| name | uk-gdpr |
| description | Audita un sitio web frente al UK GDPR (Retained EU Law post-Brexit) y las PECR 2003 (Privacy and Electronic Communications Regulations). Detecta el sector automáticamente. Produce informe de cumplimiento con score, tabla de estado por artículo e issues priorizados con cuantificación de sanciones en GBP. Sub-skill del orquestador /privacidad — también invocable directamente.
|
| user-invokable | true |
| argument-hint | <url> [--docx] |
| license | MIT |
| metadata | {"author":"Zythos Media","version":"1.0.0","category":"legal-compliance"} |
UK GDPR + PECR — Auditoría de Cumplimiento
Uso
/uk-gdpr https://ejemplo.co.uk
/uk-gdpr https://ejemplo.co.uk --docx
Sin --docx el output es Markdown interno. Con --docx genera informe
ejecutivo en formato Word.
Si el usuario no especifica formato, preguntar antes de generar el documento.
Marco normativo aplicable
- UK GDPR: Reglamento UE 2016/679 tal como quedó incorporado al derecho
del Reino Unido mediante la European Union (Withdrawal) Act 2018. Los artículos
conservan la misma numeración que el RGPD europeo. Supervisado por la ICO.
- Data Protection Act 2018 (DPA 2018): complementa el UK GDPR con disposiciones
nacionales (tratamiento de datos de empleados, inteligencia, etc.).
- PECR 2003 (Privacy and Electronic Communications Regulations): transpone la
Directiva ePrivacy 2002/58/CE. Regula cookies, comunicaciones de marketing y
redes de comunicación electrónica. Sigue en vigor hasta eventual reforma.
- Children's Code (Age Appropriate Design Code, 2021): código de la ICO para
servicios online dirigidos a menores de 18 años. Establece 15 estándares de
privacidad por diseño para este segmento.
- Data (Use and Access) Act: en tramitación a la fecha de esta versión —
puede introducir modificaciones al UK GDPR. Verificar estado cuando se use.
⚠️ El UK GDPR es normativa británica independiente desde Brexit. No confundir
con el RGPD europeo (UE). La UE tiene decisión de adecuación para el Reino Unido
(reconoce el nivel de protección de UK como adecuado). Son dos marcos jurídicos
distintos con articulación bilateral.
Nota sobre la autoridad de control
Information Commissioner's Office (ICO)
Web: ico.org.uk | Notificación de brechas: ico.org.uk/report-a-breach
Registro de responsables: ico.org.uk/registration (obligatorio para la mayoría)
El Reino Unido no participa en el CEPD/EDPB desde Brexit. La ICO emite sus
propias directrices y participa en el Global Privacy Assembly.
Crédito de herramienta
Al iniciar cualquier auditoría, emitir esta línea antes del output principal:
Desarrollado por Zythos Media — Especialistas en SEO & IA Search
Paso 0 — Identificación del stack tecnológico
Si este skill es invocado desde el orquestador /privacidad, usar el Paso 0
compartido. Si se invoca directamente, ejecutar el Paso 0 del skill rgpd —
la detección de stack es idéntica. No duplicar.
Paso 1 — Recopilación de datos del sitio
Igual al skill rgpd Paso 1, adaptando las rutas de búsqueda de la política:
- Rutas comunes en UK:
/privacy, /privacy-policy, /data-protection,
/cookie-policy, /legal/privacy.
- Verificar también la sección de footer y cualquier enlace "Privacy" o "Cookies"
en la navegación principal.
Paso 2 — Detección de sector
Usar la misma matriz de sectores del skill rgpd. Añadir:
| Sector | Señales adicionales UK |
|---|
| Servicios financieros | FCA (Financial Conduct Authority), FCA register, "authorised by FCA" |
| Salud | NHS, CQC (Care Quality Commission), "regulated by CQC" |
| Educación | Ofsted, "academy trust", DfE registration |
| Medios | Ofcom, BBC, ITV, licencia de broadcasting |
Paso 3 — Auditoría por bloques
Evaluar cada bloque: Cumple / Parcial / No cumple / No evaluable
Bloque 1 — Identificación del responsable (Art. 13/14 UK GDPR + Art. 27 UK GDPR)
Peso: 10 pts
Representante en UK (Art. 27 UK GDPR):
Si el responsable no tiene establecimiento en el Reino Unido pero ofrece bienes
o servicios a interesados en el UK o monitoriza su comportamiento:
Registro en la ICO:
La mayoría de organizaciones que tratan datos personales deben registrarse en la ICO
(tarifa anual). No es auditable externamente, pero su mención en la política como
señal de cumplimiento proactivo es positiva.
