La Ley de protección de datos de 1998 (c. 29) fue una ley del Parlamento del Reino Unido diseñada para proteger los datos personales almacenados en computadoras o en un sistema organizado de archivo en papel. Promulgó las disposiciones de la Directiva de protección de datos de la UE de 1995 sobre la protección, el procesamiento y el movimiento de datos.
acto de Parlamento | |
Título largo | Una ley para establecer una nueva disposición para la regulación del procesamiento de información relacionada con individuos, incluida la obtención, tenencia, uso o divulgación de dicha información. |
---|---|
Citación | 1998 c. 29 |
Extensión territorial | Reino Unido de Gran Bretaña e Irlanda del Norte |
fechas | |
Asentimiento real | 16 de julio de 1998 |
Otra legislación | |
Derogaciones | Ley de Protección de Datos de 1984 |
Modificado por | sí |
Derogado por | Ley de Protección de Datos 2018 |
Estado: derogado | |
Texto del estatuto como se promulgó originalmente |
Según la DPA de 1998, las personas tenían derechos legales para controlar la información sobre sí mismas. La mayor parte de la ley no se aplicaba al uso doméstico [1], por ejemplo, llevar una libreta de direcciones personal. Cualquiera que tuviera datos personales para otros fines estaba legalmente obligado a cumplir con esta Ley, sujeto a algunas exenciones. La Ley definió ocho principios de protección de datos para garantizar que la información se procesara legalmente.
Fue reemplazado por la Ley de Protección de Datos 2018 (DPA 2018) el 23 de mayo de 2018. El DPA 2018 complementa el Reglamento General de Protección de Datos de la UE (GDPR), que entró en vigor el 25 de mayo de 2018. El GDPR regula la recopilación, el almacenamiento y uso de datos personales significativamente más estricto. [2]
Fondo
La Ley de 1998 reemplazó la Ley de Protección de Datos de 1984 y la Ley de Acceso a Archivos Personales de 1987 , e implementó la Directiva de Protección de Datos de la UE de 1995 .
El Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva de la CE) de 2003 modificó el requisito de consentimiento para la mayor parte del marketing electrónico a un "consentimiento positivo", como una casilla de suscripción. Siguen existiendo exenciones para la comercialización de "productos y servicios similares" a clientes y solicitantes existentes, a los que aún se les puede dar permiso de forma voluntaria.
La ley de protección de datos de Jersey se inspiró en la ley del Reino Unido. [3]
Contenido
Alcance de la protección
La sección 1 define "datos personales" como cualquier dato que pueda utilizarse para identificar a una persona viva. Los datos anonimizados o agregados están menos regulados por la Ley, siempre que la anonimización o agregación no se haya realizado de manera reversible. Las personas pueden identificarse por varios medios, incluido su nombre y dirección, número de teléfono o dirección de correo electrónico. La Ley se aplica únicamente a los datos que se conservan, o se pretende que se conserven, en ordenadores ("equipos que funcionan automáticamente en respuesta a instrucciones dadas a tal efecto"), o que se conservan en un "sistema de archivo pertinente". [4]
En algunos casos, los registros en papel pueden clasificarse como un "sistema de archivo relevante", como una libreta de direcciones o el diario de un vendedor que se utiliza para respaldar las actividades comerciales. [5]
La Ley de Libertad de Información de 2000 modificó la ley para organismos y autoridades públicas, y el caso Durant modificó la interpretación de la ley al proporcionar jurisprudencia y precedentes. [6]
Una persona que tiene sus datos procesados tiene los siguientes derechos: [7] [8]
- según la sección 7, para ver los datos que una organización tiene sobre ellos por una tarifa razonable: la tarifa máxima es de £ 2 para solicitudes a agencias de referencia de crédito, £ 50 para solicitudes de salud y educación, y £ 10 por persona en caso contrario [9]
- bajo la sección 14, solicite que se corrija la información incorrecta. Si la empresa ignora la solicitud, un tribunal puede ordenar que se corrijan o destruyan los datos y, en algunos casos, se puede otorgar una compensación . [10]
- según la sección 10, exija que los datos no se utilicen de ninguna manera que pueda causar daños o angustia. [11]
- en virtud de la sección 11, exigir que sus datos no se utilicen para marketing directo . [12]
Principios de protección de datos
El Anexo 1 enumera ocho "principios de protección de datos".
