Brexit and the Gibraltar GDPR, New Data Privacy Law
El Reglamento de Protección de Datos de Gibraltar o el GDPR de Gibraltar para abreviar es una ley de privacidad de datos que se aprobó recientemente en el Territorio Británico de Ultramar de Gibraltar en 2021. Como el Reino Unido se retiró de la Unión Europea el 31 de enero de 2020, el país ya no estaba bajo la jurisdicción de la ley GDPR de la UE. Como tal, el Reino Unido promulgó el Reglamento General de Protección de Datos del Reino Unido o la ley GDPR del Reino Unido para abreviar el 1 de enero de 2021, con el fin de regular las actividades de procesamiento de datos dentro del país. Sin embargo, como la ley GDPR del Reino Unido no era aplicable dentro de Gibraltar, el GDPR de Gibraltar se aprobó con el propósito de regular la recopilación y el procesamiento de datos personales dentro del territorio.
¿Cómo se definen los responsables y encargados del tratamiento en el GDPR de Gibraltar?
En virtud del GDPR de Gibraltar, un controlador de datos se define como “la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del procesamiento de datos personales.” A la inversa, la ley define al encargado del tratamiento como “la persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Además, la ley define los datos personales como “cualquier información relativa a una persona física identificada o identificable (“interesado”); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física.”
¿Cuáles son los requisitos de los controladores y procesadores de datos en virtud del GDPR de Gibraltar?
En virtud del GDPR de Gibraltar, los controladores y procesadores de datos que operan con el territorio deben cumplir con los mismos principios de protección de datos que fueron establecidos por la ley GDPR de la UE. Estos principios de protección de datos incluyen
- Legalidad, equidad y transparencia.
- Limitación de la finalidad.
- Minimización de datos.
- Precisión.
- Limitación de almacenamiento.
- Integridad y confidencialidad.
- Rendición de cuentas.
Además, en lo que respecta a la legalidad de la recopilación y el tratamiento de datos, el GDPR de Gibraltar también se mantiene en gran medida sin cambios en comparación con la ley GDPR de la UE. En virtud del GDPR de Gibraltar, la recogida y el tratamiento de datos personales solo pueden ser lícitos si se aplica al menos uno de los principios. Dichos principios incluyen los casos en los que el interesado ha dado su consentimiento en relación con el tratamiento de sus datos personales para un fin más específico, los casos en los que “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato”, y los casos en los que el tratamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el responsable del tratamiento, entre otros.
¿Cuáles son los derechos de los ciudadanos gibraltareños en virtud del GDPR de Gibraltar?
Bajo el GDPR de Gibraltar, los ciudadanos gibraltareños tienen prácticamente los mismos derechos que otros ciudadanos que residen dentro de los estados miembros de la UE tienen bajo la ley GDPR de la UE. Estos derechos incluyen:
- El derecho a ser informado.
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de supresión.
- Derecho a la limitación del tratamiento de datos.
- Derecho de oposición o exclusión voluntaria.
- Derecho a la portabilidad de los datos.
- Derecho a no ser objeto de una toma de decisiones automatizada.
En cuanto a la aplicación del GDPR de Gibraltar, la ley es aplicada por la Autoridad Reguladora de Gibraltar, o GRA para abreviar. Hasta este punto, la GRA tiene autoridad para imponer una serie de sanciones y multas a los responsables y encargados del tratamiento de datos que incumplan las disposiciones establecidas en la ley. Dichas sanciones incluyen “multas administrativas de hasta 8.700.000 libras esterlinas (11.810.380 dólares), o en el caso de una empresa, de hasta el 2 % del volumen de negocios total anual a nivel mundial del ejercicio financiero precedente, la cifra que sea más elevada”, así como “multas administrativas de hasta 17.500.000 libras esterlinas (23.756.512 dólares), o en el caso de una empresa, de hasta el 4 % del volumen de negocios total anual a nivel mundial del ejercicio financiero precedente, la cifra que sea más elevada”.”Además, los gibraltareños tienen derecho a recibir una indemnización de un controlador o procesador de datos por cualquier daño en el que puedan haber incurrido como resultado de violaciones de la ley”.
Dado que el Brexit dio lugar a una serie de complicaciones políticas y jurídicas tanto en el Reino Unido como en los distintos territorios de la nación, era necesaria una nueva legislación para proteger los datos personales de los ciudadanos gibraltareños. Esta legislación adoptó la forma de la ley GDPR de Gibraltar, ya que la ley implementa efectivamente muchas de las disposiciones de la ley GDPR de la UE en la legislación gibraltareña. Con este fin, la Ley de Protección de Datos (Bailía de Guernsey) de 2017, la ley GDPR del Reino Unido y la GDPR de Gibraltar representan las tres formas principales en que los datos personales están legalmente protegidos tanto en el Reino Unido como en sus diversas jurisdicciones y territorios de ultramar. Sin embargo, lo que es más importante, estas leyes proporcionan a los ciudadanos que residen en estas diversas áreas un medio para recibir tanto justicia como compensación en caso de que se infrinja alguno de sus derechos de privacidad de datos por cualquier motivo.