Ley de Protección de Datos de 2018

Data Protection Act 2018
	Una ley que regula el tratamiento de información personal, establece las funciones del Comisionado de Información bajo ciertas normativas y crea un código de prácticas para el marketing directo, entre otros fines relacionados.
Extensión teritorial	Reino Unido de Gran Bretaña e Irlanda del Norte
Legislado por	Parlamento del Reino Unido
Hecho por	Matt Hancock (Cámara de los Comunes), Henry Ashton, IV Barón Ashton de Hyde (Cámara de los Lores)
Referencia del diario oficial	[1]
Historia
Promulgación	23 de mayo de 2018
Firma	23 de mayo de 2018
Publicación	2018
Entrada en vigor	Mayo de 2018
Legislación relacionada
Reemplaza	Data Protection Act 1998
Modificada por	Public Services Ombudsman (Wales) Act 2019; Sentencing Act 2020; Armed Forces Act 2021; Advanced Research and Invention Agency Act 2022; Health and Social Care Act 2022
	Legislación vigente
	[editar datos en Wikidata]

La Ley de Protección de Datos de 2018 (c. 12) es una ley del Parlamento del Reino Unido que actualiza las normativas sobre protección de datos en el país. Es una legislación nacional que complementa el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y sustituye a la Ley de Protección de Datos de 1998.

La Ley iba a ser modificada de manera significativa por el Proyecto de Ley de Protección de Datos e Información Digital. Sin embargo, dicho proyecto fue abandonado debido a las elecciones generales del Reino Unido de 2024.^[1]

Fondo

El proyecto de ley de protección de datos fue presentado en la Cámara de los Lores por Lord Ashton de Hyde, subsecretario parlamentario de Estado del Departamento de Cultura, Medios de Comunicación y Deporte Digital el 13 de septiembre de 2017.

La Ley de Protección de Datos de 2018 recibió la sanción real el 23 de mayo de 2018. La ley entró en vigor el 25 de mayo de 2018. Se modificó el 1 de enero de 2021 mediante reglamentos en virtud de la Ley de Retirada de la Unión Europea de 2018, para reflejar el estatus del Reino Unido fuera de la UE. Sustituye a la Ley de Protección de Datos de 1998.

La Ley aplica los estándares de protección de datos establecidos en el RGPD y, cuando el RGPD permite a los Estados miembros de la UE tomar diferentes decisiones para su implementación en su país, define esas decisiones para el Reino Unido.^[2]

Contenido

La ley consta de siete partes. Estos se describen en la Sección 1:

Esta Ley establece disposiciones sobre el tratamiento de datos personales .
La mayor parte del procesamiento de datos personales está sujeto al RGPD .
La Parte 2 complementa el RGPD (véase el Capítulo 2) y aplica un régimen ampliamente equivalente a ciertos tipos de procesamiento a los que no se aplica el RGPD (véase el Capítulo 3).
La Parte 3 establece disposiciones sobre el tratamiento de datos personales por parte de las autoridades competentes con fines de aplicación de la ley e implementa la Directiva de aplicación de la ley.
La parte 4 establece disposiciones sobre el tratamiento de datos personales por parte de los servicios de inteligencia.
La Parte 5 establece disposiciones sobre el Comisionado de Información .
La parte 6 establece disposiciones sobre la aplicación de la legislación de protección de datos.
La Parte 7 contiene disposiciones complementarias, incluidas disposiciones sobre la aplicación de esta Ley a la Corona y al Parlamento.

La Ley introduce nuevos delitos que incluyen la obtención o divulgación consciente o imprudente de datos personales sin el consentimiento del responsable del tratamiento de datos, la obtención de dicha divulgación o la conservación de los datos obtenidos sin consentimiento. Vender u ofrecer vender datos personales obtenidos o divulgados a sabiendas o imprudentemente también constituiría un delito.^[3]

En esencia, la Ley implementa la Directiva de Aplicación de la Ley de la UE,^[4] implementa aquellas partes del RGPD que "deben ser determinadas por la legislación del Estado miembro" y crea un marco similar al RGPD para el procesamiento de datos personales que está fuera del alcance del RGPD. Esto incluye el procesamiento de servicios de inteligencia, el procesamiento de servicios de inmigración y el procesamiento de datos personales almacenados en forma no estructurada por autoridades públicas.

Según la sección 3 de la Ley de Retirada de la Unión Europea de 2018,^[5] el RGPD se incorporará directamente a la legislación nacional inmediatamente después de que el Reino Unido salga de la Unión Europea .

La aplicación de la Ley por parte de la Oficina del Comisionado de Información está respaldada por un cargo de protección de datos para los controladores de datos del Reino Unido conforme al Reglamento de Protección de Datos (Cargos e Información) de 2018. Las exenciones del cargo se dejaron básicamente iguales a las de la Ley de 1998: principalmente para fines internos básicos de algunas empresas y organizaciones sin fines de lucro (personal o miembros, marketing y contabilidad), asuntos domésticos, algunos fines públicos y procesamiento no automatizado.^[6]^[7] En virtud de la Ley de 2018, el régimen de cumplimiento del registro cambió de sanciones monetarias penales a sanciones civiles.^[8]

La Ley introduce un nuevo criterio de interés público aplicable al tratamiento de datos personales de salud con fines de investigación.

