A New Legal Framework for Data Processing in Luxembourg
La Ley luxemburguesa de 1 de agosto de 2018 sobre la organización de la Comisión Nacional de Protección de Datos y la implementación del GDPR o la Ley de Protección de Datos para abreviar es una ley de privacidad de datos que se aprobó en 2018. Como sugiere el nombre de la ley, la Ley de Protección de Datos se promulgó con el propósito de implementar las disposiciones del Reglamento General de Protección de Datos o GDPR en la legislación luxemburguesa. Como tal, la Ley de Protección de Datos de Luxemburgo establece el marco jurídico que los controladores y procesadores de datos dentro del país son responsables de cumplir al realizar actividades de procesamiento de datos. Además, la ley también otorga a la Comisión Nacional de Protección de Datos o CNPD la autoridad para imponer sanciones a las personas y organizaciones que incumplan la ley.
¿Cuál es el ámbito de aplicación de la Ley de Protección de Datos?
En cuanto al ámbito y la aplicación de la Ley de Protección de Datos de Luxemburgo, el ámbito personal de la ley se aplica a todos los responsables del tratamiento, encargados del tratamiento y terceros relacionados que estén establecidos en el país. Alternativamente, el ámbito territorial de la ley es aplicable “en el contexto del tratamiento de los datos personales de los interesados que se encuentren en Luxemburgo por un responsable o encargado del tratamiento situado fuera de la UE/EEE, si este último ofrece bienes o servicios a los interesados en cuestión, o supervisa su comportamiento”. Además, el ámbito de aplicación material de la ley se aplica “al tratamiento de datos personales realizado total o parcialmente por medios automatizados, y al tratamiento no automatizado de datos personales que formen parte de un fichero o estén destinados a formar parte de un fichero.” Por el contrario, el ámbito de aplicación de la ley no se aplica a los datos personales que se tratan en el contexto de actividades domésticas u otros motivos personales.
¿Cuáles son las diferencias entre la Ley de Protección de Datos de Luxemburgo y el GDPR de la UE?
En cuanto a las diferencias entre la Ley de Protección de Datos de Luxemburgo y el RGPD de la UE, las diferencias entre ambas leyes son mínimas. Por ejemplo, la Ley de Protección de Datos de Luxemburgo exige que los responsables del tratamiento de datos en Luxemburgo se adhieran a la normativa del GDPR de la UE en lo que respecta al nombramiento de responsables de la protección de datos o DPO, los procedimientos que deben seguirse al transferir datos personales a otro país y el período de tiempo durante el cual los datos personales pueden conservarse legalmente, entre otras cosas. Sin embargo, las dos legislaciones varían en lo que se refiere a las notificaciones de tratamiento de datos. Antes del establecimiento de la Ley de Protección de Datos de Luxemburgo, los responsables y encargados del tratamiento de datos en el país eran responsables de registrarse en el CNPD antes de recopilar o tratar datos personales. Por el contrario, con la ley GDPR de la UE, estos requisitos fueron abolidos, sujetos a ciertas excepciones. Estas excepciones incluyen casos en los que:
- Se ha producido una violación de datos.
- Se ha designado un RPD.
- Si, tras una DPIA, se ha determinado que es necesaria una consulta previa de conformidad con el artículo 36 del GDPR.
¿Cuáles son las sanciones por infringir la Ley de Protección de Datos de Luxemburgo?
En cuanto a la aplicación de la Ley de Protección de Datos de Luxemburgo, la CNPD está facultada para imponer diversas multas, penas y sanciones a los responsables del tratamiento de datos del país que incumplan las disposiciones establecidas en la ley. Dichas penas incluyen sanciones pecuniarias que van desde una multa de hasta 10 millones de euros o hasta el 2% del volumen de negocios total anual global correspondiente al ejercicio económico anterior de una empresa, según cuál sea el importe más elevado, hasta una multa de hasta 20 millones de euros o hasta el 4% del volumen de negocios total anual global correspondiente al ejercicio económico anterior de una empresa, según cuál sea el importe más elevado. Además, “cualquiera que a sabiendas obstruya o impida el ejercicio del mandato de la CNPD podrá ser condenado a una pena de prisión de ocho días a un año y/o a una multa de 251 a 125.000 euros”.
Como el país de Luxemburgo es una de las naciones que conforman la Unión Europea o UE, la Ley de Protección de Datos se aprobó en 2018 con el propósito de facilitar el requisito de que todos los estados miembros dentro de la UE creen su propia legislación nacional con el propósito de implementar las disposiciones de la ley GDPR de la UE. Como tal, los titulares de datos dentro de Luxemburgo pueden tener la tranquilidad de que, en caso de que sus datos personales se utilicen de alguna manera inapropiada, tendrán los medios para buscar tanto justicia como compensación, ya que los castigos que se pueden imponer en nombre de la autoridad de protección de datos del país representan un fuerte elemento disuasorio contra posibles delitos que impliquen el acceso ilegal o no autorizado de datos personales.