Creación de una nueva norma de protección de datos en Hungría
La Ley CXII de 2011 sobre el derecho a la autodeterminación informativa y a la libertad de información, modificada por la Ley XXXVIII de 2018, o la Ley en su forma abreviada, es una ley de protección de datos aprobada recientemente en Hungría en 2018. La Ley fue aprobada con el propósito de implementar las disposiciones del Reglamento General de Protección de Datos de la UE o el GDPR para abreviar en la legislación húngara, ya que Hungría es un estado miembro dentro de la UE. Como tal, la Ley establece la base jurídica sobre la que se pueden recoger, procesar y, en última instancia, utilizar los datos personales en Hungría, los derechos fundamentales que tienen los ciudadanos húngaros en materia de protección de datos y privacidad personal, y las sanciones a las que se enfrentan los responsables y encargados del tratamiento de datos en Hungría en caso de que violen dichos derechos.
¿Cómo se definen en la Ley los responsables y encargados del tratamiento?
Según la Ley CXII de 2011 sobre el derecho a la autodeterminación informativa y a la libertad de información, modificada por la Ley XXXVIII de 2018, un responsable del tratamiento se define como “la persona física o jurídica, o una organización sin personalidad jurídica, que, en el marco establecido en cualquier Ley o en un acto jurídico vinculante de la Unión Europea, sola o conjuntamente con otras, determina los fines del tratamiento de datos, toma decisiones relativas al tratamiento de datos (incluidos los medios utilizados) y aplica dichas decisiones o hace que las aplique un encargado del tratamiento.” A la inversa, un encargado del tratamiento se define como “una persona física o jurídica, o una organización sin personalidad jurídica que, en el marco y en las condiciones establecidas en una ley o en un acto jurídico vinculante de la Unión Europea, actuando con arreglo a un mandato o a instrucciones dadas por el responsable del tratamiento, trata datos personales.”
¿Cuáles son las diferencias entre la Ley y el GDPR de la UE?
La mayoría de las disposiciones de la Ley CXII de 2011 sobre el derecho a la autodeterminación informativa y sobre la libertad de información, modificada por la Ley XXXVIII de 2018, se mantienen en gran medida sin cambios en comparación con la ley GDPR de la UE. Por ejemplo, la Ley ordena que los controladores y procesadores de datos dentro de Hungría realicen actividades de procesamiento de datos de acuerdo con los mismos principios de protección de datos que establece la ley GDPR de la UE. Estos principios incluyen, entre otros, la responsabilidad, la integridad y confidencialidad, y la limitación de la finalidad. Sin embargo, las dos leyes varían en lo que se refiere a la recogida y tratamiento de categorías especiales de datos personales.
Por ejemplo, la ley establece que “el acceso a los datos de interés público, cuya publicación se hace obligatoria en virtud de la presente ley, se pondrá a disposición del público en general, sin identificación personal, en el sitio web de Internet sin restricción alguna, en formato digital, susceptible de ser impreso o copiado sin pérdida parcial o distorsión de los datos, de forma gratuita, incluido el acceso, la descarga, la impresión, la copia y la transmisión a través de una red (en lo sucesivo, “publicación electrónica”). El acceso a los datos publicados no estará supeditado al suministro de datos personales”. Además, la Ley contiene disposiciones similares relativas a otras categorías de datos personales sensibles, como los datos personales que se recogen o tratan en el contexto de fines científicos o relacionados con la investigación, así como los datos personales que se utilizan con fines periodísticos.
¿Cuáles son las sanciones por infringir la Ley?
La Ley CXII de 2011 sobre el derecho a la autodeterminación informativa y a la libertad de información, modificada por la Ley XXXVIII de 2018, es aplicada por la Autoridad Nacional de Protección de Datos y Libertad de Información de Hungría o NAIH. Hasta este punto, los controladores y procesadores de datos dentro de Hungría que violen las disposiciones de la Ley están sujetos a una variedad de sanciones y penas. Dichas sanciones incluyen avisos legales de la NAIH para que se corrijan las infracciones, decisiones legales en nombre de un tribunal húngaro para “ordenar al responsable del tratamiento que actúe de conformidad con el aviso emitido por la Autoridad”, y ordenar a un responsable o encargado del tratamiento de datos el cese total de sus operaciones. Las personas y organizaciones que infrinjan la Ley también están sujetas a sanciones pecuniarias que van desde una multa de hasta 10 millones de euros o hasta el 2% del volumen de negocios total anual global del ejercicio financiero anterior de una empresa, según cuál sea la cantidad más alta, hasta una multa de hasta 20 millones de euros o hasta el 4% del volumen de negocios total anual global del ejercicio financiero anterior de una empresa, según cuál sea la cantidad más alta.
Como las disposiciones de la ley GDPR de la UE permiten a los Estados miembros aplicar las disposiciones de la ley en la legislación de sus propios países, aunque con ciertas excepciones en muchos casos, los Estados miembros de la UE pueden proporcionar el mayor nivel posible de protección de datos a sus respectivos ciudadanos. En Hungría, la Ley CXII de 2011 sobre el derecho a la autodeterminación informativa y a la libertad de información, modificada por la Ley XXXVIII de 2018, cumple este requisito, ya que la ley incorpora efectivamente las disposiciones del Reglamento general de protección de datos a la legislación húngara, y también introduce ciertos cambios en la ley en lo que respecta a las necesidades específicas de protección de datos del país. A través de estos medios legales, los ciudadanos húngaros pueden tener la tranquilidad de que sus datos personales están siendo protegidos en todo momento.