La Ley dio a las personas el derecho a solicitar a los juzgados y tribunales diferentes órdenes, entre ellas: en el tribunal ordenando al Comisionado de Información que realice una investigación (artículo 166); en el tribunal órdenes de cumplimiento contra el Comisionado o los controladores o procesadores (artículo 167); en el tribunal contra avisos de sanciones y otras decisiones de ejecución (artículo 162). La jurisdicción de estas secciones y su extensión y límites han sido objeto de una campaña de litigios que argumentan sus diferentes extensiones y límites, incluso hasta el Tribunal de Apelaciones.^[9]^[10]^[11]^[12]

La Sección 2, está actualizada con todos los cambios conocidos que entraron en vigor el 10 de noviembre de 2024. Existen cambios que podrían implementarse en una fecha futura. Los cambios ya realizados aparecen en el contenido y están referenciados con anotaciones.^[13]

s. 13A inserted by 2024 c. 21 s. 31(4)
s. 204(1)(l) inserted by S.I. 2024/374 Sch. 5 para. 7
Sch. 3 para. 8(1)(y) added by 2022 c. 18 (N.I.) Sch. 3 para. 78(3)

Diferencias entre la DPA 2018 y el GDPR^[14]

Edad de consentimiento infantil

GDPR: Un menor puede consentir el procesamiento de sus datos a partir de los 16 años.
DPA 2018: Un menor puede consentir a partir de los 13 años.

Procesamiento de datos criminales

GDPR: Los procesadores de datos criminales deben tener autoridad oficial para hacerlo.
DPA 2018: Los procesadores de datos criminales no requieren autoridad oficial.

Toma de decisiones y procesamiento automatizado

GDPR: Los interesados tienen derecho a rechazar la toma de decisiones automatizadas o la elaboración de perfiles.
DPA 2018: Permite la elaboración de perfiles automatizados si existen motivos legítimos para ello.

Derechos de los interesados

GDPR: Refuerza los derechos de los interesados en relación con el procesamiento de sus datos personales.
DPA 2018: Los derechos de los interesados pueden ser renunciados si obstaculizan significativamente la necesidad legítima de una organización de procesar datos con fines científicos, históricos, estadísticos y de archivo.

Privacidad vs. Libertad de Expresión

DPA 2018: Existe una exención en relación con el procesamiento de datos personales si es en interés público.

Representantes

GDPR: Muchos controladores y procesadores de datos no pertenecientes a la UE que ofrecen bienes y servicios a los interesados en la UE, o que monitorizan su comportamiento, deben designar un representante en la UE.
DPA 2018: Muchos controladores y procesadores de datos no pertenecientes al Reino Unido que ofrecen bienes y servicios a los interesados en el Reino Unido, o que monitorizan su comportamiento, deben designar un representante en el Reino Unido.

Multas administrativas

GDPR: La multa máxima por incumplimiento es de 20 millones de euros o el 4% del volumen de negocios global anual.
DPA 2018: La multa máxima por incumplimiento es de 17.5 millones de libras esterlinas.

Adiciones

La Ley de Protección de Datos (2018) es una revisión de la Ley de Protección de Datos (1998) que incluye la importancia de que las organizaciones sean más responsables con la información y mejoren la confidencialidad.^[15] Esta última revisión también funciona en conjunto con el RGPD, algo que la Ley de Protección de Datos (1998) no hizo.^[16]

Desde la Ley de Protección de Datos (1998) hasta la Ley de Protección de Datos (2018), las principales incorporaciones son las siguientes: ^[15]

el derecho al borrado
inclusiones de exenciones de la Ley de Protección de Datos
se regula en conjunto con el RGPD

La revisión permitió a los legisladores agregar la capacidad de borrar cualquier dato si el individuo así lo decide y esto se basa en la premisa del derecho básico a la privacidad.^[15]

La versión de 2018 permitió a las personas obtener una interpretación clara de las exenciones de la ley, lo que no estaba claro en la versión de 1998.^[16]

Cuando se redactó la Ley de Protección de Datos (1998), el RGPD no existía, por lo que no había ninguna ley con la que la APD pudiera trabajar.^{[ aclaración necesaria ]} Finalmente, con la creación del RGPD, la DPA se actualizó para que funcionara en conjunto.^[17]

