La Ley de Datos (Uso y Acceso) de 2025 marca el cambio más significativo en el marco de protección de datos del Reino Unido desde la adopción del GDPR, planteando profundas preguntas sobre el poder ministerial, la toma de decisiones automatizada, la privacidad financiera y los límites futuros de la vigilancia estatal. Los partidarios presentan la legislación como una medida modernizadora diseñada para reducir la burocracia y apoyar la innovación, pero los críticos advierten que debilita los derechos establecidos, amplía el acceso práctico del Estado a los datos personales y corre el riesgo de erosionar la confianza pública. Aquí, el abogado Dr. Raj Joshi sostiene que una de las cuestiones que definen el futuro digital de Gran Bretaña es si este nuevo régimen puede ajustarse a los principios de privacidad ya establecidos por los tribunales nacionales y el Tribunal Europeo de Derechos Humanos.
La vigilancia se ha desarrollado junto con el poder estatal durante siglos, desde espías y cartas interceptadas hasta escuchas telefónicas, CCTV y la recopilación masiva de datos que es posible gracias a la era digital. Cada avance tecnológico ha ampliado la capacidad del estado para recopilar, almacenar y analizar información personal, y la Ley de Datos (Uso y Acceso) de 2025 forma parte de esa historia más amplia.
La Ley, que entró en vigor en junio pasado, fue anunciada como una medida para reducir la burocracia y apoyar el crecimiento económico, reformando las reglas sobre cómo se puede acceder, compartir y utilizar los datos en toda la economía y los servicios públicos.
Pero a diferencia de la mayoría de las leyes nuevas, que entran en vigor en su totalidad en una fecha claramente definida, esta Ley se ha implementado por etapas a través de reglamentos elaborados por los ministros; algunas partes entraron en vigor el año pasado, en febrero de este año se produjeron cambios importantes en materia de protección de datos y privacidad, y aún están por entrar en vigor otras disposiciones.
El resultado es que los poderes del Estado conforme a la Ley se han ampliado progresivamente con el tiempo a través de acciones ministeriales, ampliando su capacidad práctica para acceder, analizar y utilizar datos personales, incluida la información financiera de millones de solicitantes de asistencia social.
Como resultado, grupos de la sociedad civil, expertos legales y defensores de la privacidad advierten que este proceso está debilitando protecciones de larga data de manera sistemática. Al menos desde una perspectiva jurídica, debo estar de acuerdo. Los tribunales nacionales y el Tribunal Europeo de Derechos Humanos han trazado repetidamente límites claros en torno a la intrusión estatal en la vida privada, particularmente en lo que respecta a los datos personales.
La posición es especialmente clara en relación con la información financiera. El Tribunal Europeo de Derechos Humanos ha sostenido repetidamente que los datos bancarios forman parte del núcleo de la vida privada. En MN y otros contra San Marino, el Tribunal afirmó que “la información relativa a la cuenta bancaria de una persona… debe considerarse particularmente sensible”. En GSB contra Suiza, reafirmó que “la transmisión de los datos bancarios del demandante constituyó una injerencia en su vida privada”. No obstante, la Ley amplía las circunstancias en las que los organismos públicos, y potencialmente los contratistas privados, pueden acceder y compartir datos financieros. Los críticos argumentan que esto crea las condiciones para un seguimiento rutinario y sin sospechas de las cuentas de los solicitantes de prestaciones.
Una de las características más controvertidas de la Ley es el amplio poder que otorga al Secretario de Estado para modificar las normas básicas de protección de datos a través de legislación secundaria. Estos se describen comúnmente como poderes de Enrique VIII, una referencia al Estatuto de Proclamaciones de 1539, que permitía a la Corona legislar mediante proclamación. Ese enfoque no concuerda con el requisito de claridad jurídica en cualquier régimen que interfiera con los derechos de privacidad. En Liberty v Reino Unido, el Tribunal Europeo de Derechos Humanos sostuvo que el régimen de interceptación del Reino Unido “no indicaba con suficiente claridad el alcance o la forma de ejercicio de la discreción conferida a las autoridades”. Por lo tanto, el Proyecto de Derecho Público sostiene, con fuerza, que poderes de esta amplitud permiten a los ministros remodelar los derechos de privacidad sin un escrutinio parlamentario significativo.
La ley también cambia las reglas para las decisiones tomadas enteramente por computadoras en los casos en que el resultado pueda afectar gravemente la vida de alguien. La posición anterior imponía límites más estrictos a las decisiones exclusivamente automatizadas con efectos legales o igualmente significativos. El nuevo marco ofrece un margen más amplio para su uso, centrándose en las salvaguardias después del evento. El Open Rights Group sostiene que esto invierte la presunción anterior contra la toma de decisiones automatizada y facilita que la IA y otros sistemas automatizados tomen decisiones importantes en materia de bienestar, vigilancia e inmigración, incluso cuando las consecuencias para el individuo pueden ser graves y el escrutinio humano significativo es limitado. Los tribunales ya han identificado el peligro de unas salvaguardias débiles en este ámbito. En R (Bridges) contra el jefe de policía de la policía de Gales del Sur, el Tribunal de Apelación sostuvo que “el marco jurídico actual no es suficiente para garantizar las salvaguardias adecuadas”. La necesidad de atención es aún mayor en el sistema de bienestar social, donde la rigidez en la toma de decisiones ya ha causado graves injusticias. En R (Johnson y otros) contra el Secretario de Estado de Trabajo y Pensiones, el Tribunal de Apelaciones condenó aspectos del Crédito Universal por producir resultados “perversos” e “irracionales”.
