acto de Parlamento | |
![]() | |
Título largo | Una ley para establecer una nueva disposición para la regulación del procesamiento de información relacionada con individuos, incluida la obtención, tenencia, uso o divulgación de dicha información. |
---|---|
Citación | 1998 c. 29 |
Extensión territorial | Reino Unido de Gran Bretaña e Irlanda del Norte |
fechas | |
Asentimiento real | 16 de julio de 1998 |
Otra legislación | |
Derogaciones | Ley de Protección de Datos de 1984 |
Enmendado por | sí |
Derogado por | Ley de Protección de Datos 2018 |
Estado: derogado | |
Texto del estatuto como se promulgó originalmente |
La Ley de Protección de Datos de 1998 (DPA, c. 29) fue una ley del Parlamento del Reino Unido diseñada para proteger los datos personales almacenados en computadoras o en un sistema de archivo organizado en papel. Promulgó las disposiciones de la Directiva de protección de datos de la UE de 1995 sobre la protección, el procesamiento y el movimiento de datos.
Según la DPA de 1998, las personas tenían derechos legales para controlar la información sobre sí mismas. La mayor parte de la ley no se aplica al uso doméstico, por ejemplo, llevar una libreta de direcciones personal. Cualquiera que tuviera datos personales para otros fines estaba legalmente obligado a cumplir con esta Ley, sujeto a algunas exenciones. La ley definió ocho principios de protección de datos para garantizar que la información se procesara legalmente.
Fue reemplazado por la Ley de Protección de Datos 2018 (DPA 2018) el 23 de mayo de 2018. El DPA 2018 complementa el Reglamento General de Protección de Datos de la UE (GDPR), que entró en vigor el 25 de mayo de 2018. El GDPR regula la recopilación, el almacenamiento y uso de datos personales significativamente más estricto.
La Ley de 1998 reemplazó a la Ley de Protección de Datos de 1984 y la Ley de Acceso a Archivos Personales de 1987. Además, la Ley de 1998 implementó la Directiva de Protección de Datos de la UE de 1995.
El Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva de la CE) de 2003 modificó el requisito de consentimiento para la mayor parte del marketing electrónico a un "consentimiento positivo", como un buzón de suscripción. Siguen existiendo exenciones para la comercialización de "productos y servicios similares" a clientes y solicitantes existentes, que aún pueden permitirse mediante exclusión voluntaria.
La ley de protección de datos de Jersey se inspiró en la ley del Reino Unido.
La sección 1 definió "datos personales" como cualquier dato que podría haber sido utilizado para identificar a una persona viva. Los datos anonimizados o agregados están menos regulados por la Ley, siempre que la anonimización o agregación no se haya realizado de manera reversible. Las personas podrían haber sido identificadas por varios medios, incluido el nombre y la dirección, el número de teléfono o la dirección de correo electrónico. La Ley se aplicaba únicamente a los datos que se guardaban, o se pretendía conservar, en ordenadores ("equipos que funcionan automáticamente en respuesta a instrucciones dadas para ese fin"), o que se conservan en un "sistema de archivo pertinente".
En algunos casos, los registros en papel podrían haber sido clasificados como un "sistema de archivo relevante", como una libreta de direcciones o un diario de un vendedor que se utiliza para respaldar las actividades comerciales.
La Ley de Libertad de Información de 2000 modificó la ley para organismos y autoridades públicas, y el caso Durant modificó la interpretación de la ley al proporcionar jurisprudencia y precedentes.
Una persona que tenía sus datos procesados tenía los siguientes derechos:
El Anexo 1 enumeró ocho "principios de protección de datos":
Los datos personales solo deben procesarse de manera justa y legal. Para que los datos se clasifiquen como 'procesados de manera justa', al menos una de estas seis condiciones debe ser aplicable a esos datos (Anexo 2).
Excepto bajo las excepciones que se mencionan a continuación, la persona habría tenido que dar su consentimiento para la recopilación de su información personal y su uso en el (los) propósito (s) en cuestión. La Directiva europea de protección de datos definió el consentimiento como "... cualquier indicación específica e informada dada libremente de sus deseos por la cual el interesado expresa su consentimiento para que los datos personales relacionados con él sean procesados", lo que significa que el individuo podría haber manifestado un acuerdo de otra manera que no sea por escrito. Sin embargo, la falta de comunicación no debería interpretarse como consentimiento.