Referencias

↑ Whannel, Kate (25 de mayo de 2024). «Which laws were passed in final days of Parliament?». BBC News. Consultado el 26 de mayo de 2024.
↑ «Data Protection Act 2018 Factsheet – Overview». Department for Digital, Culture, Media and Sport. 23 de mayo de 2018.
↑ «New Data Protection Act finalised in the UK». www.out-law.com (en inglés). Consultado el 29 de agosto de 2018.
↑ Directive (EU) 2016/680 of the European Parliament and of the Council
↑ «European Union (Withdrawal) Act 2018». UK Government. Consultado el 8 de agosto de 2018.
↑ Review of exemptions from paying charges to the Information Commissioner's Office, Department for Digital, Culture, Media and Sport, November 2018, consultado el 30 de abril de 2020 .Review of exemptions from paying charges to the Information Commissioner's Office (PDF) (Report).Department for Digital, Culture, Media and Sport. November 2018. Retrieved 30 April 2020.
↑ «The Data Protection (Charges and Information) Regulations 2018 - Schedule Exempt Processing». legislation.gov.uk. Consultado el 30 de abril de 2020.
↑ «ICO issues the first fines to organisations that have not paid the data protection fee». Information Commissioner’s Office. 28 de noviembre de 2018. Archivado desde el original el 28 de septiembre de 2020. Consultado el 1 de mayo de 2020.
↑ James Killock and Michael Veale v ICO (Information rights - Freedom of Information - exceptions : practice and procedure) [2021] UKUT 299 (AAC), 24 de noviembre de 2021, consultado el 24 de febrero de 2024 .
↑ «Our Adtech challenge: what we won, what we lost and what we do next». Open Rights Group (en inglés). Consultado el 24 de febrero de 2024.
↑ Delo, R (On the Application Of) v Information Commissioner & Anor [2022] EWHC 3046 (Admin), 2 de diciembre de 2022, consultado el 24 de febrero de 2024 .
↑ Delo, R (On the Application Of) v The Information Commissioner (Rev1) [2023] EWCA Civ 1141, 10 de octubre de 2023, consultado el 24 de febrero de 2024 .
↑ «Data Protection Act 2018 Section 2».
↑ «The UK Data Protection Act 2018 and UK General Data Protection Regulation».
↑ ^a ^b ^c Zaheer, Adnan. «Data Protection Act 1998 - Be Compliant | Seers». Seers | Articles (en inglés). Consultado el 16 de noviembre de 2020.
↑ ^a ^b «About the DPA 2018». ico.org.uk (en inglés). 28 de septiembre de 2020. Consultado el 16 de noviembre de 2020.
↑ «Data Protection Act 2018». ico.org.uk (en inglés). 20 de julio de 2020. Archivado desde el original el 7 de agosto de 2018. Consultado el 16 de noviembre de 2020.

Enlaces externos

Datos: Q55391230

[1] Whannel, Kate (25 de mayo de 2024). «Which laws were passed in final days of Parliament?». BBC News. Consultado el 26 de mayo de 2024.

[2] «Data Protection Act 2018 Factsheet – Overview». Department for Digital, Culture, Media and Sport. 23 de mayo de 2018.

[3] «New Data Protection Act finalised in the UK». www.out-law.com (en inglés). Consultado el 29 de agosto de 2018.

[4] Directive (EU) 2016/680 of the European Parliament and of the Council

[5] «European Union (Withdrawal) Act 2018». UK Government. Consultado el 8 de agosto de 2018.

[dcms-201811-6] Review of exemptions from paying charges to the Information Commissioner's Office, Department for Digital, Culture, Media and Sport, November 2018, consultado el 30 de abril de 2020 .Review of exemptions from paying charges to the Information Commissioner's Office (PDF) (Report).Department for Digital, Culture, Media and Sport. November 2018. Retrieved 30 April 2020.

[7] «The Data Protection (Charges and Information) Regulations 2018 - Schedule Exempt Processing». legislation.gov.uk. Consultado el 30 de abril de 2020.

[ico-20181128-8] «ICO issues the first fines to organisations that have not paid the data protection fee». Information Commissioner’s Office. 28 de noviembre de 2018. Archivado desde el original el 28 de septiembre de 2020. Consultado el 1 de mayo de 2020.

[9] James Killock and Michael Veale v ICO (Information rights - Freedom of Information - exceptions : practice and procedure) [2021] UKUT 299 (AAC), 24 de noviembre de 2021, consultado el 24 de febrero de 2024 .

[10] «Our Adtech challenge: what we won, what we lost and what we do next». Open Rights Group (en inglés). Consultado el 24 de febrero de 2024.

[11] Delo, R (On the Application Of) v Information Commissioner & Anor [2022] EWHC 3046 (Admin), 2 de diciembre de 2022, consultado el 24 de febrero de 2024 .

[12] Delo, R (On the Application Of) v The Information Commissioner (Rev1) [2023] EWCA Civ 1141, 10 de octubre de 2023, consultado el 24 de febrero de 2024 .

[13] «Data Protection Act 2018 Section 2».

[14] «The UK Data Protection Act 2018 and UK General Data Protection Regulation».

[:1-15] Zaheer, Adnan. «Data Protection Act 1998 - Be Compliant | Seers». Seers | Articles (en inglés). Consultado el 16 de noviembre de 2020.

[:0-16] «About the DPA 2018». ico.org.uk (en inglés). 28 de septiembre de 2020. Consultado el 16 de noviembre de 2020.

[17] «Data Protection Act 2018». ico.org.uk (en inglés). 20 de julio de 2020. Archivado desde el original el 7 de agosto de 2018. Consultado el 16 de noviembre de 2020.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]