Definición y propósito

La Ley de Protección de Datos 2018 está diseñada para empoderar a las personas a tomar control de sus datos personales y para apoyar a las organizaciones con el procesamiento legal de los datos personales.

La Ley actualiza las leyes de protección de datos en el Reino Unido, complementando el Reglamento General de Protección de Datos (GDPR), implementando la Directiva de Aplicación de la Ley de la UE (LED) y extendiendo las leyes de protección de datos a áreas que no están cubiertas por ninguno de estos. 

Organismo Rector

La Oficina del Comisionado de Información (ICO) es el organismo rector responsable de supervisar y hacer cumplir la Ley de Protección de Datos en el Reino Unido. El ICO es una autoridad independiente que defiende los derechos de la información en el interés público y hace cumplir el cumplimiento con las regulaciones de protección de datos, incluida la DPA, las Regulaciones NIS, las Regulaciones de Privacidad y Comunicaciones Electrónicas, y más.

Última actualización

La Ley de Protección de Datos entró en vigor por primera vez en 1987. Ha sufrido varias actualizaciones y revisiones, siendo la más reciente la Ley de Protección de Datos 2018, que incorpora disposiciones del Reglamento General de Protección de Datos (GDPR) de la UE. Entró en vigor el 25 de mayo de 2018.

Más recientemente, en marzo de 2023, el Proyecto de Ley de Protección de Datos e Información Digital (No. 2), que haría cambios a la Ley de Protección de Datos 2018 y al Reglamento General de Protección de Datos del Reino Unido, fue presentado en la Cámara de los Comunes.

Se aplica a

La Ley de Protección de Datos se aplica tanto a los controladores de datos como a los procesadores que procesan datos personales dentro del territorio del Reino Unido y, en ciertas circunstancias, fuera del Reino Unido. Esto incluye una amplia gama de organizaciones e industrias en el Reino Unido en los sectores público y privado, incluyendo empresas, entidades gubernamentales, servicios de salud, servicios financieros, educación y organizaciones sin fines de lucro.

Controles y requisitos

La Ley de Protección de Datos establece una variedad de controles y requisitos para las organizaciones, que incluyen pero no se limitan a:

• Asegurar que los datos se procesen de manera legal, justa y transparente.
• Obtener el consentimiento explícito de los sujetos de los datos para procesar sus datos.
• Implementar medidas de seguridad apropiadas para proteger los datos personales.
• Permitir a las personas acceder, corregir o borrar sus datos, entre otros derechos de los sujetos de los datos.
• Nombrar un Oficial de Protección de Datos (DPO) para ciertas organizaciones.
• Informar sobre violaciones de datos a la ICO y a los interesados afectados.
• Realizar Evaluaciones de Impacto en la Protección de Datos (DPIA) para actividades de procesamiento de alto riesgo.
• Cumplir con las regulaciones internacionales de transferencia de datos.
• Adherirse a los principios de minimización de datos y limitación del almacenamiento.

Por favor, consulte la legislación oficial del Data Protection Act 2018 para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

Aunque el Data Protection Act 2018 otorga al Comisionado de Información el poder de llevar a cabo auditorías obligatorias de protección de datos, la ICO realiza predominantemente “auditorías consensuadas” para evaluar si un controlador o procesador está cumpliendo con las buenas prácticas en el procesamiento de datos personales. Las auditorías consensuadas significan que el controlador o procesador dio su consentimiento antes de la auditoría.

La duración de la auditoría varía según las fechas que acuerden la ICO y el procesador o controlador durante su reunión introductoria o llamada de conferencia, pero típicamente la auditoría no durará más de una semana, según la ICO.

La frecuencia de estas auditorías varía. La ICO realiza varias auditorías consensuadas cada año con organizaciones que han solicitado una, pero tienen que priorizar a las organizaciones de mayor riesgo. Sin embargo, se espera que las organizaciones sujetas al Data Protection Act mantengan un cumplimiento continuo y revisen regularmente sus prácticas de protección de datos para asegurar su alineación con la ley.