La Ley de Protección de Datos, ratificada por el Parlamento del Reino Unido en 1998, protege los derechos individuales a la privacidad con respecto a sus datos personales. Permite a las personas limitar el uso de información personal sobre sí mismas, incluida, en algunos casos, la forma de recopilación, almacenamiento, procesamiento y distribución. De conformidad con la Directiva europea de 1995, la Ley de protección de datos establece ocho principios clave para el cuidado y uso de los datos personales recopilados y compilados por empresas, investigadores y agencias gubernamentales. La Ley de Protección de Datos obliga a todos los controladores de datos no solo a registrarse con el Comisionado de Información, sino también a cumplir con los principios de protección de datos en la ley.
De acuerdo con la Ley de Protección de Datos, los controladores de datos deben revelar al Comisionado de Información el uso que hacen de los datos personales, incluidos los tipos de información que recopilan y con qué propósito recopilan esa información. Además, los datos deben recopilarse y procesarse de manera justa y legal, teniendo cuidado de garantizar que el manejo de registros sea consistente con el propósito declarado para el Comisionado de Información. La Ley de Protección de Datos también requiere que la información sea precisa y esté lo más actualizada posible. Las empresas deben implementar medidas de seguridad adecuadas para evitar el uso no autorizado o prohibido de los datos personales, así como la pérdida o daño accidental de la información.
La Ley de Protección de Datos también define los derechos de aquellas personas que son sujetos de la información en cuestión. Por una tarifa de acceso de sujeto, tiene derecho a ver los datos, solicitar la corrección de cualquier inexactitud y controlar la difusión de su información a terceros. También puede obtener una descripción de los fines para los que un controlador de datos mantiene su material. Los controladores de datos deben cumplir con las solicitudes de acceso de los sujetos dentro de los 40 días.
Si un responsable del tratamiento no actúa de conformidad con la Ley de protección de datos, existen varias sanciones penales y civiles en virtud de los artículos 21, 55 y 56. Entre las excepciones notables a la Ley se incluyen la recopilación de datos familiares, como las agendas personales de direcciones o el teléfono listados, esfuerzos de recaudación de impuestos e investigaciones criminales. Además, el procesamiento de datos completado con fines de seguridad nacional está exento.
Para que un controlador de datos maneje la información recopilada de manera justa de conformidad con la Ley de Protección de Datos, debe tener solo la información que cumpla con una de las seis condiciones. El procesamiento es aceptable si el interesado ha dado su consentimiento. También se autoriza cuando dicho tratamiento cumple con una obligación legal, contrato o función pública esencial. Por último, también está permitido el tratamiento de datos que proteja o persiga los intereses vitales o legítimos del propio sujeto o de otro tercero.