- Los datos personales se procesarán de manera justa y legal y, en particular, no se procesarán a menos que:
- se cumple al menos una de las condiciones del Anexo 2, y
- en el caso de datos personales sensibles, también se cumple al menos una de las condiciones del Anexo 3.
- Los datos personales se obtendrán solo para uno o más fines específicos y legales, y no se procesarán de ninguna manera incompatible con ese propósito o esos fines.
- Los datos personales serán adecuados, pertinentes y no excesivos en relación con la finalidad o finalidades para las que se tratan.
- Los datos personales serán precisos y, cuando sea necesario, se mantendrán actualizados.
- Los datos personales procesados para cualquier propósito o propósitos no se conservarán por más tiempo del necesario para ese propósito o esos propósitos.
- Acerca de los derechos de las personas, por ejemplo, [13] los datos personales se procesarán de acuerdo con los derechos de los interesados (personas).
- Se tomarán las medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de datos personales.
- Los datos personales no se transferirán a un país o territorio fuera del Espacio Económico Europeo a menos que ese país o territorio garantice un nivel adecuado de protección de los derechos y libertades de los interesados en relación con el procesamiento de datos personales.
- Condiciones relevantes para el primer principio
Los datos personales solo deben procesarse de manera justa y legal. Para que los datos se clasifiquen como 'procesados de manera justa', al menos una de estas seis condiciones debe ser aplicable a esos datos (Anexo 2).
- El interesado (la persona cuyos datos se almacenan) ha dado su consentimiento ("ha dado su permiso") para el procesamiento;
- El procesamiento es necesario para la ejecución o el inicio de un contrato;
- El procesamiento se requiere bajo una obligación legal (diferente a la establecida en el contrato);
- El procesamiento es necesario para proteger los intereses vitales del interesado;
- El procesamiento es necesario para llevar a cabo cualquier función pública;
- El procesamiento es necesario para perseguir los intereses legítimos del "controlador de datos" o "terceros" (a menos que pueda perjudicar injustificadamente los intereses del interesado). [14]
- Consentimiento
Salvo en las excepciones que se mencionan a continuación, el individuo debe dar su consentimiento para la recopilación de su información personal [15] y su uso en el (los) propósito (s) en cuestión. La Directiva europea de protección de datos define el consentimiento como "... cualquier indicación específica e informada dada libremente de sus deseos por la cual el interesado expresa su aceptación de que los datos personales relacionados con él sean procesados", lo que significa que el individuo puede significar un acuerdo que no sea por escrito. Sin embargo , la falta de comunicación no debe interpretarse como consentimiento.
Además, el consentimiento debe ser apropiado a la edad y capacidad del individuo y otras circunstancias del caso. Por ejemplo, si una organización "tiene la intención de seguir reteniendo o utilizando datos personales después de que finaliza la relación con el individuo, entonces el consentimiento debe cubrir esto". E incluso cuando se da el consentimiento, no se debe suponer que dure para siempre. Aunque en la mayoría de los casos el consentimiento dura el tiempo que sea necesario procesar los datos personales, las personas pueden retirar su consentimiento, según la naturaleza del consentimiento y las circunstancias en las que se recopila y utiliza la información personal. [dieciséis]
La Ley de Protección de Datos también especifica que los datos personales sensibles deben procesarse de acuerdo con un conjunto de condiciones más estrictas, en particular, cualquier consentimiento debe ser explícito. [dieciséis]
Excepciones
La Ley está estructurada de tal manera que todo el procesamiento de datos personales está cubierto por la ley, al tiempo que proporciona una serie de excepciones en la Parte IV. [1] Las excepciones notables son:
- Artículo 28 - Seguridad nacional. Cualquier procesamiento con el propósito de salvaguardar la seguridad nacional está exento de todos los principios de protección de datos, así como de la Parte II (derechos de acceso del sujeto), la Parte III (notificación), la Parte V (cumplimiento) y la Sección 55 (Obtención ilegal de datos personales ).
