Visión general de la Ley

  • Entró en vigor el 1 de marzo de 2000, revocando la Ley de Protección de Datos de 1984.
  • Sus provisiones no tratan de garantizar la privacidad personal a toda costa, sino encontrar un equilibrio entre los derechos de las personas físicas y los intereses, a veces conflictivos, de quienes tienen razones legítimas para usar la información personal.
  • Es aplicable a algunos registros en papel, así como a los registros informáticos.
  • Es derivada de la Directiva de la UE 95/46/CE que requiere que “los Estados Miembros protejan los derechos fundamentales y las libertades de las personas físicas, en particular su derecho a la intimidad con respecto al procesamiento de los datos personales”.

Derechos bajo la Ley

  • El derecho al acceso
    Esto permite a las personas físicas averiguar qué información se mantiene en ordenadores y en algunos registros manuales. Cubre una amplia variedad de información, por ejemplo historias clínicas, archivos que obran en poder de los organismos públicos e información financiera que mantienen las agencias de informe de créditos.
  • El derecho a evitar el procesamiento para fines de marketing directo
    Esto significa que a un controlador de datos se le exige que no procese información sobre personas físicas para marketing directo si una persona física se lo solicita; es decir, las personas físicas tienen derecho a prevenir la recepción de ofertas de marketing no deseadas.
  • El derecho a la compensación
    Esto permite a las personas físicas reclamar por daños y perjuicios, a través de los tribunales, compensación a un controlador de datos y, en algunos casos, angustia causada por cualquier violación de la Ley.
  • El derecho a corrección, bloqueo, eliminación y destrucción
    Esto permite a las personas físicas solicitar a un tribunal que dictamine que un controlador de datos corrija, bloquee, elimine o destruya datos si son inexactos o contienen expresiones de opinión basadas en información errónea.
  • El derecho a solicitar a ICO que evalúe si se ha violado la Ley
    Esto permite a las personas físicas solicitar a ICO que evalúe si un controlador de datos ha violado la Ley.
  • Derechos con relación a la toma de decisiones automatizada
    Esto significa que en algunas circunstancias las personas físicas pueden oponerse a que los controladores de datos tomen decisiones importantes sobre ellos, como la relacionadas con su rendimiento en el trabajo o su solvencia, cuando la toma de la decisión es plenamente automatizada y no implica la participación de ninguna persona.
  • El derecho a prevenir el procesamiento
    Esto significa que una persona física puede solicitar a un controlador de datos que no procese información acerca de ella que cause daños considerables e injustificados o angustia. El controlador de datos no está siempre obligado a satisfacer la solicitud.

Los principios de la Protección de Datos

Los ocho principios de la práctica recomendable: toda persona que procese información personal deberá cumplir con ocho principios vinculantes de práctica recomendable en el manejo de información. Los datos deben:

  • ser procesados de forma justa y legal;
  • ser procesados para fines limitados;
  • ser suficientes, pertinentes y no excesivos;
  • ser precisos y actualizados;
  • no ser mantenidos por más tiempo del necesario;
  • ser procesados en función de los derechos de la persona física;
  • ser seguros; y
  • no ser transferidos a países fuera de la Zona Económica Europea, a menos que se cuente con protección adecuada.

Notificación:

La Ley de Protección de Datos requiere que todo controlador de datos que procese información personal lo notifique a ICO a menos que estén exentos de dicha obligación. La notificación es el proceso mediante el cual se añaden los datos del controlador de datos en un registro público de controladores de datos que obra en poder de ICO.

Los deberes y los poderes de ejecución de ICO

  • Promover el buen manejo de información.
  • Difundir información sobre protección de datos.
  • Crear o aprobar códigos de práctica para los controladores de datos.
  • Presentar notificaciones sobre información: solicitando que un controlador de datos facilite información específica a la Oficina del Comisionado de Información en un plazo de tiempo determinado.
  • Realizar evaluaciones de cumplimiento.
  • Presentar notificaciones de ejecución cuando se haya producido una violación que requiera que un controlador de datos tome medidas específicas o deje de tomar medidas específicas para cumplir con la ley.
  • Enjuiciar a quienes cometen delitos bajo la Ley;
  • Notificar directamente al Parlamento.


Toda apelación contra notificaciones puede ser presentada ante el Tribunal de Información, un organismo independiente establecido específicamente para tratar casos con respecto a notificaciones o avisos de decisión del Comisario de Información.

Delitos

Un controlador de datos que haya recibido un aviso de ejecución y viole repetidamente la Ley puede ser enjuiciado por incumplimiento de aviso. Este delito está sujeto a una multa máxima de 5.000 libras en el Tribunal de Magistrados y una multa ilimitada en el Tribunal de la Corona.

Delitos de notificación: un Controlador de datos que no notifique a ICO sobre el procesamiento que se está realizando o sobre cualquier cambio efectuado en dicho procesamiento, puede ser enjuiciado. Incumplir el deber de notificar es un delito de responsabilidad inexcusable. Esto significa que si un controlador de datos tiene que notificar, este debe hacerlo. La ignorancia de la ley no excusa su incumplimiento.

Ejemplos

  • En octubre de 2005, los magistrados de la ciudad de Manchester multaron por un valor de 5.000 libras (la cantidad máxima) a dos empresas de cobro de deudas, que comerciaban desde el mismo emplazamiento, por incumplir su deber de notificar, y además se dictaminó que pagasen 300 libras en contribución a las costas legales.
  • En abril de 2005, una compañía de reclutamiento  se declaró culpable del delito de no notificar bajo S17(1) de la Ley de Protección de Datos de 1998; les multaron por un valor de 100 libras y se dictaminó que pagasen 700 libras en concepto de costas legales.


Obtención ilegal o divulgación de información personal:
es un delito obtener, divulgar o procurar la divulgación de información personal, a sabiendas o imprudentemente, sin el consentimiento del controlador de datos.

Ejemplos

  • Los detectives privados que obtienen información personal para sus clientes mediante engaños cometen este tipo de delito.
  • Una persona que trabaja para un banco comete un delito si pasa datos de la cuenta de otra persona salvo en el caso de que lo haga por fines laborales legítimos.


Si una persona ha obtenido datos personales ilegalmente, es un delito venderlos o ofrecer venderlos.

Timos con la Ley de Protección de Datos: Ha habido numerosas quejas sobre empresas que afirman ser "agencias de notificación" para la Ley de Protección de Datos o para empresas que usan CCTV (cámaras de circuito cerrado) que instan a las compañías a pagarles sumas exageradas por notificar de acuerdo con ICO, explicando que de lo contrario se arriesgan a tener que pagar cuantiosas multas.

Ejemplos

  • En diciembre de 2004, se condenó a dos personas a un total de seis años y medio de encarcelamiento tras declararse culpables de estafar empresas del Reino Unido por un valor de 700.000 libras en timos relacionados con la protección de datos.