Ley de protección de datos de 1998

Legislación del Reino Unido

Legislación del Reino Unido

La Ley de Protección de Datos de 1998 (c. 29) (DPA) fue una ley del Parlamento del Reino Unido diseñada para proteger los datos personales almacenados en computadoras o en un sistema de archivo organizado en papel. Promulgó disposiciones de la Directiva de protección de datos de la Unión Europea (UE) de 1995 sobre la protección, el procesamiento y el movimiento de datos.

Según la DPA de 1998, los individuos tenían derechos legales para controlar la información sobre ellos mismos. La mayor parte de la ley no se aplicaba al uso doméstico, ^[1] como llevar una libreta de direcciones personal. Cualquier persona que tuviera datos personales para otros fines estaba legalmente obligada a cumplir con esta Ley, sujeto a algunas exenciones. La Ley definió ocho principios de protección de datos para garantizar que la información se procese legalmente.

Fue reemplazada por la Ley de Protección de Datos de 2018 (DPA 2018) el 23 de mayo de 2018. La DPA 2018 complementa el Reglamento General de Protección de Datos de la UE (GDPR), que entró en vigor el 25 de mayo de 2018. El GDPR regula la recopilación, el almacenamiento y uso de datos personales de forma mucho más estricta. ^[2]

Fondo

La Ley de 1998 reemplazó la Ley de Protección de Datos de 1984 y la Ley de Acceso a Archivos Personales de 1987 . Además, la Ley de 1998 implementó la Directiva de Protección de Datos de la UE de 1995 .

El Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003 modificó el requisito de consentimiento para la mayor parte del marketing electrónico a "consentimiento positivo", como un cuadro de suscripción voluntaria. Siguen existiendo exenciones para la comercialización de "productos y servicios similares" a clientes y solicitantes existentes, que aún pueden permitirse mediante exclusión voluntaria.

La ley de protección de datos de Jersey se inspiró en la ley del Reino Unido. ^[3]

Contenido

Alcance de la protección

La sección 1 de la DPA 1998 definió "datos personales" como cualquier dato que podría haberse utilizado para identificar a un individuo vivo. Los datos anonimizados o agregados estaban menos regulados por la Ley, siempre que la anonimización o agregación no se hubiera realizado de forma reversible. Las personas podrían haber sido identificadas por diversos medios, incluido el nombre y la dirección, el número de teléfono o la dirección de correo electrónico. La Ley se aplicaba únicamente a los datos que se conservaban, o se pretendía conservar, en computadoras ("equipos que funcionaban automáticamente en respuesta a instrucciones dadas con ese fin"), o se conservaban en un "sistema de archivo pertinente". ^[4]

En algunos casos, los registros en papel podrían haberse clasificado como un sistema de archivo relevante, como una libreta de direcciones o el diario de un vendedor utilizado para respaldar las actividades comerciales. ^[5]

La Ley de Libertad de Información de 2000 modificó la ley para organismos y autoridades públicas, y el caso Durant modificó la interpretación de la ley al proporcionar jurisprudencia y precedentes. ^[6]

Una persona que tuvo sus datos tratados tenía los siguientes derechos: ^{[7] [8]}

• en virtud de la sección 7, para ver los datos sobre ellos en poder de una organización por una tarifa razonable: la tarifa máxima era £2 para solicitudes a agencias de referencia crediticia, £50 para solicitudes de salud y educación, y £10 por individuo en caso contrario, ^[9]
• en virtud del artículo 14, para solicitar que se corrija la información incorrecta. Si la empresa ignorara la solicitud, un tribunal podría haber ordenado la corrección o destrucción de los datos y, en algunos casos, se podría haber concedido una indemnización . ^[10]
• en virtud del artículo 10, exigir que sus datos no se utilicen de ninguna manera que pueda haber causado daño o angustia. ^[11]
• en virtud del artículo 11, exigir que sus datos no se utilicen para marketing directo . ^[12]

Principios de protección de datos

El Anexo 1 enumera ocho "principios de protección de datos":