- Artículo 29 - Delito e impuestos. Los datos tratados para la prevención o detección de delitos, la aprehensión o enjuiciamiento de los infractores, o la determinación o recaudación de impuestos están exentos del primer principio de protección de datos.
- Sección 36 - Fines domésticos. El procesamiento por parte de una persona solo para los fines de los asuntos personales, familiares o domésticos de esa persona está exento de todos los principios de protección de datos, así como de la Parte II (derechos de acceso del sujeto) y la Parte III (notificación).
Poderes policiales y judiciales
La ley otorga o reconoce diversos poderes policiales y judiciales.
- Sección 29 - No se requiere el consentimiento del sujeto de datos cuando se procesan datos personales para prevenir o detectar delitos, detener o enjuiciar a los infractores, evaluar y recaudar impuestos y derechos y desempeñar una función legal. [17]
- Sección 35 - Divulgaciones requeridas por ley o realizadas en relación con procedimientos legales. Esto incluye obedecer órdenes judiciales, otras leyes y son parte de procedimientos legales. [18]
Ofensas
La Ley detalla una serie de delitos civiles y penales por los que los controladores de datos pueden ser responsables si un controlador de datos no ha obtenido el consentimiento adecuado de un interesado. Sin embargo, el "consentimiento" no se define específicamente en la Ley y, por lo tanto, es un asunto de derecho común.
- La sección 21 (1) tipifica como delito procesar información personal sin registro . [19]
- El artículo 21 (2) tipifica como delito el incumplimiento de las normas de notificación dictadas por el Secretario de Estado [19] (propuesto por el Comisionado de Información en virtud del artículo 25 de la Ley). [20]
- El artículo 55 declara ilegal la obtención de datos personales. Esta sección tipifica como delito que personas (Otras Partes), como piratas informáticos e imitadores, ajenas a la organización obtengan acceso no autorizado a los datos personales. [21]
- La Sección 56 tipifica como delito exigir a una persona que realice una Solicitud de acceso de sujeto relacionada con advertencias o condenas con el fin de reclutar, continuar trabajando o proporcionar servicios. [22] Esta sección entró en vigor el 10 de marzo de 2015. [23]
Complejidad
La Ley de Protección de Datos del Reino Unido es una ley importante que tiene una reputación de complejidad. [24] Si bien se respetan los principios básicos para proteger la privacidad, interpretar el acto no siempre es simple. Muchas empresas, organizaciones y personas parecen muy inseguras de los objetivos, el contenido y los principios de la ley. Algunos se esconden detrás de la Ley y se niegan a proporcionar incluso material muy básico y disponible públicamente que cita la Ley como una restricción. [25] La Ley también influye en la forma en que las organizaciones realizan negocios en términos de quién puede ser contactado con fines de marketing, no solo por teléfono y correo directo sino también electrónicamente, y ha llevado al desarrollo de estrategias de marketing basadas en permisos. [26]
Definición de datos personales
La definición de datos personales son los datos relacionados con un individuo vivo que puede ser identificado.
- a partir de esos datos o
- a partir de esos datos y otra información en posesión o que pueda llegar a estar en posesión del controlador de datos
Los datos personales sensibles se refieren a la raza, etnia, política, religión, estado sindical, salud, vida sexual o antecedentes penales del sujeto. [27]
Solicitudes de acceso de sujetos
El sitio web de la Oficina del Comisionado de Información establece con respecto a las Solicitudes de acceso de los sujetos (SAR): [28] " Tiene derecho a averiguar si una organización está usando o almacenando sus datos personales. Esto se denomina derecho de acceso. Usted ejerce este derecho preguntando para obtener una copia de los datos, lo que comúnmente se conoce como "solicitud de acceso del sujeto ".
