Cumplimiento de la Ley de Protección de Datos Personales de Singapur

La Ley de Protección de Datos Personales de Singapur (PDPA, por sus siglas en inglés) es una ley de protección de datos aprobada en Singapur en 2012. La PDPA se aprobó con el objetivo de crear una norma básica para la protección de los datos y la información personales en Singapur. Además, la PDPA complementa otros marcos normativos y legislativos del país, como las leyes de Singapur sobre banca y seguros. A diferencia de muchas otras leyes de privacidad de todo el mundo, como la Ley de Derechos de Privacidad de California o CCPA y el Reglamento General de Protección de Datos de la UE o GDPR, la PDPA también estableció un sistema nacional de No Llamar o DNC, que permite a los ciudadanos de Singapur optar por no recibir llamadas no deseadas y mensajes de telemarketing de empresas y organizaciones.

¿Cuál es el ámbito de aplicación de la PDPA?

La PDPA se aplica a todas las empresas y organizaciones de Singapur que recojan, utilicen o divulguen información personal de ciudadanos singapurenses. Además, la PDPA también se aplica a las empresas y organizaciones que no están físicamente ubicadas en Singapur pero que, no obstante, recopilan, utilizan o divulgan información personal de ciudadanos singapurenses. Además, la PDPA también se aplica a las transferencias transfronterizas de información personal, en los casos en que los datos personales de un ciudadano de Singapur se transfieren a otro país o lugar en el extranjero. A pesar de todo esto, hay ciertas empresas y organizaciones que están exentas de la jurisdicción de la PDPA. Estas empresas y organizaciones son las siguientes

• Particulares que actúan a título doméstico o personal.
• Organismos públicos.
• Empleados que realizan acciones en el contexto de su empleo en una empresa u organización concreta.
• Agencias gubernamentales.
• Cualquier otra organización o categoría de datos personales que pueda prescribirse.

Los intermediarios de datos dentro de Singapur también están exentos del ámbito de aplicación y la jurisdicción de la PDPA, siempre que dichos intermediarios procesen los datos personales de ciudadanos de Singapur en nombre y para los fines de otra empresa u organización, en virtud de un contrato formalizado por escrito o acreditado de otro modo, y como tales sólo tienen obligaciones con la PDPA en relación con lo siguiente:

• La protección de los datos personales bajo su control o en su posesión, mediante la adopción de medidas y disposiciones de seguridad razonables para impedir la recogida, el acceso, el uso, la copia, la modificación, la divulgación o la eliminación no autorizados de dichos datos personales.
• La conservación de los datos personales, mediante el cese de la conservación de documentos que contengan datos personales, o mediante la eliminación de los medios por los que dichos datos personales puedan asociarse a personas concretas, es decir, la destrucción o anonimización de los datos personales, tan pronto como sea razonable suponer que los fines para los que se recopilaron dichos datos personales ya no se cumplen con su conservación, y dicha conservación ya no es necesaria para fines legales o empresariales.
• La notificación de una violación de datos, por medio de la notificación a la agencia pública, empresa u organización en cuyo nombre esté procesando datos personales, de la ocurrencia de dicha violación de datos sin ninguna demora indebida, cuando el intermediario de datos en cuestión también tenga motivos para creer que se ha producido una violación de datos que afecta a los datos personales de ciudadanos de Singapur.

¿Cuáles son los requisitos de las empresas y organizaciones en virtud de la PDPA?

La PDPA establece varios principios sobre la forma en que las empresas y organizaciones deben cumplir sus obligaciones en materia de protección de datos. Estos principios incluyen:

