Ley de Protección de Datos de 1998

Legislación del Reino Unido

Legislación del Reino Unido

La Ley de Protección de Datos de 1998 (c. 29) (DPA) fue una ley del Parlamento del Reino Unido diseñada para proteger los datos personales almacenados en computadoras o en un sistema organizado de archivos en papel. Promulgó disposiciones de la Directiva de Protección de Datos de la Unión Europea (UE) de 1995 sobre la protección, el procesamiento y el movimiento de datos.

En virtud de la Ley de Protección de Datos de 1998, las personas tenían derecho a controlar la información sobre sí mismas. La mayor parte de la Ley no se aplicaba al uso doméstico ^[1] , como el mantenimiento de una libreta de direcciones personal. Cualquier persona que tuviera datos personales para otros fines estaba legalmente obligada a cumplir con esta Ley, sujeta a algunas excepciones. La Ley definía ocho principios de protección de datos para garantizar que la información se procesara de manera legal.

El 23 de mayo de 2018, la Ley de Protección de Datos de 2018 (DPA 2018) la sustituyó. La DPA 2018 complementa el Reglamento General de Protección de Datos (RGPD) de la UE, que entró en vigor el 25 de mayo de 2018. El RGPD regula la recopilación, el almacenamiento y el uso de datos personales de forma mucho más estricta. ^[2]

Fondo

La Ley de 1998 sustituyó a la Ley de Protección de Datos de 1984 y a la Ley de Acceso a Archivos Personales de 1987. Además, la Ley de 1998 implementó la Directiva de Protección de Datos de la UE de 1995 .

El Reglamento sobre privacidad y comunicaciones electrónicas (Directiva CE) de 2003 modificó el requisito de consentimiento para la mayoría de las actividades de marketing electrónico y lo modificó para que se requiriera un "consentimiento positivo", como una casilla de aceptación. Siguen existiendo excepciones para la comercialización de "productos y servicios similares" a clientes existentes y solicitantes de información, que aún pueden permitirse con la opción de no aceptar la participación.

La ley de protección de datos de Jersey se basó en la legislación del Reino Unido. ^[3]

Contenido

Alcance de la protección

La sección 1 de la DPA de 1998 definió los "datos personales" como cualquier dato que pudiera haberse utilizado para identificar a una persona viva. Los datos anonimizados o agregados estaban menos regulados por la Ley, siempre que la anonimización o agregación no se hubiera realizado de manera reversible. Las personas podían haber sido identificadas por diversos medios, incluidos el nombre y la dirección, el número de teléfono o la dirección de correo electrónico. La Ley se aplicaba únicamente a los datos que se guardaban, o se pretendía guardar, en ordenadores ("equipos que funcionan automáticamente en respuesta a instrucciones dadas para ese fin") o que se guardaban en un "sistema de archivo pertinente". ^[4]

En algunos casos, los registros en papel podrían haber sido clasificados como un sistema de archivo relevante, como una libreta de direcciones o el diario de un vendedor utilizado para respaldar actividades comerciales. ^[5]

La Ley de Libertad de Información de 2000 modificó la ley para los organismos y autoridades públicos, y el caso Durant modificó la interpretación de la ley al proporcionar jurisprudencia y precedentes. ^[6]

La persona cuyos datos personales hayan sido objeto de tratamiento tiene los siguientes derechos: ^{[7] [8]}

• en virtud del artículo 7, para ver los datos sobre ellos que posee una organización a cambio de una tarifa razonable: la tarifa máxima era de £2 para solicitudes a agencias de referencia crediticia, £50 para solicitudes de salud y educación, y £10 por individuo en caso contrario, ^[9]
• En virtud del artículo 14, solicitar que se corrija la información incorrecta. Si la empresa hizo caso omiso de la solicitud, un tribunal podría haber ordenado que se corrigieran o destruyeran los datos y, en algunos casos, podría haber otorgado una compensación . ^[10]
• en virtud del artículo 10, exigir que sus datos no se utilicen de ninguna manera que potencialmente pudiera haber causado daño o sufrimiento. ^[11]
• en virtud del artículo 11, exigir que sus datos no se utilicen para marketing directo . ^[12]

Principios de protección de datos

El Anexo 1 enumera ocho "principios de protección de datos":

