La Fecha Límite de la DUAA Que Toma Desprevenidos a los Desarrolladores: No Se Trata de Tus Datos, Se Trata de Tu Proceso

La mayoría de las organizaciones que gestionan datos de usuarios en el Reino Unido han pasado 2025 y principios de 2026 preocupándose por las cosas correctas: bases legales, minimización de datos, mecanismos de transferencia. Lo que varias de ellas no han notado es que la Ley de Datos (Uso y Acceso) de 2025 introdujo una obligación separada y de carácter procedimental en la legislación del Reino Unido, una que no tiene nada que ver con si tus prácticas subyacentes de datos son correctas. El requisito es sencillo de enunciar y sorprendentemente fácil de pasar por alto: antes del 19 de junio de 2026, todo responsable del tratamiento de datos sujeto a la legislación de protección de datos del Reino Unido debe contar con un proceso documentado y operativo para recibir y gestionar las reclamaciones de los individuos sobre el uso de sus datos personales. Sin excepciones. Sin período de gracia para las organizaciones pequeñas. Sin exenciones para plataformas que nunca hayan recibido una reclamación formal.

Qué exige realmente la ley

El artículo 103 de la Ley de Datos (Uso y Acceso) de 2025 introduce el nuevo artículo 164A en la Ley de Protección de Datos de 2018, según Hunton Andrews Kurth. Dicha disposición exige que cada responsable del tratamiento implemente un mecanismo o procedimiento mediante el cual los interesados puedan presentar reclamaciones relacionadas con sus datos personales. La propia DUAA recibió la Sanción Real el 19 de junio de 2025, lo que hace que la obligación de reclamaciones sea exigible exactamente un año después, tal como confirmó Katten Muchin Rosenman en JDSupra. La ICO publicó orientaciones operativas detalladas el 12 de febrero de 2026, tras una consulta pública que recibió más de 85 respuestas, según el propio comunicado de prensa de la ICO. Dichas orientaciones distinguen entre lo que los responsables del tratamiento deben hacer (el nivel mínimo legal), deberían hacer (buenas prácticas) y podrían hacer (un enfoque más sólido). El nivel de obligación es donde reside tu exposición legal.

Las orientaciones de la ICO especifican los pasos operativos fundamentales: ofrecer a los individuos una forma clara de presentar una reclamación, acusar recibo en un plazo de 30 días, tomar las medidas adecuadas para responder sin demora indebida, mantener informado al reclamante durante todo el proceso y comunicar el resultado, según el análisis de ZwillGen sobre las orientaciones de la ICO. Esos pasos deben estar documentados y ser demostrables. La ICO ha señalado un enfoque mesurado en materia de aplicación durante el período de transición, en particular cuando sus propias orientaciones aún no están finalizadas, según Mayer Brown. Pero mesurado no es lo mismo que ausente, y las orientaciones sobre gestión de reclamaciones han estado disponibles desde febrero de 2026.

Por qué la brecha procedimental es el verdadero riesgo

Aquí viene la parte contraintuitiva. Una organización puede tener una práctica de datos genuinamente defendible —base legal documentada, calendario de conservación establecido, solicitudes de acceso de los interesados gestionadas con prontitud— y aun así enfrentarse a una exposición directa en materia de cumplimiento el 19 de junio de 2026 si no cuenta con un procedimiento formal de reclamaciones. El requisito procedimental es independiente. Un interesado que crea que sus datos han sido mal gestionados, tenga razón o no, tiene ahora un derecho legal a presentar esa reclamación ante el responsable del tratamiento primero, antes de escalarla a la ICO. La intención, tal como describe Hunton, es garantizar que las reclamaciones sean consideradas por el responsable del tratamiento antes de llegar al regulador. Si no existe ningún procedimiento para recibir esa reclamación, la organización habrá incumplido una obligación legal independiente, independientemente de cómo sean las prácticas subyacentes de datos.

ZwillGen lo plantea con precisión: el cambio no exige un programa de privacidad completamente nuevo, pero sí requiere que las organizaciones se aseguren de que las reclamaciones sean reconocidas, derivadas, acusadas de recibo, investigadas y resueltas de una manera que pueda mostrarse a la ICO si fuera necesario. Esta última cláusula tiene un peso real. La ICO puede solicitar ver tu proceso. Si no puedes presentar uno, esa ausencia es en sí misma la infracción.

Para las plataformas educativas y los desarrolladores de edtech en particular, donde casi con toda seguridad estás tratando datos personales de estudiantes, padres y personal bajo el RGPD del Reino Unido, eres un responsable del tratamiento. El lenguaje de ausencia de excepciones en las orientaciones de la ICO, confirmado tanto por Bratby Law como por Privacy Matters de DLA Piper, significa que el tamaño de la plataforma, el sector o el historial de cumplimiento previo no crea un puerto seguro.

Qué deben hacer ahora los desarrolladores y los equipos de cumplimiento

La solución práctica aquí no es complicada, aunque requiere un esfuerzo deliberado más que marcar una casilla. Según Mayer Brown, las organizaciones aún tienen margen para revisar las prácticas de protección de datos, actualizar políticas y procedimientos, y prepararse para las obligaciones de gestión de reclamaciones. En términos concretos, esto significa: designar quién recibe las reclamaciones (una bandeja de entrada con nombre, un formulario o un canal documentado), establecer un flujo de trabajo interno de acuse de recibo que cumpla el plazo de 30 días, documentar los pasos de investigación y crear una plantilla para comunicar los resultados a los reclamantes. Las orientaciones de la ICO, publicadas en febrero y actualizadas en mayo de 2026, describen cada etapa y están disponibles públicamente de forma gratuita.

Para las organizaciones reguladas, Bratby Law señala una capa adicional que merece auditoría: si estás sujeto a las normas de reclamaciones de Ofcom o de la FCA, la obligación de la DUAA se superpone con esos marcos existentes, lo que crea una interacción de cumplimiento que debe mapearse. Se trata de una población más reducida, pero las empresas de edtech con productos financieros integrados o servicios de comunicaciones regulados no deben asumir que el proceso de reclamaciones de su regulador sectorial satisface automáticamente el artículo 164A.

La Subcomisionada de Política Regulatoria de la ICO señaló en mayo de 2026 que las organizaciones más pequeñas son menos propensas a contar con procedimientos de gestión de reclamaciones ya establecidos, y les instó específicamente a leer las orientaciones y tomar las medidas sencillas necesarias para cumplir. Eso no es una amenaza; es una lista de lecturas. Las orientaciones existen, el plazo es fijo y el requisito no tiene excepciones. Para cualquier persona que desarrolle productos que traten datos de usuarios del Reino Unido, la pregunta ya no es si esto aplica. La pregunta es si tu proceso puede resistir que un regulador te pida que lo presentes.