Ley de Protección de Datos del Reino Unido (2018): definición y alcance

Descubre la Ley de Protección de Datos 2018 del Reino Unido: alcance, derechos de los interesados, obligaciones de responsables y claves para proteger datos personales.

Autor: Leandro Alegsa

La Ley de Protección de Datos 2018 (c 29) es una ley aprobada por el gobierno británico en 2018, y sustituye a la aprobada en 1998. Esta norma actualiza y adapta el marco jurídico para la protección de datos personales en el Reino Unido, alineándose con los principios del Reglamento General de Protección de Datos (GDPR) de la UE en lo que se conoce como UK GDPR tras el Brexit.

Establece normas para quienes utilizan o almacenan datos sobre personas vivas y otorga derechos a las personas cuyos datos han sido recogidos. La ley se aplica a los datos almacenados en ordenadores o en cualquier tipo de sistema de almacenamiento, incluso los registros en papel.

La ley abarca los datos personales, que son hechos como su dirección, número de teléfono, dirección de correo electrónico, historial laboral, etc. También distingue las llamadas categorías especiales de datos (por ejemplo, datos de salud, origen étnico, opiniones políticas, creencias religiosas, datos biométricos) que requieren una protección y justificación adicionales para su tratamiento.

Las personas que utilizan la información se denominan responsables del tratamiento. Las personas a las que se refieren los datos se denominan interesados. Además existen encargados del tratamiento, que actúan por cuenta del responsable (por ejemplo, proveedores de servicios en la nube).

¿Qué regula y cuáles son sus principios básicos?

  • Limitación de la finalidad: los datos deben recogerse para fines específicos, explícitos y legítimos.
  • Minimización de datos: solo se deben tratar los datos necesarios para ese fin.
  • Exactitud: los datos deben mantenerse actualizados y corregirse si son inexactos.
  • Limitación del plazo de conservación: no conservar datos más tiempo del necesario.
  • Integridad y confidencialidad: proteger los datos frente a accesos no autorizados, pérdidas o destrucción.
  • Responsabilidad (accountability): el responsable debe demostrar cumplimiento de la ley.

Bases legales para el tratamiento

Para que el tratamiento de datos sea lícito debe existir una base legal. Las principales son:

  • Consentimiento del interesado.
  • Ejecución de un contrato.
  • Cumplimiento de una obligación legal.
  • Intereses vitales de la persona o de otra persona física.
  • Interés público o ejercicio de funciones públicas.
  • Interés legítimo del responsable, siempre que no prevalezcan los derechos del interesado.

Derechos de los interesados

La Ley otorga a las personas varios derechos para controlar sus datos personales, entre ellos:

  • Derecho de acceso: saber qué datos se tienen y obtener una copia.
  • Derecho de rectificación: corregir datos inexactos.
  • Derecho de supresión (derecho al olvido) en determinadas circunstancias.
  • Derecho a la limitación del tratamiento.
  • Derecho de oposición al tratamiento por motivos concretos.
  • Derecho a la portabilidad de los datos (transferirlos a otro proveedor) cuando proceda.
  • Derecho a no ser objeto de decisiones automatizadas, incluida la elaboración de perfiles, en determinadas situaciones.

Obligaciones de responsables y encargados

  • Mantener registros de las actividades de tratamiento (según tamaño y riesgo).
  • Evaluar el impacto en la protección de datos cuando el tratamiento entrañe alto riesgo (DPIA).
  • Adoptar medidas técnicas y organizativas apropiadas para proteger los datos.
  • Notificar las violaciones de seguridad de los datos personales a la autoridad supervisora (ICO) en un plazo de 72 horas cuando exista riesgo para los derechos y libertades de las personas, y comunicarlo a los afectados si procede.
  • Designar un Delegado de Protección de Datos (DPO) cuando la ley lo exija (por ejemplo, autoridades públicas o tratamientos a gran escala de categorías especiales).

Ámbito territorial

La Ley se aplica no solo a organizaciones establecidas en el Reino Unido, sino también a entidades fuera del Reino Unido que ofrezcan bienes o servicios a personas en el Reino Unido o que controlen su comportamiento (por ejemplo, seguimiento online dirigido a usuarios del Reino Unido).

Sanciones y aplicación

La autoridad independiente encargada de velar por el cumplimiento es la Information Commissioner's Office (ICO). La ICO puede investigar, requerir medidas correctoras y imponer multas. Las sanciones bajo el régimen equivalente al UK GDPR pueden alcanzar hasta £17.5 millones o el 4% del volumen de negocio mundial anual, la cifra que sea mayor, para infracciones graves; para otras infracciones el límite máximo es menor (hasta £8.7 millones o el 2% del volumen de negocio mundial, según la naturaleza de la infracción).