1. Los datos personales serán tratados de manera leal y lícita y, en particular, no serán tratados a menos que:
   1. se cumple al menos una de las condiciones del Anexo 2, y
   2. en el caso de datos personales sensibles, también se cumple al menos una de las condiciones del Anexo 3.
2. Los datos personales se obtendrán únicamente para uno o más fines específicos y legales, y no serán tratados ulteriormente de ninguna manera incompatible con dicho fin o dichos fines.
3. Los datos personales serán adecuados, pertinentes y no excesivos en relación con el fin o los fines para los que son tratados.
4. Los datos personales deberán ser exactos y, cuando sea necesario, se mantendrán actualizados.
5. Los datos personales tratados para cualquier fin o fines no se conservarán durante más tiempo del necesario para dicho fin o fines.
6. Sobre los derechos de las personas, por ejemplo ^[13] los datos personales se procesarán de conformidad con los derechos de los interesados ​​(individuos).
7. Se adoptarán medidas técnicas y organizativas adecuadas contra el tratamiento no autorizado o ilícito de datos personales y contra la pérdida, destrucción o daño accidental de datos personales.
8. Los datos personales no se transferirán a un país o territorio fuera del Espacio Económico Europeo a menos que dicho país o territorio garantice un nivel adecuado de protección de los derechos y libertades de los interesados ​​en relación con el procesamiento de datos personales.

En términos generales, estos ocho principios eran similares a los seis principios establecidos en el RGPD de 2016. ^[14]

Condiciones relativas al primer principio

Los datos personales sólo deben procesarse de manera justa y lícita. Para que los datos se consideren "procesados ​​de manera justa", al menos una de estas seis condiciones debe ser aplicable a esos datos (Anexo 2).

1. El interesado (la persona cuyos datos se almacenan) ha dado su consentimiento ("dado su permiso") para el tratamiento;
2. El tratamiento es necesario para la ejecución o el inicio de un contrato;
3. El procesamiento es necesario en virtud de una obligación legal (distinto de lo establecido en el contrato);
4. El tratamiento es necesario para proteger los intereses vitales del interesado;
5. El tratamiento es necesario para llevar a cabo cualquier función pública;
6. El tratamiento es necesario para perseguir los intereses legítimos del «responsable del tratamiento» o de «terceros» (a menos que pueda perjudicar injustificadamente los intereses del interesado). ^[15]

Consentir

Salvo en las excepciones mencionadas a continuación, el interesado tenía que dar su consentimiento a la recogida de sus datos personales ^[16] y a su utilización para los fines en cuestión. La Directiva Europea de Protección de Datos define el consentimiento como “…toda manifestación de voluntad libre, específica e informada por la que el interesado manifiesta su consentimiento a que se traten datos personales que le conciernen”, lo que significa que el interesado podría haber manifestado su consentimiento de otra forma que no fuera por escrito. ^{[ cita requerida ]} Sin embargo, la falta de comunicación no debería haber sido interpretada como consentimiento.

Además, el consentimiento debería haber sido adecuado a la edad y capacidad de la persona y a otras circunstancias del caso. Si una organización “tiene la intención de seguir conservando o utilizando datos personales después de que finalice la relación con la persona, entonces el consentimiento debería cubrir esto”. Cuando se dio el consentimiento, no se supuso que duraría para siempre, aunque en la mayoría de los casos, el consentimiento duró mientras los datos personales necesitaran ser procesados, y las personas podrían haber tenido la posibilidad de retirar su consentimiento, dependiendo de la naturaleza del consentimiento y las circunstancias en las que se recopiló y utilizó la información personal. ^[17]

La Ley de Protección de Datos también especificó que los datos personales sensibles deben haber sido procesados ​​de acuerdo con un conjunto más estricto de condiciones, en particular, cualquier consentimiento debe haber sido explícito. ^[17]

Excepciones

La Ley se estructuró de tal manera que todo procesamiento de datos personales estaba cubierto por la ley, al tiempo que preveía una serie de excepciones en la Parte IV. ^[1] Las excepciones notables fueron:

• Artículo 28 – Seguridad nacional. Cualquier tratamiento que tenga como finalidad salvaguardar la seguridad nacional está exento de todos los principios de protección de datos, así como de la Parte II (derechos de acceso del interesado), la Parte III (notificación), la Parte V (ejecución) y el Artículo 55 (Obtención ilícita de datos personales).
• Artículo 29 – Delitos e impuestos. Los datos tratados para la prevención o detección de delitos, la captura o persecución de infractores o la determinación o recaudación de impuestos están exentos del primer principio de protección de datos.
• Artículo 36 – Fines domésticos. El tratamiento de datos por parte de una persona únicamente para fines de sus asuntos personales, familiares o domésticos está exento de todos los principios de protección de datos, así como de la Parte II (derecho de acceso del interesado) y la Parte III (notificación).

