Il Data Protection Act, ratificato dal Parlamento del Regno Unito nel 1998, protegge i diritti individuali alla privacy dei propri dati personali. Consente alle persone di limitare l’uso delle informazioni personali su se stesse, incluse, in alcuni casi, le modalità di raccolta, archiviazione, elaborazione e distribuzione. In conformità con la Direttiva Europea del 1995, il Data Protection Act stabilisce otto principi chiave per la cura e l’utilizzo dei dati personali raccolti e compilati da aziende, ricercatori e agenzie governative. La legge sulla protezione dei dati obbliga tutti i responsabili del trattamento non solo a registrarsi presso il Commissario per le informazioni, ma anche a rispettare i principi di protezione dei dati in vigore.
In conformità con la legge sulla protezione dei dati, i responsabili del trattamento dei dati devono comunicare al Commissario per le informazioni il loro utilizzo dei dati personali, compresi i tipi di informazioni che raccolgono e per quale scopo raccolgono tali informazioni. Inoltre, i dati devono essere raccolti e trattati in modo equo e lecito, avendo cura di garantire che la gestione delle registrazioni sia coerente con lo scopo dichiarato al Commissario per le informazioni. La legge sulla protezione dei dati richiede inoltre che le informazioni siano il più accurate e aggiornate possibile. Le aziende devono attuare misure di sicurezza adeguate per prevenire l’uso non autorizzato o proibito dei dati personali, nonché la perdita o il danneggiamento accidentale delle informazioni.
La legge sulla protezione dei dati definisce inoltre i diritti di coloro che sono soggetti delle informazioni in questione. Dietro compenso di accesso del soggetto, ha il diritto di prendere visione dei dati, richiedere la rettifica di eventuali inesattezze, e controllare la diffusione delle sue informazioni a terzi. Può anche ottenere una descrizione delle finalità per le quali un titolare del trattamento conserva il suo materiale. I titolari del trattamento devono ottemperare alle richieste di accesso dei soggetti entro 40 giorni.
Se un responsabile del trattamento non agisce in conformità con la legge sulla protezione dei dati, ci sono una serie di sanzioni penali e civili ai sensi delle sezioni 21, 55 e 56. Notevoli esenzioni alla legge includono raccolte di dati familiari, come rubriche personali o telefono elenchi, attività di riscossione delle imposte e indagini penali. Sono inoltre esentati i trattamenti di dati effettuati ai fini della sicurezza nazionale.
Affinché un responsabile del trattamento dei dati possa gestire informazioni correttamente compilate ai sensi della legge sulla protezione dei dati, deve detenere solo le informazioni che soddisfano una delle sei condizioni. Il trattamento è accettabile se l’interessato ha espresso il proprio consenso. È altresì autorizzato quando tale trattamento adempie ad un obbligo di legge, contrattuale, o funzione pubblica essenziale. È consentito, infine, anche il trattamento dei dati che tuteli o persegua interessi vitali o legittimi del soggetto stesso o di un altro terzo.