Durante años, las conversaciones sobre la regulación de datos en el Reino Unido se han centrado en gran medida en el mismo marco. El GDPR reconfiguró la forma en que las organizaciones recopilan y protegen los datos personales, la Ley de Protección de Datos reforzó esas obligaciones, y los líderes de seguridad construyeron estructuras de gobernanza para garantizar el cumplimiento en todas sus organizaciones.
Muchos CISO han pasado la última década perfeccionando las políticas, formando a los empleados e implantando controles diseñados para cumplir esas normas.
Pero la regulación nunca se detiene.
La Ley de Uso y Acceso a los Datos de 2025 (DUAA) representa uno de los avances más significativos en el panorama de la gobernanza de datos del Reino Unido desde la entrada en vigor del GDPR. Aunque la Ley no sustituye a la regulación existente, introduce nuevas expectativas en torno a cómo las organizaciones acceden, comparten, gobiernan y utilizan los datos en entornos digitales cada vez más complejos.
Para los CISO, esto es importante porque muchos de los cambios se sitúan directamente en la intersección de la ciberseguridad, la gobernanza y el comportamiento humano. La Ley introduce expectativas cambiantes en torno al uso de la IA, el acceso interno a los datos, la supervisión reglamentaria y la responsabilidad organizativa. Todas estas son áreas en las que los líderes de seguridad ya tienen una responsabilidad significativa.
A medida que las organizaciones siguen interpretando lo que la legislación significa en la práctica durante 2026, una cosa está cada vez más clara. El cumplimiento dependerá tanto de las personas, los procesos y la cultura como de la tecnología.
Por qué es importante ahora la Ley de Uso y Acceso a los Datos
Aunque la Ley se aprobó en 2025, muchas organizaciones sólo ahora están empezando a comprender plenamente sus implicaciones prácticas.
La legislación pretende modernizar la forma en que se puede acceder a los datos y utilizarlos en toda la economía británica. En términos sencillos, anima a las organizaciones a hacer un mejor uso de los datos sin dejar de mantener fuertes protecciones para las personas y la información sensible.
Ese equilibrio crea nuevos retos para los CISO.
Se está animando a las organizaciones a desbloquear el valor de los datos, colaborar entre equipos y explorar tecnologías emergentes como la inteligencia artificial. Al mismo tiempo, siguen siendo responsables de proteger la información sensible, garantizar los controles de acceso adecuados y demostrar el cumplimiento cuando los reguladores hagan preguntas.
Por lo tanto, los responsables de la seguridad navegan por un entorno más complejo en el que la habilitación y la protección de los datos deben coexistir.
Conseguir ese equilibrio requiere una gobernanza clara, procesos internos sólidos y una plantilla que comprenda sus responsabilidades cuando maneja datos de la organización.
Mayor atención a la gobernanza y la responsabilidad de los datos
Uno de los temas más importantes de la Ley es un mayor énfasis en la gobernanza de los datos estructurados.
La mayoría de las organizaciones ya tienen políticas que cubren la clasificación de datos, la gestión del acceso y la retención. Sin embargo, la DUAA refuerza la expectativa de que las organizaciones deben tener una comprensión clara y auditable de cómo fluyen los datos a través de la empresa.
Esto incluye cuestiones como quién tiene acceso a conjuntos de datos específicos, por qué se requiere ese acceso y cómo se comparte la información sensible interna o externamente.
Para los CISO, este cambio aumenta la importancia de la visibilidad y la supervisión. Los equipos de seguridad ya no se centran únicamente en las amenazas externas. También necesitan confiar en que el acceso interno legítimo se está utilizando adecuadamente.
Aquí es donde el comportamiento humano se vuelve crítico. Ni siquiera los controles técnicos más sólidos pueden evitar por completo la exposición accidental de datos o su intercambio inadecuado si los empleados no son conscientes de los riesgos o no tienen claras las normas.
Por lo tanto, una comunicación clara, una formación periódica y unos procesos bien definidos se convierten en partes esenciales de una gobernanza de datos eficaz.
Nuevas consideraciones en torno a la IA y el uso de datos
Otro aspecto en evolución de la Ley es su relevancia para la IA y la toma de decisiones automatizada.
Las organizaciones experimentan cada vez más con herramientas de IA que se basan en grandes volúmenes de datos. Desde las herramientas de productividad interna hasta los servicios de cara al cliente, la IA se está convirtiendo rápidamente en parte de las operaciones empresariales cotidianas.
La DUAA refuerza la necesidad de que las organizaciones comprendan cómo se están utilizando los datos dentro de estos sistemas y si el uso de esos datos se ajusta a los requisitos de gobernanza y reglamentación.
Para los CISO, esto introduce nuevos retos de supervisión. Los líderes de seguridad necesitan visibilidad sobre cómo interactúan las tecnologías emergentes con los datos de la organización, especialmente cuando esas herramientas se adoptan rápidamente o sin una gobernanza central.
La IA puede aportar enormes beneficios, pero también plantea cuestiones importantes en torno a la transparencia, los permisos de acceso y el uso responsable de los datos. Asegurarse de que los empleados comprenden los riesgos y los límites en torno al uso de los datos se convierte en una parte importante de la gestión de ese riesgo.
Mayor escrutinio y aplicación de la normativa
Como ocurre con muchos cambios normativos, el impacto real de la Ley se verá probablemente a través de la aplicación y la supervisión.
Se espera que los reguladores hagan cada vez más hincapié en que las organizaciones sean capaces de demostrar que cuentan con una gobernanza, unos controles y unos procesos adecuados. La documentación, los registros de formación y unas políticas internas claras forman parte de esa historia.