Poderes policiales y judiciales

La Ley otorgó o reconoció diversos poderes policiales y judiciales.

• Artículo 29 – No se requiere el consentimiento del titular de los datos cuando se procesan datos personales para prevenir o detectar delitos, detener o procesar a delincuentes, evaluar y recaudar impuestos y derechos y cumplir una función legal. ^[18]
• Artículo 35 – Divulgaciones exigidas por la ley o realizadas en relación con procedimientos judiciales. Esto incluía el cumplimiento de órdenes judiciales y otras leyes, y eran parte de procedimientos judiciales. ^[19]

Delitos

La Ley detallaba una serie de delitos civiles y penales por los que los responsables del tratamiento de datos podían ser responsables si no obtenían el consentimiento adecuado del titular de los datos. Sin embargo, el consentimiento no estaba definido específicamente en la Ley y, por lo tanto, era una cuestión de derecho consuetudinario.

• El artículo 21(1) convirtió en delito el procesamiento de información personal sin registro . ^[20]
• El artículo 21(2) tipificó como delito el incumplimiento de las normas de notificación dictadas por el Secretario de Estado ^[20] (propuestas por el Comisionado de Información en virtud del artículo 25 de la Ley). ^[21]
• El artículo 55 hizo ilegal la adquisición de datos personales y convirtió en delito la adquisición de acceso no autorizado a datos personales para personas (otras partes), como piratas informáticos e imitadores, fuera de la organización. ^[22]
• La sección 56 tipificó como delito penal exigir a una persona que presente una solicitud de acceso a la información relacionada con advertencias o condenas con fines de reclutamiento, continuidad en el empleo o prestación de servicios. ^[23] Esta sección entró en vigor el 10 de marzo de 2015. ^[24]

Complejidad

La Ley de Protección de Datos del Reino Unido era una ley de gran alcance que tenía fama de compleja. ^[25] Si bien se respetaban los principios básicos de protección de la privacidad, su interpretación no siempre era sencilla. Muchas empresas, organizaciones e individuos parecían muy inseguros de los objetivos, el contenido y los principios de la Ley. Algunos se negaban a proporcionar incluso material muy básico y disponible al público, citando la Ley como una restricción. ^[26] La Ley también afectó la forma en que las organizaciones realizaban sus negocios en términos de a quién se debía contactar con fines de marketing, no solo por teléfono y correo directo, sino también electrónicamente. Esto ha llevado al desarrollo de estrategias de marketing basadas en el permiso. ^[27]

Definición de datos personales

La definición de datos personales eran datos relativos a una persona viva que puede ser identificada

• de esos datos; o
• de dichos datos más otra información que estuviera o pudiera llegar a estar en posesión del responsable del tratamiento.

Los datos personales sensibles se referían a la raza, etnia, política, religión, condición sindical, salud, historia sexual o antecedentes penales del sujeto. ^[28]

Solicitudes de acceso a datos personales

El sitio web de la Oficina del Comisionado de Información indica lo siguiente con respecto a las solicitudes de acceso a la información : ^[29] "Tiene derecho a saber si una organización está utilizando o almacenando sus datos personales. Esto se denomina derecho de acceso. Puede ejercer este derecho solicitando una copia de los datos, lo que comúnmente se conoce como una 'solicitud de acceso a la información'".

