El Gobierno británico avanza en su proyecto de reformar la norma de protección de datos

El Gobierno británico ha publicado, el 17-6-2022, el resumen de su consulta de septiembre de 2021 sobre la reforma del régimen de protección de datos personales en el Reino Unido.

Esta consulta pública, denominada «Data: A New Direction», fue el paso siguiente tras manifestar su intención de revisar la norma con la que obtuvo, en junio de 2021, la decisión de la Comisión Europea sobre la adecuación del Reino Unido para las transferencias internacionales de datos con la Unión Europea, necesaria tras el Brexit para evitar el bloqueo de las relaciones comerciales.

Resumimos a continuación las conclusiones de esa consulta.

Principios de la reforma prevista

Las conclusiones publicadas por el Gobierno británico las agrupa en los siguientes cinco capítulos:

1. Reducir las barreras a la innovación responsable: para impulsar la investigación científica, habilitar las nuevas tecnologías y brindar beneficios reales a la sociedad.
2. Rebajar las cargas sobre las empresas: para buscar el equilibrio entre la protección de datos de alto nivel y un enfoque regulatorio ágil en el Plan de Regulación Digital del Gobierno británico.
3. Impulsar el comercio: reducir las barreras al flujo transfronterizo de datos, mediante un programa de evaluaciones de adecuación.
4. Mejorar los servicios públicos: mediante el uso de los datos personales por interés público y la colaboración entre los sectores público y privado.
5. Reformar la Information Commissioner’s Office (ICO), autoridad de control en esta materia: para impulsar un enfoque proactivo basado en el riesgo.

Medidas que propone introducir

Basándose en esos principios, el Gobierno británico propone introducir las siguientes medidas:

• Obligar a las entidades a implantar el Programa de Gestión de la Privacidad adecuado al nivel de actividades de tratamiento, el volumen y la sensibilidad de los datos.
• Eximir de la obligación de designar un delegado de protección de datos, que se podría sustituir por un responsable de protección de datos en la compañía.
• Eximir de la evaluación de impacto en protección de datos y exigir a las organizaciones que usen herramientas de evaluación de riesgos para su identificación, evaluación y mitigación.
• Obligar al registro de actividades de tratamiento como parte del Programa de Gestión de la Privacidad, siguiendo los requisitos del reglamento de protección de datos británico.
• Autorizar la instalación de cookies sin consentimiento explícito cuando se utilicen con fines no intrusivos; por ejemplo, las cookies analíticas para el tráfico en las páginas web y para personalizar las ofertas a los usuarios.
• Elaborar, en el propio Gobierno, un modelo de opt-out de exclusión de cookies en los sitios web, para mejorar la experiencia del usuario y eliminar los banners de consentimiento.
• Aumentar las multas hasta 17,5 millones de libras esterlinas o el 4 % de la facturación global de una empresa. El límite actual está en 500.000 libras.
• Crear una lista de actividades de tratamiento que no requieran realizar un test de ponderación de intereses legítimos.

Adecuación con la norma de la Unión Europea

El Gobierno británico asegura que la reforma planteada no pone en riesgo la decisión de adecuación de la Comisión Europea.

Sin embargo, la Comisión Europea ya ha anunciado que esa decisión está sometida a revisión y se revocará si se aprueban cambios significativos en la regulación de datos personales.

Próximos pasos

Según manifiesta, el Gobierno del Reino Unido elaborará un proyecto de reforma de la norma de protección de datos para someterlo a la aprobación del Parlamento.