Durante años, las conversaciones sobre la regulación de datos en el Reino Unido se han centrado en gran medida en el mismo marco. El GDPR reconfiguró la forma en que las organizaciones recopilan y protegen los datos personales, la Ley de Protección de Datos reforzó esas obligaciones, y los líderes de seguridad construyeron estructuras de gobernanza para garantizar el cumplimiento en todas sus organizaciones.
Muchos CISO han pasado la última década perfeccionando las políticas, formando a los empleados e implantando controles diseñados para cumplir esas normas.
Pero la regulación nunca se detiene.
La Ley de Uso y Acceso a los Datos de 2025 (DUAA) representa uno de los avances más significativos en el panorama de la gobernanza de datos del Reino Unido desde la entrada en vigor del GDPR. Aunque la Ley no sustituye a la regulación existente, introduce nuevas expectativas en torno a cómo las organizaciones acceden, comparten, gobiernan y utilizan los datos en entornos digitales cada vez más complejos.
Para los CISO, esto es importante porque muchos de los cambios se sitúan directamente en la intersección de la ciberseguridad, la gobernanza y el comportamiento humano. La Ley introduce expectativas cambiantes en torno al uso de la IA, el acceso interno a los datos, la supervisión reglamentaria y la responsabilidad organizativa. Todas estas son áreas en las que los líderes de seguridad ya tienen una responsabilidad significativa.
A medida que las organizaciones siguen interpretando lo que la legislación significa en la práctica durante 2026, una cosa está cada vez más clara. El cumplimiento dependerá tanto de las personas, los procesos y la cultura como de la tecnología.
Por qué es importante ahora la Ley de Uso y Acceso a los Datos
Aunque la Ley se aprobó en 2025, muchas organizaciones sólo ahora están empezando a comprender plenamente sus implicaciones prácticas.
La legislación pretende modernizar la forma en que se puede acceder a los datos y utilizarlos en toda la economía británica. En términos sencillos, anima a las organizaciones a hacer un mejor uso de los datos sin dejar de mantener fuertes protecciones para las personas y la información sensible.
Ese equilibrio crea nuevos retos para los CISO.
Se está animando a las organizaciones a desbloquear el valor de los datos, colaborar entre equipos y explorar tecnologías emergentes como la inteligencia artificial. Al mismo tiempo, siguen siendo responsables de proteger la información sensible, garantizar los controles de acceso adecuados y demostrar el cumplimiento cuando los reguladores hagan preguntas.
Por lo tanto, los responsables de la seguridad navegan por un entorno más complejo en el que la habilitación y la protección de los datos deben coexistir.
Conseguir ese equilibrio requiere una gobernanza clara, procesos internos sólidos y una plantilla que comprenda sus responsabilidades cuando maneja datos de la organización.
Mayor atención a la gobernanza y la responsabilidad de los datos
Uno de los temas más importantes de la Ley es un mayor énfasis en la gobernanza de los datos estructurados.
La mayoría de las organizaciones ya tienen políticas que cubren la clasificación de datos, la gestión del acceso y la retención. Sin embargo, la DUAA refuerza la expectativa de que las organizaciones deben tener una comprensión clara y auditable de cómo fluyen los datos a través de la empresa.
Esto incluye cuestiones como quién tiene acceso a conjuntos de datos específicos, por qué se requiere ese acceso y cómo se comparte la información sensible interna o externamente.
Para los CISO, este cambio aumenta la importancia de la visibilidad y la supervisión. Los equipos de seguridad ya no se centran únicamente en las amenazas externas. También necesitan confiar en que el acceso interno legítimo se está utilizando adecuadamente.
Aquí es donde el comportamiento humano se vuelve crítico. Ni siquiera los controles técnicos más sólidos pueden evitar por completo la exposición accidental de datos o su intercambio inadecuado si los empleados no son conscientes de los riesgos o no tienen claras las normas.
Por lo tanto, una comunicación clara, una formación periódica y unos procesos bien definidos se convierten en partes esenciales de una gobernanza de datos eficaz.
Nuevas consideraciones en torno a la IA y el uso de datos
Otro aspecto en evolución de la Ley es su relevancia para la IA y la toma de decisiones automatizada.
Las organizaciones experimentan cada vez más con herramientas de IA que se basan en grandes volúmenes de datos. Desde las herramientas de productividad interna hasta los servicios de cara al cliente, la IA se está convirtiendo rápidamente en parte de las operaciones empresariales cotidianas.