En otros lugares, la ley debilita la fuerza práctica del derecho de una persona a acceder a sus propios datos. La importancia de ese cambio queda clara en R (Catt) v ACPO, en el que la Corte Suprema sostuvo que “el mero almacenamiento de información sobre un individuo es una interferencia con la vida privada”. El acceso a esa información forma parte de los medios por los cuales un individuo puede comprender, probar y cuestionar el uso que el Estado hace de ella. Al exigir únicamente búsquedas “razonables y proporcionadas”, la Ley otorga a los organismos públicos más espacio para limitar lo que buscan y lo que divulgan. Los grupos de la sociedad civil temen que esto facilite a las autoridades limitar las solicitudes legítimas, dejando a las personas con menos información sobre cómo han sido evaluadas o tratadas, haciendo que los errores sean más difíciles de detectar y las decisiones más difíciles de impugnar. En un sistema como el de asistencia social, donde los errores ya pueden producir resultados irracionales y perjudiciales, esa pérdida de visibilidad conlleva riesgos obvios y muy peligrosos.
El mismo patrón aparece en otras partes de la ley. Amplía la definición de “investigación científica” y amplía los poderes de intercambio de datos para la prestación de servicios públicos, lo que genera advertencias de parlamentarios y grupos de defensa de los pacientes de que las empresas privadas podrían obtener un acceso más amplio a datos confidenciales del NHS a pesar de las garantías gubernamentales de que la información de los pacientes no está a la venta. También amplía la retención biométrica y el intercambio de datos entre gobiernos, lo que aumenta los temores de una infraestructura de vigilancia más permanente. En Big Brother Watch contra Reino Unido, la Gran Sala destacó que “las salvaguardias de extremo a extremo son esenciales para garantizar la integridad de un régimen de interceptación masiva”. Los críticos argumentan que la dirección de viaje bajo esta Ley no se adapta bien a ese principio.
Las consecuencias tampoco se limitan a los reclamos de privacidad en los tribunales nacionales. También afectan a las normas que rigen la transferencia de datos personales de la UE al Reino Unido. Actualmente, el Reino Unido se beneficia de lo que se conoce como una “decisión de adecuación”. En términos simples, se trata del reconocimiento formal por parte de la UE de que los estándares de protección de datos de Gran Bretaña siguen siendo lo suficientemente altos como para que los datos personales se envíen aquí sin que se requieran mecanismos legales adicionales para cada transferencia. Mantiene los flujos de datos transfronterizos cotidianos relativamente sencillos, ya sea que la información se refiera a clientes, empleados, pacientes, proveedores o usuarios de servicios en línea.
El Reino Unido recibió la idoneidad por primera vez en 2021, pero solo por un período limitado que finalizó en diciembre de 2025. Cuando el gobierno comenzó a remodelar la ley de datos nacional, incluso a través de la Ley de Datos (Uso y Acceso) de 2025, la UE tuvo que decidir si esos cambios todavía dejaban al Reino Unido lo suficientemente cerca de los estándares europeos para justificar ese estatus. La respuesta, por ahora, fue sí; La adecuación se renovó hasta 2031. Pero la renovación llegó con advertencias claras. Los reguladores europeos señalaron áreas en las que la ley del Reino Unido podría alejarse aún más de las normas de la UE, incluida la amplitud de los poderes ministeriales para modificar las reglas de datos y el enfoque más permisivo para la toma de decisiones automatizada.
Esa conclusión tiene consecuencias prácticas. Mientras se mantenga la idoneidad, las empresas y los organismos públicos pueden seguir trasladando datos personales de la UE al Reino Unido en el curso normal del comercio y la administración, sin tener que construir una estructura legal más compleja en torno a cada transferencia. Si se revisara o se retirara la adecuación, esa posición se volvería mucho más difícil. Las organizaciones tendrían que depender de herramientas de transferencia alternativas, enfrentar mayores costos de cumplimiento y operar bajo una incertidumbre legal mucho mayor. Por lo tanto, el argumento sobre salvaguardias debilitadas no es sólo una preocupación de libertades civiles. También conlleva consecuencias comerciales para cualquier organización que dependa del movimiento rutinario de datos entre Gran Bretaña y Europa.
El Dr. Raj Joshi es un abogado senior y destacado defensor de los derechos civiles cuya carrera abarca la práctica jurídica de primera línea, la reforma regulatoria y la justicia internacional. Nombrado dos veces entre los ’10 mejores abogados asiáticos del Reino Unido’ y incluido entre los ‘100 asiáticos más influyentes del Reino Unido’, ha comparecido ante investigaciones importantes, incluida la presentación de pruebas en el caso Stephen Lawrence, y se desempeñó como presidente de la Sociedad de Abogados Negros. El Dr. Joshi, ex juez de la Autoridad de Regulación de Abogados, ha asesorado a ministros, ayudado a dar forma a protocolos legales y representado al Reino Unido en foros legales internacionales.
LEER MÁS: ‘¿Puede Trump arrastrar a Gran Bretaña aún más a la guerra de Irán? El derecho internacional dice no’. Trump quiere que Gran Bretaña endurezca su postura, profundice su papel y ceda a la presión estadounidense sobre Irán. El abogado Raj Joshi examina el derecho internacional y por qué Starmer tiene razón al no ser intimidado.
¿Tiene noticias para compartir o experiencia para contribuir? El europeo acoge con agrado las opiniones de líderes empresariales y especialistas del sector. Póngase en contacto con nuestro equipo editorial para obtener más información.
Imagen principal: Alex Knight/Pexels