Qué cambió el 19 de junio
La Data (Use and Access) Act 2025 recibió la sanción real el 19 de junio de 2025 y se activa por fases. El reglamento de entrada en vigor, SI 2026 n. 82, fija dos fechas que importan a los operadores: el 5 de febrero de 2026 para el grueso de las reformas de protección de datos y el 19 de junio de 2026 para el régimen de quejas de la sección 103 y el anexo 10.
Desde esa segunda fecha, toda organización sujeta al UK GDPR debe operar un procedimiento formal de quejas de protección de datos. La nueva sección 164A de la Data Protection Act 2018 exige vías accesibles para quejarse, incluido un formulario electrónico junto a rutas como el correo electrónico y postal, un acuse de recibo en 30 días y un resultado de fondo comunicado en un lenguaje que el reclamante entienda, con la indicación de su derecho a escalar al ICO, la autoridad británica.
No hay plazo legal para el resultado en sí, pero el borrador de guía del ICO recomienda resolver en tres meses salvo circunstancias excepcionales, y espera un proceso visible: fácil de encontrar, enlazado desde los avisos de privacidad y la web. La fase de febrero trajo además los intereses legítimos reconocidos como base jurídica, un mecanismo de pausa del plazo en solicitudes de acceso y reglas más laxas para ciertas cookies de bajo riesgo.
La parte silenciosa: las multas de marketing se multiplicaron por 35
El cambio que menos empresarios notaron llegó antes. Desde el 5 de febrero de 2026, la capacidad sancionadora del ICO bajo PECR, las reglas del marketing directo electrónico y las cookies, saltó de un tope de 500.000 libras a niveles del UK GDPR: hasta 17,5 millones de libras o el 4 por ciento de la facturación anual global, lo que sea mayor.
Durante años, la aplicación de PECR fue una molestia acotada: una campaña de correo con consentimiento dudoso era, como mucho, un problema de seis cifras. Esa asimetría desapareció. Una lista de marketing con consentimientos descuidados juega ahora en la misma categoría sancionadora que una brecha de datos, y el nuevo canal de quejas da a cada destinatario molesto una vía formal que, mal gestionada, termina en la puerta del regulador.
Qué deberían hacer ahora las empresas expuestas al Reino Unido
El alcance es más amplio de lo que muchos suponen. El UK GDPR se aplica no solo a empresas establecidas en el Reino Unido, sino también a las de fuera que ofrecen bienes o servicios a personas allí. La bodega española que vende a Londres, la tienda online con clientes británicos, el SaaS con usuarios en Manchester: el deber de quejas los alcanza a todos.
La construcción no es pesada, y precisamente por eso no tenerla queda mal. Publique una vía de queja, incluido un formulario electrónico. Conéctela a los procesos que ya opera para solicitudes RGPD, con un responsable, un registro y acuses plantilla que ganen al reloj de 30 días. Siga los resultados contra la expectativa de tres meses y documente el razonamiento de cada cierre.
Y trate el registro como lo que es: prueba. Cada queja, marca de tiempo y respuesta es un dato que el ICO puede pedir, y un patrón de quejas ignoradas es el caso sancionador más fácil que un regulador construirá jamás. Ese mismo registro, leído cada trimestre, es también una auditoría gratuita de dónde su manejo de datos irrita de verdad a los clientes. Pocas obligaciones de cumplimiento rinden tanto.
Leer a continuación: Una primera solicitud de datos puede ser abusiva · Datos obtenidos ilegalmente pueden ganar un juicio



