Wikibrief

Ley de Protección de Datos de 1998

Editar artículo

Ley de protección de datos de 1998
acto de Parlamento
Parlamento del Reino Unido
Título largo Una ley para establecer una nueva disposición para la regulación del procesamiento de información relacionada con individuos, incluida la obtención, tenencia, uso o divulgación de dicha información.
Citación 1998 c. 29
Extensión territorial Reino Unido de Gran Bretaña e Irlanda del Norte
fechas
Asentimiento real 16 de julio de 1998
Otra legislación
Derogaciones Ley de Protección de Datos de 1984
Enmendado por
Derogado por Ley de Protección de Datos 2018
Estado: derogado
Texto del estatuto como se promulgó originalmente

La Ley de Protección de Datos de 1998 (DPA, c. 29) fue una ley del Parlamento del Reino Unido diseñada para proteger los datos personales almacenados en computadoras o en un sistema de archivo organizado en papel. Promulgó las disposiciones de la Directiva de protección de datos de la UE de 1995 sobre la protección, el procesamiento y el movimiento de datos.

Según la DPA de 1998, las personas tenían derechos legales para controlar la información sobre sí mismas. La mayor parte de la ley no se aplica al uso doméstico, por ejemplo, llevar una libreta de direcciones personal. Cualquiera que tuviera datos personales para otros fines estaba legalmente obligado a cumplir con esta Ley, sujeto a algunas exenciones. La ley definió ocho principios de protección de datos para garantizar que la información se procesara legalmente.

Fue reemplazado por la Ley de Protección de Datos 2018 (DPA 2018) el 23 de mayo de 2018. El DPA 2018 complementa el Reglamento General de Protección de Datos de la UE (GDPR), que entró en vigor el 25 de mayo de 2018. El GDPR regula la recopilación, el almacenamiento y uso de datos personales significativamente más estricto.

Contenido
  • 1 Antecedentes
  • 2 Contenidos
    • 2.1 Alcance de la protección
    • 2.2 Principios de protección de datos
    • 2.3 Excepciones
    • 2.4 Poderes policiales y judiciales
    • 2.5 Infracciones
    • 2.6 Complejidad
    • 2.7 Definición de datos personales
    • 2.8 Solicitudes de acceso de sujetos
    • 2.9 Comisionado de información
    • 2.10 Grupo de trabajo del artículo 29 de la UE
  • 3 Ver también
  • 4 referencias
  • 5 enlaces externos
    • 5.1 Legislación del Reino Unido

Fondo

La Ley de 1998 reemplazó a la Ley de Protección de Datos de 1984 y la Ley de Acceso a Archivos Personales de 1987. Además, la Ley de 1998 implementó la Directiva de Protección de Datos de la UE de 1995.

El Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva de la CE) de 2003 modificó el requisito de consentimiento para la mayor parte del marketing electrónico a un "consentimiento positivo", como un buzón de suscripción. Siguen existiendo exenciones para la comercialización de "productos y servicios similares" a clientes y solicitantes existentes, que aún pueden permitirse mediante exclusión voluntaria.

La ley de protección de datos de Jersey se inspiró en la ley del Reino Unido.

Contenido

Alcance de la protección

La sección 1 definió "datos personales" como cualquier dato que podría haber sido utilizado para identificar a una persona viva. Los datos anonimizados o agregados están menos regulados por la Ley, siempre que la anonimización o agregación no se haya realizado de manera reversible. Las personas podrían haber sido identificadas por varios medios, incluido el nombre y la dirección, el número de teléfono o la dirección de correo electrónico. La Ley se aplicaba únicamente a los datos que se guardaban, o se pretendía conservar, en ordenadores ("equipos que funcionan automáticamente en respuesta a instrucciones dadas para ese fin"), o que se conservan en un "sistema de archivo pertinente".

En algunos casos, los registros en papel podrían haber sido clasificados como un "sistema de archivo relevante", como una libreta de direcciones o un diario de un vendedor que se utiliza para respaldar las actividades comerciales.

La Ley de Libertad de Información de 2000 modificó la ley para organismos y autoridades públicas, y el caso Durant modificó la interpretación de la ley al proporcionar jurisprudencia y precedentes.

Una persona que tenía sus datos procesados ​​tenía los siguientes derechos:

  • según la sección 7, para ver los datos que tiene una organización por una tarifa razonable: la tarifa máxima era de £ 2 para solicitudes a agencias de referencia de crédito, £ 50 para solicitudes de salud y educación, y £ 10 por persona en caso contrario,
  • en virtud de la sección 14, para solicitar que se corrija la información incorrecta. Si la empresa ignoró la solicitud, un tribunal podría haber ordenado la corrección o destrucción de los datos y, en algunos casos, podría haberse otorgado una compensación.
  • en virtud de la sección 10, para exigir que sus datos no se utilicen de ninguna manera que pudiera haber causado daños o angustia.
  • en virtud de la sección 11, para exigir que sus datos no se utilicen para marketing directo.

