Accession to the EU, New Data Privacy Standard in Kosovo

La Ley nº 03/L-172 de Protección de Datos Personales es una ley de protección de datos aprobada en Kosovo en 2010. Dado que Kosovo forma parte del plan de expansión de la Unión Europea que pretende lograr la adhesión de varios países de la región de los Balcanes Occidentales, la Ley nº 03/L-172 de Protección de Datos Personales ha sido modificada recientemente para adaptarla a las disposiciones del Reglamento General de Protección de Datos (RGPD). En este punto, la Ley nº 03/L-172 de Protección de Datos Personales establece la base jurídica en virtud de la cual pueden tratarse los datos personales en Kosovo, así como las sanciones que pueden imponerse a las personas u organizaciones que incumplan la ley.

¿Cómo se definen los responsables y encargados del tratamiento en la Ley nº 03/L-172 de Protección de Datos Personales?

Según la Ley nº 03/L-72 de Protección de Datos Personales de Kosovo, un responsable del tratamiento de datos se define como “cualquier persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales”. A la inversa, la ley define al encargado del tratamiento como “toda persona física o jurídica, del sector público o privado, que trate datos personales por cuenta y en nombre del responsable del tratamiento”. Además, los datos personales se definen como “cualquier información sobre una persona física identificada o identificable (“interesado”). Una persona física identificable es aquella que puede ser identificada directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea, o a uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física”.

¿Cuáles son las responsabilidades de los responsables y encargados del tratamiento en virtud de la Ley nº 03/L-172 de Protección de Datos Personales?

En consonancia con la armonización entre la ley de protección de datos de Kosovo y la ley GDPR de la UE, la Ley n.º 03/L-172 de Protección de Datos Personales se modificó para incluir varios principios que los controladores y procesadores de datos deben cumplir al realizar actividades de procesamiento de datos. Estos principios incluyen:

• El Principio de licitud, justicia y transparencia- Los datos personales deben tratarse de forma lícita, imparcial y transparente, sin vulnerar los derechos de los interesados.
• Principio de limitación de la finalidad: los datos personales sólo podrán tratarse con fines determinados, explícitos y legítimos, y no podrán tratarse posteriormente por ningún motivo que no se ajuste a dichos fines.
• Principio de minimización de datos: todos los datos personales que se traten deben ser pertinentes, adecuados y limitados a los fines para los que se trataron.
• Principio de exactitud: todos los datos personales tratados deben ser exactos y mantenerse actualizados cuando sea necesario. Además, los responsables y encargados del tratamiento deben rectificar o suprimir sin demora cualquier dato personal que se considere inexacto.
• Principio de limitación del almacenamiento: “Los datos personales podrán almacenarse en la medida en que sea necesario para alcanzar el fin para el que se recaben o traten. Una vez cumplida la finalidad del tratamiento, los datos personales se borrarán, suprimirán, destruirán, bloquearán o anonimizarán, salvo que se disponga otra cosa en la Ley nº 04/L-088 de Archivos Estatales, o en otra ley pertinente”.
• Principio de integridad y confidencialidad – Todos los datos personales que se traten deben hacerse de forma que “se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidentales, utilizando medidas técnicas u organizativas apropiadas”.
• Principio de responsabilidad: los responsables y encargados del tratamiento de datos que operan en Kosovo son responsables de cumplir en todo momento los principios antes enunciados.

¿Cuáles son los derechos de los interesados en virtud de la Ley nº 03/L-172 de Protección de Datos Personales?

En virtud de la Ley nº 03/L-172 de Protección de Datos Personales, los interesados de Kosovo tienen los siguientes derechos de protección de datos:

• Derecho a ser informado.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión.
• Derecho de oposición o exclusión voluntaria.
• Derecho a retirar el consentimiento.
• Derecho a la portabilidad de los datos.
• Derecho a no ser objeto de decisiones automatizadas.
• Derecho a restringir el tratamiento de datos.

En cuanto a las sanciones que pueden imponerse como consecuencia del incumplimiento de la Ley nº 03/L-172 de Protección de Datos de Carácter Personal, los responsables y encargados del tratamiento que incumplan la ley se exponen a las siguientes sanciones:

• Una sanción pecuniaria que oscila entre 8.000 euros (9.029 dólares) y 40.000 euros (45.152 dólares).
• Si la AIP considera que existe una violación grave y grande de los datos personales, puede imponer una multa de 20.000 euros a 40.000 euros o, en el caso de una sociedad o empresa, puede imponer una multa del 2% al 4% del volumen de negocios general del ejercicio fiscal anterior en cumplimiento del GDPR.
• Responsabilidades civiles y penales.

Dado que Kosovo ha comenzado a dar pasos para adherirse a la Unión Europea, el país también ha tomado medidas para alinear su legislación con la de las demás naciones que la componen. Con este fin, la Ley nº 03/L-172 sobre la protección de datos personales logra este objetivo en relación con la protección de datos y la privacidad personal, ya que las modificaciones que se han introducido en la ley proporcionan a los interesados de Kosovo un nivel de protección similar al que se ofrece a los ciudadanos de los Estados miembros de la UE en virtud del Reglamento general de protección de datos. De este modo, los ciudadanos de Kosovo pueden estar seguros de que sus datos personales están protegidos en todo momento, independientemente de que su país se haya adherido formalmente a la Unión Europea o no.