1. Los datos personales se procesarán de manera leal y legal y, en particular, no se procesarán a menos que:
   1. se cumple al menos una de las condiciones del Anexo 2, y
   2. en el caso de datos personales sensibles, también se cumple al menos una de las condiciones del Anexo 3.
2. Los datos personales se obtendrán únicamente para uno o más fines específicos y legales, y no se procesarán posteriormente de ninguna manera incompatible con ese propósito o esos propósitos.
3. Los datos personales deberán ser adecuados, pertinentes y no excesivos en relación con la finalidad o fines para los que son tratados.
4. Los datos personales serán exactos y, cuando sea necesario, se mantendrán actualizados.
5. Los datos personales tratados para cualquier fin o fines no se conservarán por más tiempo del necesario para ese fin o esos fines.
6. Acerca de los derechos de las personas, por ejemplo, ^[13] los datos personales se procesarán de acuerdo con los derechos de los interesados ​​(individuos).
7. Se tomarán medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de datos personales.
8. Los datos personales no se transferirán a un país o territorio fuera del Espacio Económico Europeo a menos que ese país o territorio garantice un nivel adecuado de protección de los derechos y libertades de los interesados ​​en relación con el procesamiento de datos personales.

En términos generales, estos ocho principios eran similares a los seis principios establecidos en el RGPD de 2016. ^[14]

Condiciones relevantes para el primer principio

Los datos personales sólo deben procesarse de manera justa y legal. Para que los datos se clasifiquen como "procesados ​​lealmente", al menos una de estas seis condiciones tenía que ser aplicable a esos datos (Anexo 2).

1. El interesado (la persona cuyos datos se almacenan) ha dado su consentimiento ("dado su permiso") para el procesamiento;
2. El procesamiento es necesario para la ejecución o inicio de un contrato;
3. El procesamiento es necesario en virtud de una obligación legal (distinta de la establecida en el contrato);
4. El procesamiento es necesario para proteger los intereses vitales del interesado;
5. El tratamiento es necesario para el desempeño de cualquier función pública;
6. El tratamiento es necesario para perseguir los intereses legítimos del "responsable del tratamiento" o de "terceros" (a menos que pueda perjudicar injustificadamente los intereses del interesado). ^[15]

Consentir

Excepto en las excepciones mencionadas a continuación, el individuo debía dar su consentimiento para la recopilación de su información personal ^[16] y su uso para los fines en cuestión. La Directiva Europea de Protección de Datos definió el consentimiento como “…cualquier indicación libre, específica e informada de sus deseos mediante la cual el interesado manifiesta su conformidad con el procesamiento de datos personales que le conciernen”, lo que significa que el individuo podría haber manifestado su acuerdo de forma distinta a la escrita. ^{[ cita necesaria ]} Sin embargo, la no comunicación no debería haberse interpretado como consentimiento.

Además, el consentimiento debería haber sido apropiado a la edad y capacidad del individuo y otras circunstancias del caso. Si una organización "tiene la intención de continuar conservando o utilizando datos personales después de que finalice la relación con el individuo, entonces el consentimiento debe cubrir esto". Cuando se otorgaba el consentimiento, no se suponía que duraría para siempre, aunque en la mayoría de los casos, el consentimiento duraba mientras los datos personales necesitaban ser procesados, y las personas podían haber podido retirar su consentimiento, dependiendo de la naturaleza del mismo. y las circunstancias en las que se recopiló y utilizó la información personal. ^[17]

La Ley de Protección de Datos también especifica que los datos personales sensibles deben haber sido procesados ​​de acuerdo con un conjunto de condiciones más estricto, en particular, cualquier consentimiento debe haber sido explícito. ^[17]

Excepciones

La Ley estaba estructurada de manera que todo el procesamiento de datos personales estaba cubierto por la ley, al tiempo que establecía una serie de excepciones en la Parte IV. ^[1] Las excepciones notables fueron:

• Artículo 28 - Seguridad nacional. Cualquier procesamiento con el fin de salvaguardar la seguridad nacional está exento de todos los principios de protección de datos, así como de la Parte II (derechos de acceso del sujeto), la Parte III (notificación), la Parte V (cumplimiento) y la Sección 55 (Obtención ilegal de datos personales). ).
• Artículo 29 – Delito y tributación. Están exentos del primer principio de protección de datos los datos tratados para la prevención o detección de delitos, la aprehensión o procesamiento de infractores, o la determinación o recaudación de impuestos.
• Artículo 36 - Fines domésticos. El procesamiento por parte de un individuo únicamente para fines personales, familiares o domésticos de ese individuo está exento de todos los principios de protección de datos, así como de la Parte II (derechos de acceso del sujeto) y la Parte III (notificación).