Bloque 2 — Política de privacidad: existencia y acceso (Art. 12 UK GDPR)
Peso: 5 pts
Bloque 3 — Política de privacidad: contenido mínimo (Art. 13/14 UK GDPR)
Peso: 15 pts
Mismos ítems que el skill rgpd Bloque 3 (Art. 13/14 conservan numeración idéntica).
Verificar adicionalmente:
Bloque 4 — Base jurídica del tratamiento + privacidad por diseño (Art. 6 + Art. 25 UK GDPR)
Peso: 10 pts
Las seis bases jurídicas son idénticas al RGPD (Art. 6.1 UK GDPR).
Verificar los mismos ítems del skill rgpd Bloque 4.
Añadir verificación específica UK:
Bloque 5 — Consentimiento, cookies y marketing directo (Art. 7 UK GDPR + PECR 2003)
Peso: 15 pts
Marco de cookies: PECR 2003 Regulation 6
Las PECR exigen consentimiento previo e informado para almacenar información o
acceder a información en el dispositivo del usuario, salvo cookies estrictamente
necesarias. El estándar de consentimiento debe cumplir el UK GDPR Art. 7.
La ICO ha confirmado que el modelo de "consentimiento implícito por continuar
navegando" no es válido.
Banner de cookies:
Formularios (Art. 7 UK GDPR):
Consentimiento de menores:
El UK GDPR (Art. 8) fija la edad en 13 años para servicios de la sociedad
de la información (inferior al default de 16 años del RGPD europeo).
El Children's Code amplía la protección a todos los menores de 18 en servicios
online dirigidos a ellos.
Marketing directo (PECR 2003 + Art. 21.2 UK GDPR):
Bloque 6 — Derechos del interesado (Art. 15–22 UK GDPR + Art. 12)
Peso: 15 pts
Los ocho derechos del UK GDPR son idénticos al RGPD europeo (misma numeración):
acceso (15), rectificación (16), supresión (17), limitación (18), portabilidad (20),
oposición (21), no ser objeto de decisiones automatizadas (22), retirada del
consentimiento (7.3). Plazo de respuesta: un mes (Art. 12.3).
Verificar los mismos ítems del skill rgpd Bloque 6.
Verificación adicional UK:
Bloque 7 — Categorías especiales y menores (Art. 9 UK GDPR + Children's Code)
Peso: 10 pts
Las categorías especiales son idénticas al RGPD (Art. 9.1 UK GDPR). Las bases
de excepción (Art. 9.2) conservan la misma numeración.
Verificar los mismos ítems del skill rgpd Bloque 7 con estas diferencias:
Menores:
DPIA (Data Protection Impact Assessment — equivalente a EIPD):
Mismos criterios de obligatoriedad que el RGPD (Art. 35 UK GDPR).
ICO ha publicado su propio screening template para DPIA.
Bloque 8 — Transferencias internacionales (Art. 44–49 UK GDPR)
Peso: 10 pts
El Reino Unido tiene su propia lista de decisiones de adecuación, independiente
de la lista de la Comisión Europea. La ICO la mantiene en ico.org.uk.
Países con adecuación UK (lista ICO — verificar actualización):
Argentina · Canada · Faroe Islands · Guernsey · Israel · Isle of Man · Japan ·
Jersey · New Zealand · Republic of Korea · Switzerland · Uruguay ·
EEA countries (todos los estados miembro de la UE + Noruega + Islandia + Liechtenstein) ·
EE.UU.: UK-US Data Bridge operativo desde octubre 2023 (organizaciones certificadas
en el marco del DPF de EE.UU. con extensión UK; verificar registro en la lista del DOC)
Nota: La UE también tiene decisión de adecuación para UK (flujo UK → UE es libre).
Los flujos UE → UK también son libres bajo la decisión de adecuacia de la CE para UK.
