMP, CMP, PMP: ¿Cuál es la diferencia?
May 12, 2022
Leer el artículo
Educacion
La CCPA frente al RGPD: ¿Cuáles son las diferencias?
May 5, 2022
Leer el artículo
Educacion
El estudio definitivo sobre privacidad con Securys Limited y Didomi
October 26, 2021
Leer el artículo