• Obligación de consentimiento– Las empresas y organizaciones son responsables de obtener el consentimiento de las personas antes de recopilar, utilizar o revelar dicha información personal para un fin específico.
• Obligación de limitación de finalidad: una empresa u organización sólo está autorizada a recoger, utilizar o divulgar información personal para fines que una persona razonable consideraría apropiados en las circunstancias para las que se recogieron dichos datos.
• Obligación de notificación– Las empresas y organizaciones están obligadas a notificar a las personas los fines para los que pretenden recoger, utilizar o divulgar sus datos personales antes de proceder a dicha recogida, utilización o divulgación. Asimismo, las empresas y organizaciones no deben utilizar dichos datos para fines distintos de los inicialmente previstos.
• Obligación de acceso y rectificación: las empresas y organizaciones están obligadas a permitir a las personas que lo soliciten el acceso y la rectificación de los datos que les conciernen y que obren en su poder. Las empresas y organizaciones también están obligadas a facilitar a los particulares información sobre la forma en que se han utilizado o divulgado sus datos personales en el último año natural.
• Obligación de exactitud– Todas las empresas y organizaciones deben tomar medidas razonables para garantizar que toda la información personal que se recoja sea exacta y completa, si es probable que dicha empresa u organización utilice dicha información personal de manera que afecte al individuo en cuestión, o revele esta información personal a otra organización o tercero.
• Obligación de protección– Una empresa u organización está obligada a proteger toda la información personal en su posesión o bajo su control mediante la aplicación de salvaguardias y medidas de seguridad razonables para evitar el acceso no autorizado, uso, recopilación, modificación, copia o eliminación de dicha información, así como evitar la pérdida de cualquier dispositivo de almacenamiento o soporte en el que se haya almacenado información personal.
• Obligación de limitación de la conservación– Las empresas y organizaciones deben dejar de conservar documentos que contengan información personal, o eliminar los medios por los que estos datos personales pueden asignarse o asociarse a individuos concretos, tan pronto como sea razonable suponer que dicha conservación de los datos personales de un individuo ya no sirve al propósito para el que se recogieron originalmente y ya no es necesaria para fines legales o empresariales.
• Obligación de limitación de transferencia– Una empresa u organización no debe transferir datos o información personales a un territorio o país fuera de Singapur, a menos que dicha transferencia se realice de conformidad con los requisitos prescritos por las disposiciones de la PDPA para garantizar que los datos transferidos ofrezcan un nivel de protección equivalente al de la PDPA.
• Obligación de rendición de cuentas– Todas las empresas u organizaciones deben designar a una persona responsable de garantizar que dicha empresa u organización cumpla en todo momento la PDPA, también conocida como responsable de la protección de datos o RPD. Este RPD debe desarrollar, aplicar y mantener las prácticas y políticas necesarias para garantizar el cumplimiento de la APDP, incluido un proceso mediante el cual los consumidores puedan presentar reclamaciones. Además, las empresas y organizaciones están obligadas a comunicar información sobre dichas prácticas y políticas a los miembros de su personal, así como a poner esta información a disposición del público que la solicite.
• Obligación de notificar las violaciones de datos – Una empresa u organización debe evaluar los incidentes de violación de datos que hayan afectado a datos personales que estén en su posesión o bajo su control, notificar a la Comisión de Protección de Datos Personales o PDPC, así como a todos los individuos afectados, la ocurrencia de dichas violaciones de datos.
• Obligación de portabilidad de datos– Cuando una empresa u organización reciba una solicitud de portabilidad de datos de un consumidor o particular, la organización de portabilidad deberá transmitir todos los datos aplicables especificados en la portabilidad de datos a la organización que reciba dicha solicitud de portabilidad, de conformidad con los requisitos que puedan haberse prescrito, como los requisitos específicos relacionados con la protección de los consumidores, los aspectos técnicos o la experiencia general del usuario.

¿Cuáles son las sanciones por infringir la APDP?

Además de establecer requisitos o principios específicos que las organizaciones y empresas deben cumplir en todo momento, la PDPA también creó la Comisión de Protección de Datos Personales o PDPC con el fin de hacer cumplir la ley. Como tal, las sanciones que pueden imponerse a las empresas u organizaciones que infrinjan la PDPA por parte de la PDPC incluyen lo siguiente:

• La suspensión de la recogida, uso o divulgación de datos personales que infrinjan la APDP.
• Destruir los datos personales que infrinjan la APDP.
• Exigir que una empresa u organización proporcione acceso a los datos personales o los corrija.
• Exigir a una empresa u organización que presente información o documentos específicos por escrito.
• Entrar en los locales de una empresa u organización concreta sin una orden judicial, notificando dicha entrada con al menos dos días laborables de antelación.
• Obtener una orden de registro para entrar en los locales de una empresa u organización con el fin de tomar posesión o retirar documentos.
• Una sanción económica de hasta 1 millón de SGD (735.545 dólares).

A medida que los países de todo el mundo siguen aprobando leyes relacionadas con la protección de los derechos de privacidad de datos de sus ciudadanos, Singapur se une a una de las muchas naciones que han aprobado una ley integral de privacidad de datos en la última década. En comparación con muchas leyes de privacidad estatales de Estados Unidos, como la Ley de Protección de Datos de los Consumidores de Virginia (Virginia Consumer Data Protection Act, VCDPA), así como con normativas de privacidad internacionales como el Reglamento General de Protección de Datos de la UE (General Data Protection Regulation, GDPR), la PDPA tiene un alcance y una aplicabilidad considerables en el país de Singapur. Dado que la PDPA permite al PDPC obtener una orden judicial para entrar en los locales de las empresas u organizaciones que incumplan la normativa, los ciudadanos de Singapur gozan de un nivel de protección de datos que pocos países ofrecen. De este modo, los ciudadanos de Singapur pueden tener la tranquilidad de que sus derechos a la privacidad de los datos personales se defienden con la máxima firmeza.