Para los CISO, esto refuerza un reto familiar. El cumplimiento no consiste sólo en disponer de las herramientas o políticas adecuadas sobre el papel. Requiere pruebas de que los empleados entienden esas políticas y las aplican de forma coherente en su trabajo diario.
Los programas de concienciación sobre la seguridad desempeñan un papel importante a la hora de ayudar a las organizaciones a demostrar que la gobernanza de los datos está arraigada en la cultura organizativa en lugar de existir sólo en la documentación.
El elemento humano del cumplimiento de los datos
Muchos de los requisitos asociados a la Ley de (Uso y Acceso a) Datos se refieren en última instancia a las personas.
Los empleados acceden a los sistemas, comparten información, colaboran entre departamentos y adoptan nuevas tecnologías. Estas acciones cotidianas pueden reforzar o debilitar la capacidad de una organización para gestionar los datos de forma responsable.
Por eso, los CISO se centran cada vez más en crear una cultura en la que los empleados comprendan el valor de los datos y los riesgos asociados a un mal manejo de los mismos.
Cuando los empleados saben cómo identificar la información sensible, comprenden los límites en torno al acceso a los datos y se sienten seguros a la hora de informar sobre posibles problemas, las organizaciones están mucho mejor posicionadas para cumplir las expectativas normativas en constante evolución.
Crear esa cultura requiere mensajes coherentes, una formación atractiva y una orientación práctica que haga que la protección de datos forme parte de la toma de decisiones cotidiana.
Cómo puede ayudar MetaCompliance
Navegar por una legislación en evolución como la Ley de (uso y acceso) a los datos de 2025 requiere algo más que una simple actualización de las políticas. Las organizaciones necesitan formas prácticas de educar a los empleados, reforzar las expectativas y demostrar el cumplimiento.
MetaCompliance apoya a las organizaciones ayudándolas a crear programas de concienciación estructurados y cuantificables que integren las responsabilidades en materia de protección de datos en el comportamiento cotidiano.
Nuestra biblioteca educativa incluye cursos dedicados que cubren las áreas clave que las organizaciones necesitan comprender en virtud de la Ley, desde una introducción a la propia legislación hasta su impacto en el GDPR, las comunicaciones de marketing, el compromiso normativo y la gestión de reclamaciones. El contenido está diseñado para ofrecer a los equipos directivos y a los empleados una comprensión clara y práctica de cómo afectan los cambios a sus responsabilidades cotidianas.
Estos módulos ayudan a los equipos directivos y a los empleados a comprender cómo afecta la legislación a sus responsabilidades, desde la gobernanza y el compromiso normativo hasta los procesos prácticos de tratamiento de datos.
Además del aprendizaje, MetaCompliance proporciona las herramientas que las organizaciones necesitan para gestionar las políticas, realizar un seguimiento de la comprensión de los empleados y mantener registros claros que demuestren el cumplimiento.
A medida que la normativa sobre datos siga evolucionando, las organizaciones que triunfen serán las que combinen una gobernanza sólida, una tecnología eficaz y una plantilla que comprenda su papel en la protección de los datos.
Para los CISO, crear esa cultura se está convirtiendo rápidamente en una de las partes más importantes de la gestión de los riesgos cibernéticos y normativos.
Para saber más, póngase en contacto con nuestro equipo hoy mismo.
Preguntas frecuentes sobre la Ley de uso y acceso a los datos
¿Qué es la Ley de Datos (Uso y Acceso) de 2025?
La Ley de Datos (Uso y Acceso) de 2025 (DUAA) es una legislación británica diseñada para modernizar la forma en que las organizaciones acceden, utilizan, comparten y gobiernan los datos. La Ley se basa en las leyes de protección de datos existentes, como el GDPR, e introduce nuevas expectativas en torno a la gobernanza de datos, la rendición de cuentas, el uso de la IA y el cumplimiento normativo.
¿Cómo afecta la Ley de (uso y acceso a) datos a los CISO?
La Ley aumenta la responsabilidad de los CISO y los líderes de seguridad para supervisar la gobernanza de los datos, supervisar el acceso interno a los datos, gestionar los riesgos relacionados con la IA y demostrar el cumplimiento de las normativas en evolución. Los CISO deben asegurarse de que las organizaciones cuentan con políticas claras, fuertes controles de acceso y una concienciación eficaz de los empleados en torno a las prácticas de tratamiento de datos.
¿Qué papel desempeña la IA en la Ley de Datos (Uso y Acceso) de 2025?
La Ley sobre el uso y el acceso a los datos pone de relieve la importancia de una IA y un uso de los datos responsables. Las organizaciones que utilizan herramientas de IA deben comprender cómo se recopilan, procesan y comparten los datos dentro de estos sistemas, garantizando al mismo tiempo el cumplimiento de los requisitos de gobernanza, privacidad y ciberseguridad.
¿Por qué es importante la concienciación de los empleados para la conformidad de los datos?
Los empleados desempeñan un papel fundamental en la protección de los datos de la organización. La formación sobre concienciación en materia de seguridad ayuda al personal a comprender cómo manejar la información sensible, seguir las políticas de gobernanza de datos, reconocer los riesgos y utilizar las tecnologías emergentes de forma responsable. Una sólida concienciación de los empleados reduce la probabilidad de exposición accidental de los datos o de incumplimiento de las normas.
¿Cómo pueden prepararse las organizaciones para la Ley de Datos (Uso y Acceso) de 2025?
Las organizaciones pueden prepararse revisando las políticas de gobernanza de datos, mejorando la visibilidad sobre el acceso a los datos, reforzando la supervisión de la IA, actualizando los programas de formación de los empleados y manteniendo registros de cumplimiento claros. La formación periódica sobre concienciación en materia de seguridad y la gestión de políticas también ayudan a demostrar responsabilidad y apoyar el cumplimiento normativo continuo.