Antes de que el Reglamento General de Protección de Datos (RGPD) entrara en vigor el 25 de mayo de 2018, las organizaciones podían cobrar una tarifa específica por responder a una solicitud de protección de datos personales de hasta 10 libras esterlinas para la mayoría de las solicitudes. Según el RGPD: "Se debe proporcionar una copia de sus datos personales de forma gratuita. Una organización puede cobrar por copias adicionales. Solo puede cobrar una tarifa si considera que la solicitud es 'manifiestamente infundada o excesiva'. En ese caso, puede solicitar una tarifa razonable por los costes administrativos asociados a la solicitud". ^[29]

Comisionado de Información

El cumplimiento de la Ley estaba regulado y aplicado por una autoridad independiente, la Oficina del Comisionado de Información, que mantenía la orientación relacionada con la Ley. ^{[30] [31]}

Grupo de trabajo del artículo 29 de la UE

En enero de 2017, la Oficina del Comisionado de Información invitó al público a presentar comentarios sobre los cambios propuestos por el Grupo de Trabajo del Artículo 29 de la UE a la ley de protección de datos y la introducción anticipada de extensiones a la interpretación de la Ley, la Guía del Reglamento General de Protección de Datos . ^[32]

Véase también

• Ley de Protección de Datos de 2012 (Ghana)
• Ley de 1990 sobre el uso indebido de computadoras
• Privacidad de datos
• Directiva de protección de datos (UE)
• Ley de libertad de información de 2000
• Gaskin contra Reino Unido
• Lista de pérdidas de datos del gobierno del Reino Unido
• Reglamento sobre privacidad y comunicaciones electrónicas (Directiva CE) de 2003
• Reglamento General de Protección de Datos : reglamento de la UE de 2016 sobre protección de datos
• Smith contra Lloyds TSB Bank plc
• Durant contra la Autoridad de Servicios Financieros [2003] EWCA Civ 1746
• Ley de Protección de Datos de 2018. Leyes Públicas Generales del Reino Unido. Vol. 2018 c. 12. 23 de mayo de 2018. De la Ley de Protección de Datos de 2017-19 HL Bill [104] . Consultado el 26 de abril de 2024 .