Además, el consentimiento debería haber sido apropiado para la edad y la capacidad del individuo y otras circunstancias del caso. Por ejemplo, si una organización "tiene la intención de seguir reteniendo o utilizando datos personales después de que finaliza la relación con el individuo, entonces el consentimiento debe cubrir esto". E incluso cuando se dio el consentimiento, no se debería haber asumido que duraría para siempre. Aunque, en la mayoría de los casos, el consentimiento duró mientras los datos personales necesitaban ser procesados, es posible que las personas hayan podido retirar su consentimiento, según la naturaleza del consentimiento y las circunstancias en las que se recopiló y utilizó la información personal.
La Ley de Protección de Datos también especificó que los datos personales sensibles deben haber sido procesados de acuerdo con un conjunto de condiciones más estrictas, en particular, cualquier consentimiento debe haber sido explícito.
La ley se estructuró de tal manera que todo el procesamiento de datos personales estaba cubierto por la ley, al tiempo que proporcionaba una serie de excepciones en la Parte IV. Las excepciones notables fueron:
La ley otorgó o reconoció varios poderes policiales y judiciales.
La Ley detalla una serie de delitos civiles y penales por los cuales los controladores de datos pueden haber sido responsables si un controlador de datos no obtuvo el consentimiento apropiado de un interesado. Sin embargo, el "consentimiento" no se define específicamente en la ley y, por lo tanto, es un asunto de derecho consuetudinario.
La Ley de Protección de Datos del Reino Unido era una ley de gran envergadura que tenía fama de ser compleja. Si bien se respetaron los principios básicos para proteger la privacidad, la interpretación del acto no siempre fue simple. Muchas empresas, organizaciones e individuos parecían muy inseguras de los objetivos, el contenido y los principios de la ley. Algunos se negaron a proporcionar incluso material muy básico y disponible al público, citando la ley como una restricción. La Ley también afectó la forma en que las organizaciones realizaban negocios en términos de quién debería haber sido contactado con fines de marketing, no solo por teléfono y correo directo, sino también electrónicamente. Esto ha llevado al desarrollo de estrategias de marketing basadas en permisos.
La definición de datos personales fueron los datos relacionados con una persona viva que puede ser identificada
Los datos personales sensibles se referían a la raza, etnia, política, religión, estado sindical, salud, historial sexual o antecedentes penales del sujeto.
El sitio web de la Oficina del Comisionado de Información declaró con respecto a las Solicitudes de acceso de los sujetos (SAR): " Tiene derecho a saber si una organización está usando o almacenando sus datos personales. Esto se denomina derecho de acceso. Usted ejerce este derecho solicitando una copia de los datos, lo que comúnmente se conoce como hacer una 'solicitud de acceso del sujeto'.
Antes de que entrara en vigor el Reglamento General de Protección de Datos (GDPR) el 25 de mayo de 2018, las organizaciones podrían haber cobrado una tarifa específica por responder a un SAR de hasta £ 10 para la mayoría de las solicitudes. Según el RGPD: " Se debe proporcionar una copia de sus datos personales de forma gratuita. Una organización puede cobrar por copias adicionales. Solo puede cobrar una tarifa si cree que la solicitud es 'manifiestamente infundada o excesiva'. Si es así, puede solicitar una tarifa razonable por los costos administrativos asociados con la solicitud ".
El cumplimiento de la ley fue regulado y ejecutado por una autoridad independiente, la Oficina del Comisionado de Información, que mantuvo la orientación relacionada con la ley.
En enero de 2017, la Oficina del Comisionado de Información solicitó comentarios públicos sobre los cambios propuestos por el Grupo de Trabajo del Artículo 29 de la UE a la ley de protección de datos y la introducción anticipada de extensiones a la interpretación de la Ley, la Guía del Reglamento General de Protección de Datos.
![]() | Wikiversity tiene recursos de aprendizaje sobre la Ley de Protección de Datos de 1998 |