El panorama de privacidad del Reino Unido tras el Brexit

Cuando el Reino Unido abandonó la Unión Europea, no dejó atrás la protección de datos. El Reino Unido incorporó el GDPR de la UE a su legislación nacional como el UK GDPR, que se sitúa junto a la Data Protection Act 2018. En lo que respecta específicamente a las cookies, el Privacy and Electronic Communications Regulations (PECR), la implementación británica de la Directiva de ePrivacy, sigue aplicándose. El resultado es un marco de privacidad que refleja de cerca el de la UE, pero que es aplicado de forma independiente por la Information Commissioner's Office (ICO) del Reino Unido.

Para los operadores de sitios web, esto significa que atender a los visitantes del Reino Unido exige prestar atención a un conjunto específico de normas, directrices y patrones de aplicación. Aunque el contenido es similar al del GDPR de la UE, los matices importan.

UK GDPR frente a EU GDPR: diferencias clave

El UK GDPR es sustancialmente idéntico al EU GDPR en sus principios y requisitos fundamentales. Sin embargo, desde el Brexit han surgido varias diferencias:

• Autoridad de control: La ICO es la única autoridad de control para el UK GDPR, sustituyendo el papel de las autoridades de protección de datos de la UE. No puede recibir una multa tanto de la ICO como de una autoridad de protección de datos de la UE por la misma actividad de tratamiento de datos que afecte únicamente a residentes del Reino Unido.
• Decisión de adecuación: La UE concedió al Reino Unido una decisión de adecuación en junio de 2021, lo que permite que los datos personales fluyan libremente desde la UE al Reino Unido. Esta decisión está sujeta a revisiones periódicas. El Reino Unido ha reconocido recíprocamente al EEE como adecuado.
• Transferencias internacionales: El Reino Unido cuenta con su propio marco para las transferencias internacionales de datos, en el que es el Secretario de Estado (y no la Comisión Europea) quien adopta las decisiones de adecuación. El Reino Unido ha señalado un enfoque más flexible respecto a las transferencias internacionales, aunque las garantías básicas se mantienen.
• Enfoque de aplicación: Históricamente, la ICO ha preferido la colaboración y la orientación antes que la imposición agresiva de multas. Las multas máximas en virtud del UK GDPR reflejan las de la UE: hasta 17,5 millones de GBP o el 4 por ciento de la facturación anual global, la cifra que sea mayor.
• Posible divergencia: El gobierno del Reino Unido ha considerado reformas a través del Data Protection and Digital Information Bill, que podría introducir cambios en las evaluaciones de interés legítimo, las exenciones para investigación y el papel de los Delegados de Protección de Datos. Los operadores de sitios web deben seguir de cerca esta legislación para anticipar cambios futuros.

PECR: la ley de cookies del Reino Unido

Mientras que el UK GDPR proporciona el marco general para el tratamiento de datos personales, PECR regula específicamente las cookies y tecnologías similares. PECR es anterior al GDPR e implementa la Directiva de ePrivacy de la UE en la legislación británica. Sus requisitos clave para las cookies son:

• Se requiere consentimiento antes de instalar cualquier cookie no esencial en el dispositivo de un usuario. Esto incluye cookies de analítica, de publicidad y de redes sociales.
• Debe proporcionarse información sobre qué cookies se instalan y para qué se utilizan, en un lenguaje claro y sencillo.
• El consentimiento debe ser libre, específico e informado. Las casillas premarcadas no constituyen un consentimiento válido.
• Las cookies estrictamente necesarias están exentas. Las cookies que son esenciales para un servicio solicitado explícitamente por el usuario (como las cookies de sesión para funcionalidades de inicio de sesión o las cookies de carrito de compra) no requieren consentimiento.

El estándar de consentimiento de PECR se alinea con la definición de consentimiento del GDPR, lo que significa que, en la práctica, los requisitos son muy similares a los de la Directiva de ePrivacy de la UE. Un banner de cookies que cumpla las normas de la UE generalmente cumplirá con PECR.

Guía de la ICO sobre banners de cookies

La ICO ha publicado una guía detallada sobre el cumplimiento en materia de cookies que va más allá del propio texto de PECR. Los puntos clave de la guía de la ICO incluyen:

El consentimiento debe ser afirmativo

El simple hecho de seguir navegando por un sitio web no constituye consentimiento. La ICO establece explícitamente que el consentimiento implícito no es válido. Los usuarios deben realizar una acción clara y positiva (como hacer clic en un botón de "Aceptar") antes de que se puedan instalar cookies no esenciales.

Rechazar debe ser igual de fácil

La ICO se ha mostrado cada vez más crítica con los patrones oscuros en los banners de cookies. En concreto:

• Debe existir una opción de "Rechazar todo" o equivalente al mismo nivel que "Aceptar todo". Ocultar la opción de rechazo detrás de una pantalla de "Gestionar preferencias" no es aceptable.
• El diseño visual no debe utilizar el color, el tamaño o la posición para manipular a los usuarios hacia la aceptación.
• El lenguaje debe ser neutral y no estar diseñado para culpabilizar o presionar a los usuarios para que otorguen su consentimiento.

Control granular por categorías

Los usuarios deben poder consentir categorías específicas de cookies (analíticas, de marketing, funcionales) en lugar de verse obligados a una elección de todo o nada. Aunque la ICO no exige un número concreto de categorías, ofrecer un control granular demuestra buenas prácticas y puede ser necesario en virtud del principio de limitación de la finalidad del GDPR.

Los muros de cookies son problemáticos

La ICO considera que los muros de cookies, es decir, aquellos casos en los que se deniega el acceso a un sitio web a menos que el usuario acepte todas las cookies, difícilmente constituyen un consentimiento válido, ya que este no sería libre. Pueden existir excepciones para contenidos de pago en los que se ofrezca una alternativa genuina sin cookies.