Transferencias internacionales

Tras el Brexit, el Reino Unido mantiene reglas para las transferencias de datos fuera del Reino Unido. Estas pueden realizarse si el país receptor cuenta con una decisión de adecuación del Reino Unido o mediante garantías adecuadas, como cláusulas contractuales tipo o normas corporativas vinculantes. Es importante evaluar riesgos y aplicar medidas adicionales cuando sea necesario.

Excepciones y situaciones especiales

La Ley contempla excepciones en contextos concretos como seguridad nacional, prevención o detección de delitos, funciones en materia de inmigración, o tratamiento de datos por parte de fuerzas policiales y autoridades encargadas de hacer cumplir la ley (que se regulan con disposiciones específicas). También hay reglas específicas para el tratamiento de datos de niños, investigación científica y archivos históricos.

Cómo ejercer sus derechos o presentar una queja

Si cree que sus datos no se están tratando conforme a la ley, primero puede contactar con la organización responsable solicitando acceso, rectificación o explicación. Si no obtiene respuesta satisfactoria, puede presentar una queja ante la Information Commissioner's Office (ICO), que investiga reclamaciones y tiene facultades para imponer sanciones.

En resumen, la Ley de Protección de Datos 2018 moderniza la protección de datos en el Reino Unido, amplía los derechos de las personas y obliga a organizaciones públicas y privadas a implementar medidas para tratar los datos personales de forma responsable, segura y transparente.

Principales puntos de la Ley de Protección de Datos

Este es un breve resumen simplificado de los principales principios de la Ley de Protección de Datos del Reino Unido.

Esto se aplica, por ejemplo, a la información sobre el personal, los clientes y los titulares de cuentas;

  • Si se recogen datos sobre las personas por un motivo, no se deben utilizar para otro motivo diferente;
  • No debe ceder los datos de las personas a otras personas u organizaciones a menos que estén de acuerdo;
  • Los ciudadanos tienen derecho a ver los datos que cualquier organización almacena sobre ellos;
  • No debe conservar los datos más tiempo del necesario y debe mantenerlos actualizados;
  • No debe enviar los datos a lugares fuera del Espacio Económico Europeo a menos que existan niveles adecuados de protección;
  • Las organizaciones que almacenan datos sobre personas deben registrarse en la Oficina del Comisario de Información;
  • Si almacena datos sobre personas, debe asegurarse de que estén seguros y bien protegidos;
  • Si una organización tiene datos erróneos sobre usted, tiene derecho a pedirles que los cambien.



Páginas relacionadas



Preguntas y respuestas

P: ¿Qué es la Ley de protección de datos de 2018?


R: La Ley de Protección de Datos de 2018 es una ley aprobada por el gobierno británico en 2018, y sustituye a la aprobada en 1998. Establece normas para las personas que utilizan o almacenan datos sobre personas vivas y otorga derechos a aquellas personas cuyos datos han sido recopilados.

P: ¿A qué tipos de datos se aplica la ley?


R: La ley se aplica a los datos personales, que son hechos como su dirección, número de teléfono, dirección de correo electrónico, historial laboral, etc.

P: ¿Qué tipos de sistemas de almacenamiento contempla la ley?


R: La ley se aplica a los datos almacenados en ordenadores o cualquier tipo de sistema de almacenamiento, incluso registros en papel.

P: ¿Cómo se llama a las personas que utilizan la información?


R: Las personas que utilizan la información se denominan responsables del tratamiento de datos.

P: ¿Cómo se llama a las personas sobre las que versan los datos?


R: Las personas sobre las que versan los datos se denominan interesados.

P: ¿La Ley de Protección de Datos de 2018 otorga algún derecho a las personas cuyos datos se han recopilado?


R: Sí, la Ley de Protección de Datos de 2018 otorga derechos a las personas cuyos datos se han recopilado.

P: ¿Qué derechos se otorgan a las personas cuyos datos se han recopilado en virtud de la Ley de Protección de Datos de 2018?


R: La Ley de Protección de Datos de 2018 otorga derechos a las personas cuyos datos han sido recopilados, como el derecho a acceder a su información, el derecho a que su información sea corregida o borrada y el derecho a oponerse a que su información sea utilizada para ciertos fines.


Buscar dentro de la enciclopedia
AlegsaOnline.com - 2020 / 2025 - License CC3