Poderes policiales y judiciales

La ley otorgaba o reconocía diversos poderes policiales y judiciales.

• Artículo 29 – No se requiere el consentimiento del interesado cuando se procesan datos personales para prevenir o detectar delitos, aprehender o procesar a los infractores, evaluar y recaudar impuestos y derechos y cumplir una función estatutaria. ^[18]
• Artículo 35 - Divulgaciones requeridas por ley o realizadas en relación con procesos judiciales. Esto incluía obedecer órdenes judiciales y otras leyes, y formaba parte de procedimientos legales. ^[19]

Delitos

La Ley detalla una serie de delitos civiles y penales por los cuales los controladores de datos pueden haber sido responsables si un controlador de datos no obtuvo el consentimiento adecuado de un interesado. Sin embargo, el consentimiento no estaba específicamente definido en la ley y, por lo tanto, era una cuestión de derecho consuetudinario.

• La sección 21 (1) tipificó como delito el procesamiento de información personal sin registro . ^[20]
• El artículo 21(2) tipificó como delito el incumplimiento de las normas de notificación dictadas por el Secretario de Estado ^[20] (propuestas por el Comisionado de Información en virtud del artículo 25 de la Ley). ^[21]
• La sección 55 declaró ilegal la adquisición de datos personales y convirtió la adquisición de acceso no autorizado a datos personales en un delito para personas (otras partes), como piratas informáticos e imitadores, fuera de la organización. ^[22]
• La Sección 56 tipificó como delito penal exigir que una persona realice una Solicitud de acceso al sujeto relacionada con advertencias o condenas con fines de contratación, continuidad del empleo o prestación de servicios. ^[23] Esta sección entró en vigor el 10 de marzo de 2015. ^[24]

Complejidad

La Ley de Protección de Datos del Reino Unido era una ley amplia que tenía fama de compleja. ^[25] Si bien se respetaron los principios básicos para proteger la privacidad, interpretar la ley no siempre fue sencillo. Muchas empresas, organizaciones e individuos parecían muy inseguros de los objetivos, el contenido y los principios de la ley. Algunos se negaron a proporcionar incluso material muy básico y disponible públicamente, citando la ley como una restricción. ^[26] La Ley también afectó la forma en que las organizaciones realizaban negocios en términos de quién debería haber sido contactado con fines de marketing, no sólo por teléfono y correo directo, sino también electrónicamente. Esto ha llevado al desarrollo de estrategias de marketing basadas en permisos. ^[27]

Definición de datos personales

La definición de datos personales son los datos relativos a una persona viva que puede ser identificada

• a partir de esos datos; o
• de esos datos más otra información que estuviera en posesión, o que pudiera llegar a estar en posesión, del responsable del tratamiento.

Los datos personales sensibles se referían a la raza, etnia, política, religión, situación sindical, salud, antecedentes sexuales o antecedentes penales del sujeto. ^[28]

Solicitudes de acceso a sujetos

El sitio web de la Oficina del Comisionado de Información declaró con respecto a las solicitudes de acceso de los sujetos : ^[29] "Usted tiene derecho a saber si una organización está usando o almacenando sus datos personales. Esto se llama derecho de acceso. Usted ejerce este derecho solicitando una copia de los datos, lo que comúnmente se conoce como realizar una 'solicitud de acceso del sujeto'".

Antes de que el Reglamento General de Protección de Datos (GDPR) entrara en vigor el 25 de mayo de 2018, las organizaciones podrían haber cobrado una tarifa específica por responder a un SAR de hasta £10 para la mayoría de las solicitudes. Según GDPR: "Se debe proporcionar una copia de sus datos personales de forma gratuita. Una organización puede cobrar por copias adicionales. Sólo puede cobrar una tarifa si cree que la solicitud es 'manifiestamente infundada o excesiva'. Si es así, puede solicitar una honorarios razonables por los costos administrativos asociados con la solicitud." ^[29]