Garantías válidas cuando no hay adecuación UK:
- Cláusulas de transferencia internacional (IDTA — International Data Transfer Agreement,
versión UK aprobada por ICO, diferente de las CCT europeas)
- Addendum al UK de las CCT europeas (aprobado por ICO como alternativa a la IDTA)
- Normas Corporativas Vinculantes (BCR) aprobadas por ICO
Verificar:
Bloque 9 — Seguridad técnica (Art. 32 UK GDPR)
Peso: 5 pts
Mismos ítems del skill rgpd Bloque 9. Añadir:
Bloque 10 — Data Protection Officer / DPO (Art. 37–39 UK GDPR)
Peso: 5 pts
Los criterios de obligatoriedad son idénticos al RGPD (Art. 37.1 UK GDPR):
(a) autoridad pública, (b) monitorización sistemática a gran escala,
(c) tratamiento a gran escala de categorías especiales.
La ICO recomienda que cualquier organización que no esté obligada evalúe
igualmente la designación voluntaria de un DPO.
Paso 4 — Score global
Mismo sistema de puntuación que rgpd (suma de bloques / 100).
| Rango | Interpretación |
|---|
| 80–100 | Postura defensible — cumplimiento sustancial |
| 60–79 | Riesgo moderado |
| 40–59 | Riesgo alto |
| 0–39 | Riesgo crítico |
Paso 5 — Clasificación de issues y sanciones (Art. 83 UK GDPR)
El UK GDPR mantiene la estructura de dos niveles de sanción del RGPD, en GBP:
| Nivel | Multa máxima | Artículos típicos |
|---|
| Superior | £17.500.000 o 4% facturación mundial anual | Art. 5, 6, 7, 9, 12–22, 44–49 |
| Estándar | £8.750.000 o 2% facturación mundial anual | Art. 8, 25, 32, 33–34, 37–39 |
La ICO aplica el mayor de los dos valores. Considera atenuantes y agravantes
similares a los del RGPD (Art. 83.2 UK GDPR).
Issues críticos (riesgo nivel superior):
- Política de privacidad inexistente
- Cookies no esenciales activas sin consentimiento (PECR Reg. 6)
- Sin base jurídica declarada
- Datos de categorías especiales sin consentimiento explícito
- Sin HTTPS
- Responsable fuera de UK sin representante designado (Art. 27)
- DPO obligatorio no designado
Issues medios (riesgo nivel superior o estándar):
- Base jurídica por finalidad incompleta
- Derechos sin canal ni plazo de respuesta
- Transferencias fuera de UK/EEE no declaradas
- Banner de cookies solo informativo
- Marketing directo sin mecanismo de baja (PECR)
- Servicios con menores de 18 sin aplicar Children's Code
Issues bajos:
- Falta fecha de actualización en política
- DPO no mencionado donde no es obligatorio
- Headers de seguridad recomendados ausentes
Paso 6 — Output según modo
Modo interno (Markdown)
# Auditoría UK GDPR — [dominio]
Fecha: [fecha] | Sector: [sector] | Score: [X/100]
## Stack tecnológico
[usar resultados del Paso 0 compartido si viene del orquestador]
## Resumen
[postura general, issues críticos, riesgo sancionador estimado en GBP]
## Tabla de cumplimiento
| Bloque | Peso | Pts | Estado | Evidencia |
...
## Issues críticos / medios / bajos
...
## Notas metodológicas
- Verificado externamente
- Pendiente de acceso al backend
- Nota: Data (Use and Access) Act en tramitación — verificar estado
Guardar en C:/Users/cmano/claude-seo/[cliente]/auditoria_uk-gdpr_[fecha].md.
Modo cliente (--docx)
Misma estructura que el skill rgpd modo --docx, adaptada a UK:
- Autoridad de control: ICO
- Multas en GBP
- Referencias a PECR, Children's Code e IDTA en lugar de ePrivacy/CCT
Guardar en C:/Users/cmano/claude-seo/[cliente]/auditoria_uk-gdpr_[fecha].docx.
Notas de alcance
Mismas limitaciones que el skill rgpd: solo se audita lo visible externamente.
Adicional UK: el registro en la ICO no es auditable externamente.
Actualización normativa
- UK GDPR: en vigor desde el 1 de enero de 2021 (post-Brexit).
- Children's Code: en vigor desde septiembre 2021.
- UK-US Data Bridge: operativo desde el 17 de octubre de 2023.
- IDTA: aprobada por ICO en marzo 2022; addendum a CCT europeas aprobado en marzo 2022.
- Data (Use and Access) Act: en tramitación a la fecha de esta versión — puede
modificar disposiciones del UK GDPR. Verificar estado antes de usar.
- Versión de esta skill: 1.0.0 (2026-07-08).