Acciones recientes de aplicación de la ICO

La ICO ha incrementado de forma constante su atención al cumplimiento en materia de cookies en los últimos años. Entre las actuaciones más destacadas se incluyen:

• Auditorías sectoriales: La ICO ha llevado a cabo auditorías de los 100 principales sitios web del Reino Unido en múltiples sectores, publicando conclusiones que ponían de relieve un incumplimiento generalizado. Entre los problemas más comunes se encontraban la instalación de cookies antes de obtener el consentimiento, la ausencia de una opción de rechazo y la información insuficiente sobre las finalidades de las cookies.
• Cartas de advertencia: Tras las auditorías, la ICO envió cartas de advertencia a las organizaciones cuyas prácticas de cookies eran deficientes. La mayoría de las organizaciones adaptaron sus prácticas para cumplir la normativa después de recibir estas cartas.
• Investigaciones sobre adtech: La ICO ha llevado a cabo investigaciones continuas sobre el ecosistema de puja en tiempo real, expresando su preocupación por el volumen de datos personales compartidos mediante cookies de publicidad programática sin un consentimiento adecuado.
• Aplicación en el sector público: La ICO no ha eximido a los sitios web gubernamentales, y ha emitido directrices y advertencias a organizaciones del sector público sobre sus prácticas de cookies.

Aunque la ICO aún no ha impuesto sanciones económicas significativas específicamente por infracciones relacionadas con cookies, la tendencia apunta claramente hacia una aplicación más estricta. El regulador ha declarado que espera que las organizaciones ya cumplan la normativa y que se adoptarán medidas coercitivas contra quienes no mejoren.

Transferencias internacionales de datos: del Reino Unido a la UE y más allá

El consentimiento de cookies se cruza con las transferencias internacionales de datos de una forma importante. Cuando las cookies de analítica o publicidad envían datos a servidores fuera del Reino Unido —como hace Google Analytics al enviar datos a los servidores de Google, y Facebook Pixel al enviar datos a los servidores de Meta—, esto constituye transferencias internacionales de datos en virtud del UK GDPR.

Situación actual:

• Del Reino Unido al EEE: Los datos fluyen libremente en virtud del reconocimiento por parte del Reino Unido de la adecuación del EEE.
• Del Reino Unido a Estados Unidos: La extensión del Reino Unido al EU-US Data Privacy Framework proporciona un mecanismo para las transferencias a organizaciones estadounidenses certificadas. Google y Meta están certificadas en el marco de este esquema.
• Del Reino Unido a otros países: Se requieren garantías adecuadas, como las Standard Contractual Clauses (versión del Reino Unido) o las normas corporativas vinculantes.

En la práctica, si utiliza Google Analytics, Google Ads u otras grandes plataformas publicitarias, los mecanismos de transferencia internacional ya están en marcha. No obstante, debe documentar estas transferencias en su política de privacidad y asegurarse de que su banner de cookies mencione que los datos pueden transferirse internacionalmente.

Geo-segmentación de FlexyConsent para el cumplimiento específico del Reino Unido

FlexyConsent ofrece geo-segmentación específica para los visitantes del Reino Unido, garantizando el cumplimiento del marco regulatorio propio del país:

• Banner conforme a PECR: Los visitantes del Reino Unido ven un banner de consentimiento que cumple los requisitos de la ICO, incluida una opción de rechazo igualmente destacada y controles granulares por categorías. No se instalan cookies hasta que se reciba un consentimiento afirmativo.
• Separado de la configuración de la UE: Aunque los requisitos son similares, FlexyConsent mantiene la posibilidad de configurar de forma independiente las experiencias de consentimiento para el Reino Unido y la UE. Esto prepara su implementación para una posible divergencia regulatoria entre el Reino Unido y la UE.
• Diseño alineado con la ICO: Las plantillas de banner predeterminadas de FlexyConsent siguen la guía de la ICO para evitar patrones oscuros. Las opciones de aceptar y rechazar son visualmente equivalentes, el lenguaje es neutral y el diseño no manipula las decisiones del usuario.
• Integración con Consent Mode V2: Como CMP certificado por Google, FlexyConsent envía las señales de consentimiento adecuadas a los servicios de Google para los visitantes del Reino Unido. Esto garantiza que el modelado de conversiones y Smart Bidding sigan funcionando correctamente respetando al mismo tiempo los requisitos de consentimiento del Reino Unido.
• Compatibilidad con IAB TCF 2.3: Para los editores que utilizan publicidad programática, FlexyConsent genera cadenas de consentimiento TCF adecuadas para el Reino Unido que son reconocidas por las plataformas del lado de la demanda y del lado de la oferta que operan en el mercado británico.

FlexyConsent está disponible con planes a partir de EUR 0 al mes, con integraciones nativas para WordPress, Shopify y PrestaShop. Para las empresas con sede en el Reino Unido en particular, implantar un CMP certificado demuestra un cumplimiento proactivo ante la ICO, un factor que el regulador ha indicado que tiene en cuenta al decidir las acciones de aplicación.

Idea clave: El marco de privacidad del Reino Unido tras el Brexit refleja de cerca el de la UE, pero funciona con su propio regulador, sus propios patrones de aplicación y, potencialmente, su propia dirección legislativa futura. Tratar a los visitantes del Reino Unido como sujetos a las mismas normas que los visitantes de la UE es una opción segura por ahora, pero mantener la capacidad de configurar experiencias de consentimiento específicas para el Reino Unido sitúa a su sitio en una posición ventajosa para adaptarse si ambos marcos acaban divergiendo. Un CMP con reconocimiento geográfico es la forma más práctica de gestionar esta complejidad.