Antes de que entrara en vigor el Reglamento General de Protección de Datos (GDPR) el 25 de mayo de 2018, las organizaciones podían cobrar una tarifa específica por responder a un SAR, de hasta £ 10 para la mayoría de las solicitudes. Según el RGPD: " Se debe proporcionar una copia de sus datos personales de forma gratuita. Una organización puede cobrar por copias adicionales. Solo puede cobrar una tarifa si cree que la solicitud es 'manifiestamente infundada o excesiva'. Si es así, puede solicitar una tarifa razonable por los costos administrativos asociados con la solicitud ". [28]
Comisionado de información
El cumplimiento de la Ley está regulado y ejecutado por una autoridad independiente, la Oficina del Comisionado de Información , que mantiene la orientación relacionada con la Ley. [29] [30]
Grupo de trabajo del artículo 29 de la UE
En enero de 2017, la Oficina del Comisionado de Información solicitó comentarios públicos sobre los cambios propuestos por el Grupo de Trabajo del Artículo 29 de la UE a la ley de protección de datos y la introducción anticipada de extensiones a la interpretación de la Ley, la Guía del Reglamento General de Protección de Datos . [31]
Ver también
- Ley de protección de datos de 2012 (Ghana)
- Ley de uso indebido de computadoras de 1990
- Privacidad de datos
- Directiva de protección de datos (UE)
- Ley de Libertad de Información de 2000
- Gaskin v Reino Unido
- Lista de pérdidas de datos del gobierno del Reino Unido
- Regulaciones de privacidad y comunicaciones electrónicas (Directiva de la CE) de 2003
- Reglamento general de protección de datos : un reglamento de la UE de 2016 sobre protección de datos
- Smith contra Lloyds TSB Bank plc
- Durant v Financial Services Authority [2003] EWCA Civ 1746
- " Proyecto de Ley de Protección de Datos [HL] 2017-19 ". Proyecto de ley No. HL 104 de 2018 .(" El proyecto de ley de protección de datos se consideró en la etapa de informe el miércoles 9 de mayo de 2018 y se leyó y aprobó con enmiendas ").
Referencias
- ^ a b Ley de Protección de Datos de 1998 , Parte IV (Exenciones), Sección 36 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público , consultado el 6 de septiembre de 2007
- ^ Ford, Michael (marzo de 1999). "Legislación reciente. La Ley de Protección de Datos de 1998". Revista de Derecho Industrial . 28 : 57–60. doi : 10.1093 / ilj / 28.1.57 .
- ^ Jersey: Protección de datos en Jersey y otras jurisdicciones offshore Archivado el 27 de octubre de 2012 en Wayback Machine el 23 de julio de 2008 Artículo de Wendy Benjamin, mondaq.com,
- ^ "Ley de Protección de Datos de 1998, Disposiciones Interpretativas Básicas" . Oficina de Información del Sector Público . Archivado desde el original el 1 de marzo de 2014 . Consultado el 14 de marzo de 2014 .
- ^ "Determinar qué información son 'datos' a los efectos de la DPA" (PDF) . Oficina del Comisionado de Información . 16 de marzo de 2012. Archivado (PDF) desde el original el 22 de julio de 2016 . Consultado el 2 de marzo de 2018 .
- ^ "¿Qué son los datos personales? El Comisionado de información actualiza la guía" . Albañiles Pinsent . 30 de agosto de 2007. Archivado desde el original el 20 de octubre de 2011 . Consultado el 20 de agosto de 2012 .
En el caso de Michael Durant, buscó información sobre él en poder de la Autoridad de Servicios Financieros. El Tribunal de Apelación dictaminó que solo porque un documento contenía su nombre no se definía necesariamente como datos personales. Esto cambió la percepción de cuán amplia podría ser una definición de datos personales.
- ^ Sus derechos [ enlace muerto permanente ] , ICO, consultado el 6 de septiembre de 2007
- ^ " Los derechos de las personas (principio 6) Archivado el 18 de noviembre de 2016 en Wayback Machine ", ICO, consultado el 7 de diciembre de 2016
- ^ "Preguntas frecuentes" . Oficina del Comisionado de Información . Consultado el 19 de enero de 2014 .[ enlace muerto permanente ]
- ^ "Reclamar indemnización" . Oficina del Comisionado de Información . Archivado desde el original el 21 de junio de 2017 . Consultado el 24 de noviembre de 2017 .