Referencias

1. Ley de Protección de Datos de 1998 , Parte IV (Exenciones), Sección 36 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público , consultado el 6 de septiembre de 2007
2. Ford, Michael (marzo de 1999). "Legislación reciente. La Ley de Protección de Datos de 1998". Industrial Law Journal . 28 : 57–60. doi :10.1093/ilj/28.1.57.
3. Jersey: Protección de datos en Jersey y otras jurisdicciones offshore Archivado el 27 de octubre de 2012 en Wayback Machine. 23 de julio de 2008 Artículo de Wendy Benjamin, mondaq.com,
4. "Ley de Protección de Datos de 1998, Disposiciones interpretativas básicas". Oficina de Información del Sector Público . Archivado desde el original el 1 de marzo de 2014. Consultado el 14 de marzo de 2014 .
5. "Determinación de qué información es 'dato' a los efectos de la DPA" (PDF) . Oficina del Comisionado de Información . 16 de marzo de 2012. Archivado (PDF) desde el original el 22 de julio de 2016. Consultado el 2 de marzo de 2018 .
6. "¿Qué son los datos personales? El Comisionado de Información actualiza la guía". Pinsent Masons . 30 de agosto de 2007. Archivado desde el original el 20 de octubre de 2011 . Consultado el 20 de agosto de 2012 . En el caso que involucraba a Michael Durant, él solicitó información sobre él que la Autoridad de Servicios Financieros tenía en su poder. El Tribunal de Apelación dictaminó que el hecho de que un documento contuviera su nombre no necesariamente se definía como dato personal. Esto cambió la percepción de cuán amplia podía ser una definición de datos personales.
7. Sus derechos ^{[ enlace muerto permanente ]} , ICO, consultado el 6 de septiembre de 2007
8. "Los derechos de los individuos (Principio 6) Archivado el 18 de noviembre de 2016 en Wayback Machine ", ICO, consultado el 7 de diciembre de 2016
9. "Preguntas frecuentes". Oficina del Comisionado de Información . Archivado desde el original el 30 de mayo de 2013. Consultado el 19 de enero de 2014 .
10. "Reclamación de indemnización". Oficina del Comisionado de Información . Archivado desde el original el 21 de junio de 2017. Consultado el 24 de noviembre de 2017 .
11. Ley de Protección de Datos de 1998 , Parte II (Derechos de los interesados ​​y otros), Sección 10 Archivado el 5 de septiembre de 2011 en Wayback Machine , Oficina de Información del Sector Público, consultado el 6 de septiembre de 2007
12. Ley de Protección de Datos de 1998 , Parte II (Derechos de los interesados ​​y otros), Sección 11 Archivado el 4 de septiembre de 2011 en Wayback Machine , Oficina de Información del Sector Público, consultado el 6 de septiembre de 2007
13. Los derechos de las personas (Principio 6), ICO.org.uk, consultado el 14 de abril de 2011
14. Maxwell, F., Six Principles of GDPR, Quality Compliance Systems Ltd. , publicado el 3 de febrero de 2020, consultado el 3 de enero de 2024
15. OPSI.gov.uk Archivado el 16 de abril de 2009 en Wayback Machine Ley de Protección de Datos de 1998 Anexo 2
16. Sarah, Featherstone (28 de mayo de 2021). «Cómo cumplir con el RGPD». Archivado desde el original el 29 de mayo de 2021.
17. «Condiciones de tratamiento – Guía de protección de datos – ICO». Oficina del Comisionado de Información. Archivado desde el original el 6 de enero de 2015. Consultado el 8 de febrero de 2013 .
18. Ley de Protección de Datos de 1998 , Parte IV (Excepciones: delitos e impuestos), Sección 29 Archivado el 1 de junio de 2017 en Wayback Machine.
19. Ley de Protección de Datos de 1998 , Parte IV (Exenciones: Divulgaciones requeridas por ley o realizadas en relación con procedimientos legales, etc.), Sección 35 Archivado el 23 de mayo de 2017 en Wayback Machine.
20. Ley de Protección de Datos de 1998 , Parte III (Notificación por parte de los controladores de datos), Sección 21 Archivado el 7 de diciembre de 2009 en Wayback Machine , Oficina de Información del Sector Público)
21. Ley de Protección de Datos de 1998 , Parte III (Notificación por parte de los controladores de datos), Sección 25 Archivado el 4 de febrero de 2013 en Wayback Machine.
22. Ley de Protección de Datos de 1998 , Parte VI (Varios y General), Sección 55 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público, consultado el 14 de septiembre de 2007
23. Ley de Protección de Datos de 1998 , Parte VI (Varios y General), Sección 56 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público, consultado el 14 de septiembre de 2007
24. "Las solicitudes de acceso forzado a los datos personales son ahora un delito penal". Lewis Silkin . Archivado desde el original el 19 de marzo de 2015 . Consultado el 10 de marzo de 2015 .
25. Bainbridge, D: "Introducción al derecho informático – Quinta edición", pág. 430. Pearson Education Limited, 2005
26. Mitos y realidades sobre la protección de datos , Oficina del Comisionado de Información , consultado el 30 de agosto de 2008
27. Iversen, Amy; Liddell, Kathleen; Fear, Nicola; Hotopf, Matthew; Wessely, Simon (19 de enero de 2006). "Consentimiento, confidencialidad y la Ley de Protección de Datos". BMJ . 332 (7534): 165–169. doi :10.1136/bmj.332.7534.165. ISSN  0959-8138. PMC 1336771 . PMID  16424496. 
28. "Ley de Protección de Datos de 1998". Base de datos de leyes legislativas del Reino Unido . Archivado desde el original el 20 de agosto de 2012. Consultado el 20 de agosto de 2012 .
29. "Su derecho de acceso". Oficina del Comisionado de Información . Archivado desde el original el 26 de mayo de 2018. Consultado el 25 de mayo de 2018 .
30. "Guía de protección de datos". Oficina del Comisionado de Información . Consultado el 6 de enero de 2015 .
31. Orientación – Ley de Protección de Datos , página de orientación variada ^{[ enlace muerto permanente ]} , Oficina del Comisionado de Información , consultado el 20 de octubre de 2007
32. "Guía del Reglamento General de Protección de Datos (RGPD)". ico.org.uk . 22 de diciembre de 2017. Archivado desde el original el 7 de enero de 2018 . Consultado el 6 de enero de 2018 .

Enlaces externos

• Oficina del Comisionado de Información
• El Departamento de Asuntos Constitucionales
• Consejo de Europa – ETS n.º 108 – Convenio para la protección de las personas con respecto al tratamiento automático de datos de carácter personal (1981) – base de la Ley de Protección de Datos de 1984
• Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos – base de la Ley de Protección de Datos de 1998

Legislación del Reino Unido

• Texto de la Ley de Protección de Datos de 1998 vigente hoy (incluidas todas las modificaciones) en el Reino Unido, desde legislación.gov.uk .