La DUAA refuerza la necesidad de que las organizaciones comprendan cómo se están utilizando los datos dentro de estos sistemas y si el uso de esos datos se ajusta a los requisitos de gobernanza y reglamentación.
Para los CISO, esto introduce nuevos retos de supervisión. Los líderes de seguridad necesitan visibilidad sobre cómo interactúan las tecnologías emergentes con los datos de la organización, especialmente cuando esas herramientas se adoptan rápidamente o sin una gobernanza central.
La IA puede aportar enormes beneficios, pero también plantea cuestiones importantes en torno a la transparencia, los permisos de acceso y el uso responsable de los datos. Asegurarse de que los empleados comprenden los riesgos y los límites en torno al uso de los datos se convierte en una parte importante de la gestión de ese riesgo.
Mayor escrutinio y aplicación de la normativa
Como ocurre con muchos cambios normativos, el impacto real de la Ley se verá probablemente a través de la aplicación y la supervisión.
Se espera que los reguladores hagan cada vez más hincapié en que las organizaciones sean capaces de demostrar que cuentan con una gobernanza, unos controles y unos procesos adecuados. La documentación, los registros de formación y unas políticas internas claras forman parte de esa historia.
Para los CISO, esto refuerza un reto familiar. El cumplimiento no consiste sólo en disponer de las herramientas o políticas adecuadas sobre el papel. Requiere pruebas de que los empleados entienden esas políticas y las aplican de forma coherente en su trabajo diario.
Los programas de concienciación sobre la seguridad desempeñan un papel importante a la hora de ayudar a las organizaciones a demostrar que la gobernanza de los datos está arraigada en la cultura organizativa en lugar de existir sólo en la documentación.
El elemento humano del cumplimiento de los datos
Muchos de los requisitos asociados a la Ley de (Uso y Acceso a) Datos se refieren en última instancia a las personas.
Los empleados acceden a los sistemas, comparten información, colaboran entre departamentos y adoptan nuevas tecnologías. Estas acciones cotidianas pueden reforzar o debilitar la capacidad de una organización para gestionar los datos de forma responsable.
Por eso, los CISO se centran cada vez más en crear una cultura en la que los empleados comprendan el valor de los datos y los riesgos asociados a un mal manejo de los mismos.
Cuando los empleados saben cómo identificar la información sensible, comprenden los límites en torno al acceso a los datos y se sienten seguros a la hora de informar sobre posibles problemas, las organizaciones están mucho mejor posicionadas para cumplir las expectativas normativas en constante evolución.
Crear esa cultura requiere mensajes coherentes, una formación atractiva y una orientación práctica que haga que la protección de datos forme parte de la toma de decisiones cotidiana.
Cómo puede ayudar MetaCompliance
Navegar por una legislación en evolución como la Ley de (uso y acceso) a los datos de 2025 requiere algo más que una simple actualización de las políticas. Las organizaciones necesitan formas prácticas de educar a los empleados, reforzar las expectativas y demostrar el cumplimiento.
MetaCompliance apoya a las organizaciones ayudándolas a crear programas de concienciación estructurados y cuantificables que integren las responsabilidades en materia de protección de datos en el comportamiento cotidiano.
Nuestra biblioteca educativa incluye cursos dedicados que cubren las áreas clave que las organizaciones necesitan comprender en virtud de la Ley, desde una introducción a la propia legislación hasta su impacto en el GDPR, las comunicaciones de marketing, el compromiso normativo y la gestión de reclamaciones. El contenido está diseñado para ofrecer a los equipos directivos y a los empleados una comprensión clara y práctica de cómo afectan los cambios a sus responsabilidades cotidianas.
Estos módulos ayudan a los equipos directivos y a los empleados a comprender cómo afecta la legislación a sus responsabilidades, desde la gobernanza y el compromiso normativo hasta los procesos prácticos de tratamiento de datos.
Además del aprendizaje, MetaCompliance proporciona las herramientas que las organizaciones necesitan para gestionar las políticas, realizar un seguimiento de la comprensión de los empleados y mantener registros claros que demuestren el cumplimiento.
A medida que la normativa sobre datos siga evolucionando, las organizaciones que triunfen serán las que combinen una gobernanza sólida, una tecnología eficaz y una plantilla que comprenda su papel en la protección de los datos.
Para los CISO, crear esa cultura se está convirtiendo rápidamente en una de las partes más importantes de la gestión de los riesgos cibernéticos y normativos.
Para saber más, póngase en contacto con nuestro equipo hoy mismo.