El Marco de Reclamaciones DUAA Ya Es Aplicable: Cada Responsable de Datos del Reino Unido Necesita una Puerta de Entrada Interna

Un interesado envía un correo electrónico a las 11 de la noche diciendo que su empresa utilizó sus datos personales sin una base legal adecuada. En el régimen anterior, podía presentar esa queja directamente ante la Oficina del Comisionado de Información (ICO) a la mañana siguiente. A partir del 19 de junio de 2026, ya no puede hacerlo. La Ley de Datos (Uso y Acceso) de 2025 ahora exige que las personas presenten la queja ante usted primero, y requiere que usted tenga un proceso formal y documentado listo para recibirla.

Qué cambió realmente la ley

La DUAA recibió la Sanción Real el 19 de junio de 2025, según Mayer Brown. Modifica, pero no reemplaza, el UK GDPR y la Ley de Protección de Datos de 2018. La mayoría de las disposiciones de protección de datos de la Ley entraron en vigor el 5 de febrero de 2026 en virtud del Reglamento de Inicio n.º 6 y Disposiciones Transitorias y de Salvaguarda de la Ley de Datos (Uso y Acceso) de 2025 de 2026, según señalan tanto Clifford Chance como el blog Privacy Matters de DLA Piper. La obligación de gestión de reclamaciones se pospuso para una fecha de entrada en vigor independiente: el 19 de junio de 2026, exactamente un año después de la Sanción Real.

El mecanismo central es un requisito obligatorio de contacto previo antes de presentar una reclamación. Según Mintz, antes de que una persona pueda presentar una queja ante la ICO, debe plantear primero la inquietud directamente ante el responsable del tratamiento correspondiente y concederle un período razonable para responder. La ICO ha indicado que este período será típicamente de 45 días, aunque Mintz señala que puede variar según la complejidad del asunto. El efecto práctico es una capa de filtrado en primera instancia situada entre el individuo y el regulador, diseñada, como explica Mintz, para fomentar la resolución temprana y permitir que la ICO concentre sus recursos en asuntos más graves.

Quiénes están sujetos

a la norma y qué deben implementar El blog Privacy Matters de DLA Piper es preciso en cuanto al alcance: la DUAA introduce un requisito de proceso formal de reclamaciones para todos los responsables del tratamiento, sin excepciones. Esa expresión tiene importancia práctica. Las pequeñas organizaciones sin ánimo de lucro, las startups con un solo fundador, las empresas medianas y las plataformas globales se encuentran todas en la misma categoría bajo esta obligación. Squire Patton Boggs, en su artículo en Employment Law Worldview, lo enmarca como un nuevo derecho estatutario para que los empleados presenten quejas ante los responsables del tratamiento por infracciones del UK GDPR, lo que significa que la propia relación laboral puede generar reclamaciones sujetas a la norma con total independencia de cualquier tratamiento de datos orientado al cliente.

El blog Data Matters de Sidley ofrece una aclaración útil sobre qué activa realmente el proceso: no toda comunicación de un interesado constituye una reclamación regulada. Las organizaciones deben distinguir entre consultas rutinarias y solicitudes de acceso a los datos, por un lado, y expresiones de insatisfacción sobre el modo en que se han tratado los datos personales, por otro. Hacer esa distinción correctamente mantiene el proceso proporcionado y evita tratar cada mensaje entrante como un evento formal de cumplimiento.

Sidley también señala que el requisito de la DUAA está respaldado por la orientación reciente de la ICO sobre cómo prepararse para gestionar reclamaciones de protección de datos y cómo hacerlo, lo que constituye un punto de referencia práctico para desarrollar los procedimientos internos.

En cuanto a la documentación, Mayer Brown aconseja que las organizaciones revisen sus prácticas de protección de datos, actualicen sus políticas y procedimientos, y traten el cumplimiento de la DUAA como una prioridad continua a lo largo de 2026. Los avisos de privacidad también necesitan actualización, ya que Squire Patton Boggs confirma que las organizaciones sujetas al UK GDPR deben reflejar los nuevos derechos de gestión de reclamaciones en sus avisos publicados a partir del 19 de junio de 2026.

Por qué esto resulta más crítico durante un incidente de ciberseguridad

La capa de cumplimiento descrita anteriormente opera en condiciones normales. Ahora bien, consideremos qué ocurre cuando una organización sufre una brecha de datos. El reloj de notificación a la ICO ya está corriendo. Los individuos afectados comienzan a ponerse en contacto con la organización. Algunos de esos contactos constituirán reclamaciones formales en el marco de la DUAA, no simples consultas preocupadas. Sin un proceso interno documentado de gestión de reclamaciones, la organización está gestionando simultáneamente la respuesta al incidente, una notificación regulatoria y un volumen indefinido de obligaciones de reclamación para las que no tiene ningún procedimiento establecido.

Mayer Brown señala que la ICO ha anunciado un enfoque moderado en materia de cumplimiento durante este período de transición, especialmente donde las orientaciones aún no están finalizadas. Vale la pena leer eso con atención: moderado no significa ausente. El mismo informe deja claro que el cumplimiento debe tratarse como una prioridad continua, no aplazarse hasta que llegue un aviso de sanción.

Para los equipos relacionados con la seguridad, la implicación práctica es que los manuales de respuesta a incidentes ahora necesitan una rama de gestión de reclamaciones: quién recibe las reclamaciones formales de datos durante un incidente, cuál es el plazo de acuse de recibo y respuesta, y cómo interactúan esas reclamaciones con el proceso de notificación a la ICO que se ejecuta en paralelo.

Qué deben hacer las organizaciones ahora

La obligación ya está en vigor. La cuestión es si su proceso interno está documentado, comunicado y probado. A partir de las orientaciones analizadas en Mayer Brown, Mintz, Sidley y Squire Patton Boggs, la lista de verificación práctica es la siguiente.

Primero, establezca un canal definido para recibir reclamaciones de protección de datos, separado de las colas generales de atención al cliente. Segundo, documente un procedimiento de respuesta que reconozca el plazo indicativo de 45 días que ha establecido la ICO e identifique quién dentro de la organización es responsable de cada etapa. Tercero, actualice los avisos de privacidad para reflejar el nuevo derecho de reclamación. Cuarto, forme a todas las personas que gestionan comunicaciones entrantes para que reconozcan cuándo un mensaje pasa de ser una consulta rutinaria a una reclamación regulada.

La orientación publicada por la ICO sobre la gestión de reclamaciones de protección de datos es la referencia principal para calibrar ese proceso. Las organizaciones que ya cuentan con flujos de trabajo maduros para solicitudes de acceso a los datos tienen una ventaja estructural: la infraestructura subyacente de mapeo de datos y asignación de responsabilidades de respuesta es transferible. Las que no la tienen deben considerar junio de 2026 no como un plazo ya vencido, sino como el momento en que construir el proceso dejó de ser opcional. La postura de cumplimiento moderada de la ICO crea una breve ventana de tolerancia práctica; no genera cobertura permanente.