Comisionado de Información

El cumplimiento de la Ley estaba regulado y hecho cumplir por una autoridad independiente, la Oficina del Comisionado de Información, que mantenía orientación relacionada con la Ley. ^{[30] [31]}

Grupo de Trabajo del Artículo 29 de la UE

En enero de 2017, la Oficina del Comisionado de Información invitó a comentarios públicos sobre los cambios propuestos por el Grupo de Trabajo del Artículo 29 de la UE a la ley de protección de datos y la introducción anticipada de extensiones a la interpretación de la Ley, la Guía del Reglamento General de Protección de Datos . ^[32]

Ver también

• Ley de Protección de Datos de 2012 (Ghana)
• Ley de uso indebido de computadoras de 1990
• Privacidad de datos
• Directiva de protección de datos (UE)
• Ley de libertad de información de 2000
• Gaskin contra Reino Unido
• Lista de pérdidas de datos del gobierno del Reino Unido
• Reglamento de privacidad y comunicaciones electrónicas (Directiva CE) de 2003
• Reglamento general de protección de datos : un reglamento de la UE de 2016 sobre protección de datos
• Smith contra Lloyds TSB Bank plc
• Durant contra la Autoridad de Servicios Financieros [2003] EWCA Civ 1746
• « Proyecto de Ley de Protección de Datos [HL] 2017-19 ». Proyecto de Ley No. HL 104 de 2018.("El proyecto de ley de protección de datos se consideró en la etapa de informe el miércoles 9 de mayo de 2018 y se leyó y aprobó con modificaciones").