Principios de protección de datos

El Anexo 1 enumeró ocho "principios de protección de datos":

  1. Los datos personales se procesarán de manera justa y legal y, en particular, no se procesarán a menos que:
    1. se cumple al menos una de las condiciones del Anexo 2, y
    2. en el caso de datos personales sensibles, también se cumple al menos una de las condiciones del Anexo 3.
  2. Los datos personales se obtendrán solo para uno o más fines específicos y legales, y no se procesarán de ninguna manera incompatible con ese propósito o esos fines.
  3. Los datos personales serán adecuados, pertinentes y no excesivos en relación con la finalidad o finalidades para las que se tratan.
  4. Los datos personales serán precisos y, cuando sea necesario, se mantendrán actualizados.
  5. Los datos personales procesados ​​para cualquier propósito o propósitos no se conservarán por más tiempo del necesario para ese propósito o esos propósitos.
  6. Acerca de los derechos de las personas, por ejemplo, los datos personales se procesarán de acuerdo con los derechos de los interesados ​​(personas).
  7. Se tomarán las medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de datos personales.
  8. Los datos personales no se transferirán a un país o territorio fuera del Espacio Económico Europeo a menos que ese país o territorio garantice un nivel adecuado de protección de los derechos y libertades de los interesados ​​en relación con el procesamiento de datos personales.
Condiciones relevantes para el primer principio

Los datos personales solo deben procesarse de manera justa y legal. Para que los datos se clasifiquen como 'procesados ​​de manera justa', al menos una de estas seis condiciones debe ser aplicable a esos datos (Anexo 2).

  1. El interesado (la persona cuyos datos se almacenan) ha dado su consentimiento ("ha dado su permiso") para el procesamiento;
  2. El procesamiento es necesario para la ejecución o el inicio de un contrato;
  3. El procesamiento se requiere bajo una obligación legal (diferente a la establecida en el contrato);
  4. El procesamiento es necesario para proteger los intereses vitales del interesado;
  5. El procesamiento es necesario para llevar a cabo cualquier función pública;
  6. El procesamiento es necesario para perseguir los intereses legítimos del "controlador de datos" o "terceros" (a menos que pueda perjudicar injustificadamente los intereses del interesado).
Consentimiento

Excepto bajo las excepciones que se mencionan a continuación, la persona habría tenido que dar su consentimiento para la recopilación de su información personal y su uso en el (los) propósito (s) en cuestión. La Directiva europea de protección de datos definió el consentimiento como "... cualquier indicación específica e informada dada libremente de sus deseos por la cual el interesado expresa su consentimiento para que los datos personales relacionados con él sean procesados", lo que significa que el individuo podría haber manifestado un acuerdo de otra manera que no sea por escrito. Sin embargo, la falta de comunicación no debería interpretarse como consentimiento.

Además, el consentimiento debería haber sido apropiado para la edad y la capacidad del individuo y otras circunstancias del caso. Por ejemplo, si una organización "tiene la intención de seguir reteniendo o utilizando datos personales después de que finaliza la relación con el individuo, entonces el consentimiento debe cubrir esto". E incluso cuando se dio el consentimiento, no se debería haber asumido que duraría para siempre. Aunque, en la mayoría de los casos, el consentimiento duró mientras los datos personales necesitaban ser procesados, es posible que las personas hayan podido retirar su consentimiento, según la naturaleza del consentimiento y las circunstancias en las que se recopiló y utilizó la información personal.

La Ley de Protección de Datos también especificó que los datos personales sensibles deben haber sido procesados ​​de acuerdo con un conjunto de condiciones más estrictas, en particular, cualquier consentimiento debe haber sido explícito.

Excepciones

La ley se estructuró de tal manera que todo el procesamiento de datos personales estaba cubierto por la ley, al tiempo que proporcionaba una serie de excepciones en la Parte IV. Las excepciones notables fueron:

  • Artículo 28 - Seguridad nacional. Cualquier procesamiento con el fin de salvaguardar la seguridad nacional está exento de todos los principios de protección de datos, así como de la Parte II (derechos de acceso del sujeto), la Parte III (notificación), la Parte V (cumplimiento) y la Sección 55 (Obtención ilegal de datos personales).
  • Artículo 29 - Delito e impuestos. Los datos tratados para la prevención o detección de delitos, la aprehensión o enjuiciamiento de los infractores, o la determinación o recaudación de impuestos están exentos del primer principio de protección de datos.
  • Sección 36 - Fines domésticos. El procesamiento por parte de una persona solo para los fines de los asuntos personales, familiares o domésticos de esa persona está exento de todos los principios de protección de datos, así como de la Parte II (derechos de acceso del sujeto) y la Parte III (notificación).

