MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

¿Qué es el UK GDPR? Explicación de su relación con el GDPR y los puntos clave a tener en cuenta

General Corporate

¿Qué es el UK GDPR? Explicación de su relación con el GDPR y los puntos clave a tener en cuenta

Con la salida del Reino Unido de la Unión Europea, el UK GDPR (Reglamento General de Protección de Datos del Reino Unido) entró en vigor el 1 de enero de 2021.

El GDPR es un reglamento de la UE que establece las normas para el procesamiento y la transferencia de datos personales, y las empresas japonesas que ofrecen servicios a clientes dentro de la UE deben cumplir con el GDPR. El UK GDPR es la versión británica de este reglamento.

En este artículo, explicaremos en detalle la relación entre el GDPR y el GDPR de la UE, así como aspectos importantes del GDPR de la UE. Conozca los puntos clave a tener en cuenta al expandir su negocio en Europa, incluido el Reino Unido, y las leyes que debería prepararse para cumplir.

La UK GDPR implementada tras la salida de Reino Unido de la UE

Bandera del Reino Unido

Reino Unido se retiró de la Unión Europea (UE) el 31 de enero de 2020, y como consecuencia, se implementó la UK GDPR basada en la GDPR de la UE.

Con la salida de la UE, Reino Unido se convierte en un “tercer país” bajo la GDPR de la UE, y las empresas británicas que ofrecen servicios a consumidores de la UE deben cumplir con las normativas GDPR tanto del Reino Unido como de la UE.

GDPR (Reglamento General de Protección de Datos de la UE)Legislación implementada en 2018.
Requiere medidas de protección de datos para quienes ofrecen bienes o servicios a personas dentro de la UE o los monitorean.
UK GDPR (Reglamento General de Protección de Datos del Reino Unido)Legislación implementada tras la salida de la UE en 2020. Requiere medidas de protección de datos para las empresas y organizaciones establecidas en el Reino Unido, o para aquellos que ofrecen servicios a usuarios dentro del país.

Artículo relacionado: ¿Qué es el GDPR? Comparación con la ley de protección de datos personales y puntos clave que las empresas japonesas deben tener en cuenta[ja]

Artículo relacionado: Puntos clave para crear una política de privacidad compatible con el GDPR[ja]

¿Qué es el UK GDPR?

El UK GDPR (Reglamento General de Protección de Datos del Reino Unido) es una normativa que establece los requisitos para el procesamiento y la transferencia de datos personales fuera del Reino Unido, así como las normas y obligaciones que deben cumplir aquellos que realizan dicho procesamiento o transferencia.

La Ley de Protección de Datos de 2018 (Data Protection Act 2018) actualizó y estableció el marco de la Ley de Protección de Datos de 1998, promulgada en el Reino Unido. Posteriormente, teniendo en cuenta la situación del Brexit, se enmendó esta ley en base a la legislación de salida de la UE, y el 1 de enero de 2021 (2021年1月1日) entró en vigor el UK GDPR con las modificaciones pertinentes.

El UK GDPR se aplica al “procesamiento de datos personales” que se lleva a cabo en el contexto de las actividades de establecimientos de controladores o procesadores dentro del Reino Unido. Además, el UK GDPR también se aplica al procesamiento de datos personales realizado por controladores o procesadores que, en ciertos casos, no tienen establecimientos en el Reino Unido.

Puntos clave a tener en cuenta en el UK GDPR

Puntos clave

En este capítulo, explicaremos los siguientes dos puntos clave que se deben tener en cuenta en el UK GDPR.

  • Transferencia de datos personales
  • Nombramiento de agentes y representantes

Transferencia de datos personales

En cuanto a la transferencia de datos entre Japón y el Reino Unido, Japón ha decidido continuar aplicando las designaciones basadas en el Artículo 24 de la Ley de Protección de Información Personal (que antes de la enmienda por el Artículo 50 de la Ley de Formación de la Sociedad Digital, promulgada el 1 de abril de 2021 (Reiwa 4), era el Artículo 24 y ahora es el Artículo 28) al Reino Unido incluso después del Brexit.

Además, la transferencia de datos personales entre el Reino Unido y la UE puede continuar sin problemas durante el período de transición, como hasta ahora.

Por lo tanto, incluso después del Brexit, la transferencia fluida de datos personales entre Japón y el Reino Unido está asegurada.

Nombramiento de agentes y representantes

Las empresas británicas que no tengan sucursales ni oficinas dentro de la UE deben nombrar un agente de la UE y actualizar adecuadamente sus avisos de protección de datos.

AgenteLas empresas que no tienen una base en la UE pero procesan datos personales dentro de la UE están obligadas a nombrar un agente en la UE. El agente tiene la función de coordinar con las autoridades de la UE en nombre de la empresa en asuntos relacionados con el procesamiento de datos personales.
RepresentanteLas empresas con base en la UE que procesan datos personales dentro de la UE están obligadas a nombrar un representante en la UE. El representante asume la responsabilidad del procesamiento de datos personales de la empresa dentro de la UE.

El agente actuará como representante en el caso de sucursales u oficinas.

Además, bajo la ley británica, las empresas de la UE que poseen datos personales también están obligadas a tener un representante en el Reino Unido.