Referencias

1. Ley de Protección de Datos de 1998 , Parte IV (Exenciones), Sección 36 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público , consultado el 6 de septiembre de 2007.
2. Ford, Michael (marzo de 1999). "Legislación reciente. Ley de protección de datos de 1998". Revista de Derecho Industrial . 28 : 57–60. doi :10.1093/ilj/28.1.57.
3. Jersey: protección de datos en Jersey y otras jurisdicciones extraterritoriales Archivado el 27 de octubre de 2012 en Wayback Machine el 23 de julio de 2008 Artículo de Wendy Benjamin, mondaq.com,
4. "Ley de protección de datos de 1998, disposiciones interpretativas básicas". Oficina de Información del Sector Público . Archivado desde el original el 1 de marzo de 2014 . Consultado el 14 de marzo de 2014 .
5. "Determinar qué información es 'datos' a los efectos de la DPA" (PDF) . Oficina del Comisionado de Información . 16 de marzo de 2012. Archivado (PDF) desde el original el 22 de julio de 2016 . Consultado el 2 de marzo de 2018 .
6. "¿Qué son los datos personales? El Comisionado de Información actualiza la guía". Masones de Pinsent . 30 de agosto de 2007. Archivado desde el original el 20 de octubre de 2011 . Consultado el 20 de agosto de 2012 . En el caso que involucra a Michael Durant, buscó información sobre él en poder de la Autoridad de Servicios Financieros. El Tribunal de Apelación dictaminó que el hecho de que un documento contuviera su nombre no necesariamente se definía como dato personal. Esto cambió la percepción sobre cuán amplia podría ser una definición de datos personales.
7. Tus derechos ^{[ enlace muerto permanente ]} , ICO, consultado el 6 de septiembre de 2007.
8. "Los derechos de las personas (Principio 6) Archivado el 18 de noviembre de 2016 en Wayback Machine ", ICO, consultado el 7 de diciembre de 2016.
9. "Preguntas frecuentes". Oficina del Comisionado de Información . Archivado desde el original el 30 de mayo de 2013 . Consultado el 19 de enero de 2014 .
10. "Reclamar una indemnización". Oficina del Comisionado de Información . Archivado desde el original el 21 de junio de 2017 . Consultado el 24 de noviembre de 2017 .
11. Ley de protección de datos de 1998 , Parte II (Derechos de los interesados ​​y otros), Sección 10 Archivado el 5 de septiembre de 2011 en Wayback Machine , Oficina de Información del Sector Público, consultado el 6 de septiembre de 2007
12. Ley de protección de datos de 1998 , Parte II (Derechos de los interesados ​​y otros), Sección 11 Archivado el 4 de septiembre de 2011 en Wayback Machine , Oficina de Información del Sector Público, consultado el 6 de septiembre de 2007
13. Los derechos de las personas (Principio 6), ICO.org.uk, consultado el 14 de abril de 2011.
14. Maxwell, F., Seis principios del RGPD, Quality Compliance Systems Ltd. , publicado el 3 de febrero de 2020, consultado el 3 de enero de 2024.
15. OPSI.gov.uk Archivado el 16 de abril de 2009 en el Anexo 2 de la Ley de protección de datos de Wayback Machine de 1998
16. Sarah, Featherstone (28 de mayo de 2021). "Cómo cumplir con el RGPD". Archivado desde el original el 29 de mayo de 2021.
17. "Condiciones de Tratamiento - Guía de Protección de Datos - ICO". Oficina del Comisionado de Información. Archivado desde el original el 6 de enero de 2015 . Consultado el 8 de febrero de 2013 .
18. Ley de protección de datos de 1998 , parte IV (Excepciones: delitos e impuestos), sección 29 Archivado el 1 de junio de 2017 en Wayback Machine.
19. Ley de protección de datos de 1998 , Parte IV (Exenciones: divulgaciones requeridas por ley o realizadas en relación con procedimientos legales, etc.), Sección 35 Archivado el 23 de mayo de 2017 en Wayback Machine.
20. Ley de Protección de Datos de 1998 , Parte III (Notificación por parte de los controladores de datos), Sección 21 Archivado el 7 de diciembre de 2009 en Wayback Machine , Oficina de Información del Sector Público)
21. Ley de protección de datos de 1998 , parte III (notificación por parte de los controladores de datos), sección 25 Archivado el 4 de febrero de 2013 en Wayback Machine.
22. Ley de protección de datos de 1998 , Parte VI (Varios y generales), Sección 55 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público, consultado el 14 de septiembre de 2007
23. Ley de protección de datos de 1998 , Parte VI (Varios y generales), Sección 56 Archivado el 24 de agosto de 2007 en Wayback Machine , Oficina de Información del Sector Público, consultado el 14 de septiembre de 2007
24. "Las solicitudes de acceso forzoso a los datos de los interesados ​​son ahora un delito penal". Lewis Silkin . Archivado desde el original el 19 de marzo de 2015 . Consultado el 10 de marzo de 2015 .
25. Bainbridge, D: "Introducción al derecho informático - Quinta edición", p. 430. Pearson Educación Limitada, 2005
26. Mitos y realidades de la protección de datos , Oficina del Comisionado de Información , consultado el 30 de agosto de 2008.
27. Iversen, Amy; Liddell, Kathleen; Miedo, Nicola; Hotopf, Mateo; Wessely, Simon (19 de enero de 2006). “Consentimiento, confidencialidad y Ley de Protección de Datos”. BMJ . 332 (7534): 165–169. doi :10.1136/bmj.332.7534.165. ISSN  0959-8138. PMC 1336771 . PMID  16424496. 
28. "Ley de protección de datos de 1998". Base de datos sobre leyes y estatutos del Reino Unido . Archivado desde el original el 20 de agosto de 2012 . Consultado el 20 de agosto de 2012 .
29. "Su derecho de acceso". Oficina del Comisionado de Información . Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
30. "La Guía para la Protección de Datos". Oficina del Comisionado de Información . Consultado el 6 de enero de 2015 .
31. Orientación: Ley de protección de datos , página de orientación variada ^{[ enlace muerto permanente ]} , Oficina del Comisionado de Información , consultado el 20 de octubre de 2007.
32. "Guía del Reglamento General de Protección de Datos (GDPR)". ico.org.uk. ​22 de diciembre de 2017. Archivado desde el original el 7 de enero de 2018 . Consultado el 6 de enero de 2018 .

enlaces externos

• Oficina del Comisionado de Información
• El Departamento de Asuntos Constitucionales
• Consejo de Europa – ETS no. 108 – Convenio para la protección de las personas con respecto al procesamiento automático de datos personales (1981) – base para la Ley de protección de datos de 1984
• Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos – base de la Ley de Protección de Datos de 1998

Legislación del Reino Unido

• Texto de la Ley de Protección de Datos de 1998 vigente en la actualidad (incluidas sus modificaciones) en el Reino Unido, de Legislación.gov.uk .