- ^ Ley de Protección de Datos de 1998 , Parte II (Derechos de los interesados y otros), Sección 10 Archivado el 5 de septiembre de 2011 en Wayback Machine , Oficina de Información del Sector Público, consultado el 6 de septiembre de 2007
- ^ Ley de Protección de Datos de 1998 , Parte II (Derechos de los interesados y otros), Sección 11 Archivado el 4 de septiembre de 2011 en Wayback Machine , Oficina de Información del Sector Público, consultado el 6 de septiembre de 2007
- ^ Los derechos de las personas (principio 6), ICO.org.uk , consultado el 14 de abril de 2011
- ^ OPSI.gov.uk Archivado el 16 de abril de 2009 en la Wayback Machine Data Protection Act 1998 Schedule 2
- ^ Sarah, Featherstone (28 de mayo de 2021). "Cómo cumplir con GDPR" .
- ^ a b "Condiciones de Tramitación - Guía de Protección de Datos - ICO" . Oficina del Comisionado de Información. Archivado desde el original el 6 de enero de 2015 . Consultado el 8 de febrero de 2013 .
- ^ Ley de protección de datos de 1998 , Parte IV (Excepciones - Delito e impuestos), Sección 29 Archivado el 1 de junio de 2017 en Wayback Machine
- ^ Ley de protección de datos de 1998 , Parte IV (Exenciones: divulgaciones requeridas por la ley o realizadas en relación con procedimientos legales, etc.), Sección 35 Archivado el 23 de mayo de 2017 en Wayback Machine.
- ^ a b Ley de protección de datos de 1998 , Parte III (Notificación de los controladores de datos), Sección 21 Archivado el 7 de diciembre de 2009 en Wayback Machine , Oficina de información del sector público)
- ^ Ley de protección de datos de 1998 , Parte III (Notificación de los controladores de datos), Sección 25 Archivado el 4 de febrero de 2013 en Wayback Machine
- ^ Ley de Protección de Datos de 1998 , Parte VI (Varios y General), Sección 55 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público, consultado el 14 de septiembre de 2007
- ^ Ley de Protección de Datos de 1998 , Parte VI (Varios y General), Sección 56 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público, consultado el 14 de septiembre de 2007
- ^ "Las solicitudes de acceso forzado a los interesados son ahora un delito" . Lewis Silkin . Archivado desde el original el 19 de marzo de 2015 . Consultado el 10 de marzo de 2015 .
- ^ Bainbridge, D: "Introducción al derecho informático - Quinta edición", p. 430. Pearson Education Limited, 2005
- ^ Mitos y realidades de protección de datos [ enlace muerto permanente ] , Oficina del Comisionado de Información , consultado el 30 de agosto de 2008
- ^ Iversen, Amy; Liddell, Kathleen; Miedo, Nicola; Hotopf, Matthew; Wessely, Simon (19 de enero de 2006). "Consentimiento, confidencialidad y Ley de Protección de Datos" . BMJ . 332 (7534): 165–169. doi : 10.1136 / bmj.332.7534.165 . ISSN 0959-8138 . PMC 1336771 . PMID 16424496 .
- ^ "Ley de Protección de Datos de 1998" . Base de datos de leyes de estatutos del Reino Unido . Archivado desde el original el 20 de agosto de 2012 . Consultado el 20 de agosto de 2012 .
- ^ a b "Su derecho de acceso" . Oficina del Comisionado de Información . Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
- ^ "La Guía de Protección de Datos" . Oficina del Comisionado de Información . Consultado el 6 de enero de 2015 .
- ^ Orientación: la Ley de protección de datos , Página de orientación variada [ enlace muerto permanente ] , Oficina del comisionado de información , consultado el 20 de octubre de 2007
- ^ "Guía del Reglamento General de Protección de Datos (RGPD)" . ico.org.uk . 22 de diciembre de 2017. Archivado desde el original el 7 de enero de 2018 . Consultado el 6 de enero de 2018 .
enlaces externos
- Oficina del Comisionado de Información
- Departamento de Asuntos Constitucionales
- Consejo de Europa - ETS no. 108 - Convenio para la Protección de las Personas con respecto al Tratamiento Automático de Datos Personales (1981) - base para la Ley de Protección de Datos de 1984
- Directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos : base de la Ley de protección de datos de 1998
Legislación del Reino Unido
- Texto de la Ley de protección de datos de 1998 en vigor hoy (incluidas las enmiendas) en el Reino Unido, procedente de la legislación.gov.uk .