Por lo tanto, las empresas con base en la UE deben revisar y separar sus registros para determinar si la información que manejan está sujeta a las regulaciones del UK GDPR.

Empresas japonesas sujetas al UK GDPR

Empresa

Existen dos casos en los que se aplica el UK GDPR a las empresas japonesas:

  1. Cuando establecen una base y operan dentro del Reino Unido.
  2. Aunque no tengan una base en el Reino Unido, cuando despliegan actividades comerciales dirigidas a este país.

En el segundo caso, el UK GDPR se aplica en situaciones como las siguientes:

  • Cuando una empresa japonesa lanza un sitio de comercio electrónico dirigido al mercado global, incluyendo Europa.
  • Cuando realizan campañas de marketing dirigidas al mercado europeo.
  • Cuando una empresa japonesa genera ingresos del mercado europeo.

Los casos concretos incluyen:

  • Cuando una empresa japonesa distribuye una aplicación de juego a jugadores ubicados en el Reino Unido y recopila nombres y registros de facturación de los jugadores.
  • Cuando un sitio de comercio electrónico permite pagos en libras esterlinas, tiene descripciones en inglés y menciona envíos al Reino Unido, y recopila información de direcciones, nombres y cuentas bancarias de los clientes.
  • Cuando una empresa japonesa gestiona nombres y direcciones de correo electrónico para enviar boletines por correo electrónico a individuos ubicados en el Reino Unido.
  • Cuando una empresa japonesa obtiene y analiza la información de ubicación de individuos ubicados en el Reino Unido a través de una aplicación.
  • Cuando una empresa japonesa recopila información de cookies de un sitio web para analizar las preferencias personales y distribuir publicidad dirigida basada en el comportamiento.
  • Cuando una empresa japonesa obtiene y gestiona información relacionada con la salud de individuos ubicados en el Reino Unido a través de dispositivos portátiles (como relojes inteligentes).

A continuación, se muestra el diagrama de flujo del ámbito de aplicación del UK GDPR.

Diagrama de flujo

Referencia: Manual práctico del Reglamento General de Protección de Datos del Reino Unido (UK GDPR)[ja] | Oficina de Londres del Departamento de Investigación en el Extranjero de la Organización Japonesa de Promoción del Comercio (JETRO)

Tres riesgos de incumplir el UK GDPR

En este capítulo, presentamos tres riesgos asociados con el incumplimiento del UK GDPR.

  • Riesgo de ser sancionado con multas sustanciales por parte de la ICO
  • Riesgo de enfrentar reclamaciones legales por daños y perjuicios por parte de los titulares de los datos y otros
  • Riesgo de perder la confianza en el negocio debido a una protección insuficiente de los datos personales

La ICO (Information Commissioner’s Office) es una entidad independiente establecida en el Reino Unido para proteger los derechos de información. Si se descubre una violación de las normas del UK GDPR, la ICO puede imponer multas.

Las multas pueden ser muy elevadas; por ejemplo, en 2019, la aerolínea británica British Airways fue sancionada con una multa de 183 millones de libras (el 1.5% de sus ingresos globales anuales).

Asimismo, Marriott International, empresa que gestiona hoteles reconocidos como Marriott y Ritz-Carlton, fue multada con 99 millones de libras.

Estas sanciones se hacen públicas, por lo que no solo se enfrentan a multas elevadas, sino también a la posible devaluación de la marca. Una vez que la reputación de una marca corporativa disminuye, es muy difícil mejorarla. Por lo tanto, es esencial prestar especial atención al manejo de datos personales para no comprometer la fuerza de la marca.

Resumen: Es necesario prestar atención a las tendencias de enmienda del UK GDPR

El UK GDPR (Reglamento General de Protección de Datos del Reino Unido) es una de las leyes relativamente nuevas que se modificó el 1 de enero de 2021 (2021年1月1日) debido a la salida del Reino Unido de la UE.

Además, en el Reino Unido se aplican dos leyes: el UK GDPR, orientado al mercado interno británico, y el EU GDPR, aplicable a los países de la UE.

Actualmente, se está llevando a cabo una revisión multidimensional de las regulaciones sobre la información personal. Por lo tanto, las empresas japonesas que ya han entrado en los mercados del Reino Unido y de los países de la UE deberían mantener una vigilancia sobre las tendencias de las futuras enmiendas del UK GDPR.

Cometer una infracción del UK GDPR no solo puede resultar en la imposición de sanciones económicas elevadas, sino que también puede llevar a la caída del prestigio de la marca corporativa. Es crucial revisar y actualizar los sistemas de seguridad de la empresa, así como tomar medidas para adaptarse a los cambios en la normativa.

Presentación de medidas por parte de nuestro despacho

El despacho de abogados Monolith es una firma legal con amplia experiencia en IT, especialmente en Internet y derecho. En los últimos años, el negocio global ha crecido exponencialmente, y la necesidad de revisiones legales por parte de expertos ha aumentado significativamente. Nuestro despacho ofrece soluciones en asuntos de derecho internacional.

Áreas de práctica de Monolith Law Office: Asuntos legales internacionales y negocios en el extranjero[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Volver arriba