Creación de una nueva norma de protección de datos en Taiwán

La Ley de Protección de Datos Personales de 2015 de Taiwán (PDPA, por sus siglas en inglés) es una ley de privacidad de datos aprobada en Taiwán en 2015. Como una de las muchas leyes internacionales de privacidad de datos que han sido influenciadas por el Reglamento General de Protección de Datos de la Unión Europea o RGPD, el Gobierno de Taiwán presentó una solicitud de decisión de adecuación relativa a si la PDPA se ajusta o no a la ley RGPD de la UE. Mientras la decisión de la UE al respecto sigue pendiente, el Gobierno de Taiwán continúa evaluando si es necesario o no añadir disposiciones adicionales a la PDPA. No obstante, la PDPA establece requisitos para la recogida y el tratamiento de datos personales.

¿Cómo se definen los responsables y encargados del tratamiento en la PDPA?

A diferencia de la mayoría de las políticas de privacidad de datos de todo el mundo, que utilizan los términos responsables del tratamiento de datos, encargados del tratamiento de datos o alguna alternativa equivalente, como operador de base de datos, la PDPA no establece términos específicos en lo que respecta a las personas u organizaciones que recogen y tratan datos personales. Como tal, la única distinción que se establece en su aplicación a la ley son los datos personales que se recogen y procesan de “agencias gubernamentales” y los datos personales que se recogen y procesan de “agencias no gubernamentales”. Con este fin, las agencias gubernamentales y las agencias no gubernamentales están sujetas a dos conjuntos diferentes de normas con respecto a la recogida y el tratamiento de datos personales.

Por el contrario, la PDPA define los datos personales como “nombres, fechas de nacimiento, números de DNI, números de pasaporte, características, huellas dactilares, estado civil, familia, educación, ocupación, historial médico, tratamiento médico, información genética, vida sexual, exámenes de salud, antecedentes penales, información de contacto, situación financiera, actividades sociales y otra información o datos que puedan utilizarse para identificar a una persona física, tanto directa como indirectamente”. En cuanto al alcance y la aplicación de la PDPA, el ámbito personal de la ley se aplica tanto a los organismos gubernamentales como a los no gubernamentales, aunque a distintos niveles. En términos generales, los organismos gubernamentales gozan de mayor discrecionalidad en lo que respecta a la recogida y el tratamiento de datos personales.

Sin embargo, aunque las agencias gubernamentales gozan de mayor flexibilidad en lo que respecta a la ley, también están sujetas a responsabilidades civiles más estrictas en lo que respecta al incumplimiento de la ley. Además, en virtud del ámbito territorial de la ley, todas las actividades de tratamiento de datos que tengan lugar dentro de Taiwán están sujetas a la PDPA, mientras que la ley no tiene ninguna aplicación extraterritorial en la práctica, a pesar de que tales disposiciones están incluidas en la ley. Además, el ámbito de aplicación material de la ley se aplica a toda recogida y tratamiento de datos personales dentro de Taiwán, independientemente de si este tratamiento o recogida se realiza por medios automáticos o manuales. No obstante, hay excepciones, como cuando las actividades de tratamiento de datos se refieren a actividades personales o familiares.

¿Cuáles son los requisitos de los organismos gubernamentales y no gubernamentales en virtud de la APDP?

Aunque la forma de interpretar la ley varía entre organismos gubernamentales y no gubernamentales, ambas partes están sujetas a una serie de principios de protección de datos en lo que respecta a la ley. Estos principios incluyen:

• Transparencia– Tanto las agencias gubernamentales como las no gubernamentales son responsables de notificar a los interesados diversos asuntos relacionados con el tratamiento de datos, incluida la identidad de la agencia, así como los fines para los que se recopilarán los datos personales.
• Limitación de la finalidad– Los datos personales sólo pueden recogerse y tratarse de acuerdo con una finalidad específica, y los demás fines para los que vayan a tratarse dichos datos personales deben ser conformes a la PDPA.
• Minimización de datos– La PDPA estipula que la recogida, el tratamiento y la difusión de datos personales no irán más allá del fin para el que dichos datos personales fueron recogidos o tratados.
• Proporcionalidad– En virtud de la PDPA, los organismos son responsables de aplicar medidas de seguridad organizativas y técnicas para garantizar la proporcionalidad de todos los datos personales que obren en su poder.
• Conservación– La PDPA obliga a los organismos a suprimir los datos personales que obren en su poder en los casos en que los interesados soliciten que se supriman sus datos personales, o voluntariamente.
• Exactitud de los datos personales– En virtud de la PDPA, las agencias son responsables de garantizar que todos los datos personales que obran en su poder son exactos, así como de proporcionar a los interesados los medios para corregir sus datos personales si se ha descubierto que son inexactos.

¿Cuáles son los derechos de los interesados en virtud de la PDPA?

La PDPA garantiza a los interesados los siguientes derechos en relación con la protección de sus datos personales:

• El derecho a ser informados de los fines del tratamiento de datos.
• Derecho a acceder a sus datos personales, así como a comprobarlos y revisarlos.
• Derecho a rectificar sus datos personales si se comprueba que son inexactos.
• Derecho a solicitar que una agencia cese el tratamiento de sus datos personales.
• Derecho a solicitar a una agencia una copia de sus datos personales.
• Derecho a solicitar que una agencia suprima sus datos personales.
• Derecho a oponerse al uso de sus datos personales con fines comerciales.

En cuanto a la aplicación de la PDPA, la ley también establece las Normas de Ejecución de la Ley de Protección de Datos Personales, o las Normas de Ejecución para abreviar. En virtud de las normas de aplicación de la LOPD, las siguientes acciones pueden dar lugar a multas administrativas y sanciones penales:

• Recoger, procesar o utilizar ilegalmente datos personales.
• Incumplir una orden gubernamental que imponga restricciones a la transferencia internacional de datos personales.
• Modificar o suprimir ilegalmente archivos de datos personales, o alterar archivos de datos personales de cualquier manera que pueda afectar posteriormente a la exactitud de dichos archivos.

Aunque la PDPA es muy singular en cuanto a la forma en que la ley define a las partes implicadas en las actividades de tratamiento de datos, la ley proporciona a los interesados en Taiwán un amplio nivel de protección de datos. Dado que el país ha estado y sigue estando influenciado por el Reglamento General de Protección de Datos de la UE o GDPR, la PDPA puede ser modificada en el futuro para proporcionar una protección aún mayor. De este modo, los titulares de datos de Taiwán pueden tener la tranquilidad de que su Gobierno se mantiene firme a la hora de garantizar a los ciudadanos de su país los derechos a la privacidad y la protección de datos.