Poderes policiales y judiciales

La ley otorgó o reconoció varios poderes policiales y judiciales.

  • Sección 29 - No se requiere el consentimiento del sujeto de datos cuando se procesan datos personales para prevenir o detectar delitos, detener o enjuiciar a los infractores, evaluar y recaudar impuestos y derechos y desempeñar una función legal.
  • Sección 35 - Divulgaciones requeridas por ley o realizadas en relación con procedimientos legales. Esto incluye obedecer órdenes judiciales, otras leyes y son parte de procedimientos legales.

Ofensas

La Ley detalla una serie de delitos civiles y penales por los cuales los controladores de datos pueden haber sido responsables si un controlador de datos no obtuvo el consentimiento apropiado de un interesado. Sin embargo, el "consentimiento" no se define específicamente en la ley y, por lo tanto, es un asunto de derecho consuetudinario.

  • La sección 21 (1) tipifica como delito procesar información personal sin registro.
  • La Sección 21 (2) tipifica como delito el incumplimiento de las regulaciones de notificación dictadas por el Secretario de Estado (propuesto por el Comisionado de Información bajo la sección 25 de la Ley).
  • El artículo 55 declara ilegal la obtención de datos personales. Esta sección tipifica como delito para las personas (Otras Partes), como piratas informáticos e imitadores, fuera de la organización obtener acceso no autorizado a datos personales.
  • La Sección 56 tipifica como delito exigir a una persona que realice una Solicitud de acceso de sujeto relacionada con advertencias o condenas con el fin de reclutar, continuar trabajando o proporcionar servicios. Esta sección entró en vigor el 10 de marzo de 2015.

Complejidad

La Ley de Protección de Datos del Reino Unido era una ley de gran envergadura que tenía fama de ser compleja. Si bien se respetaron los principios básicos para proteger la privacidad, la interpretación del acto no siempre fue simple. Muchas empresas, organizaciones e individuos parecían muy inseguras de los objetivos, el contenido y los principios de la ley. Algunos se negaron a proporcionar incluso material muy básico y disponible al público, citando la ley como una restricción. La Ley también afectó la forma en que las organizaciones realizaban negocios en términos de quién debería haber sido contactado con fines de marketing, no solo por teléfono y correo directo, sino también electrónicamente. Esto ha llevado al desarrollo de estrategias de marketing basadas en permisos.

Definición de datos personales

La definición de datos personales fueron los datos relacionados con una persona viva que puede ser identificada

  • a partir de esos datos; o
  • a partir de esos datos más otra información que estuviera en posesión, o que pudiera llegar a estar en posesión, del controlador de datos.

Los datos personales sensibles se referían a la raza, etnia, política, religión, estado sindical, salud, historial sexual o antecedentes penales del sujeto.

Solicitudes de acceso de sujetos

El sitio web de la Oficina del Comisionado de Información declaró con respecto a las Solicitudes de acceso de los sujetos (SAR): " Tiene derecho a saber si una organización está usando o almacenando sus datos personales. Esto se denomina derecho de acceso. Usted ejerce este derecho solicitando una copia de los datos, lo que comúnmente se conoce como hacer una 'solicitud de acceso del sujeto'.

Antes de que entrara en vigor el Reglamento General de Protección de Datos (GDPR) el 25 de mayo de 2018, las organizaciones podrían haber cobrado una tarifa específica por responder a un SAR de hasta £ 10 para la mayoría de las solicitudes. Según el RGPD: " Se debe proporcionar una copia de sus datos personales de forma gratuita. Una organización puede cobrar por copias adicionales. Solo puede cobrar una tarifa si cree que la solicitud es 'manifiestamente infundada o excesiva'. Si es así, puede solicitar una tarifa razonable por los costos administrativos asociados con la solicitud ".

Comisionado de información

Artículo principal: Oficina del Comisionado de Información

El cumplimiento de la ley fue regulado y ejecutado por una autoridad independiente, la Oficina del Comisionado de Información, que mantuvo la orientación relacionada con la ley.

Grupo de trabajo del artículo 29 de la UE

En enero de 2017, la Oficina del Comisionado de Información solicitó comentarios públicos sobre los cambios propuestos por el Grupo de Trabajo del Artículo 29 de la UE a la ley de protección de datos y la introducción anticipada de extensiones a la interpretación de la Ley, la Guía del Reglamento General de Protección de Datos.

Ver también

Referencias

enlaces externos

Legislación del Reino Unido

Contactos: mail@wikibrief.org
El contenido está disponible bajo la licencia CC BY-SA 3.0 (a menos que se indique lo contrario).