Derechos de protección de datos de los ciudadanos malasios

La Ley de Protección de Datos Personales de Malasia de 2010 (PDPA, por sus siglas en inglés) es una ley de privacidad de datos que se aprobó en Malasia en 2010. Antes de la aprobación de la PDPA, la legislación sobre datos en Malasia se limitaba a leyes sectoriales relacionadas con las finanzas, la sanidad, las comunicaciones, etc. Es más, la PDPA también establecía legislación subsidiaria, incluidas leyes que regulaban el registro de usuarios de datos, las tasas y la tipificación de delitos con arreglo a la ley. Además, esta legislación subsidiaria también creó un comisario para hacer cumplir la ley en caso de incumplimiento.

¿Cuál es el ámbito de aplicación de la APDP?

En cuanto al ámbito de aplicación personal de la ley, la APDP se aplica a cualquier persona que procese o tenga control sobre el procesamiento de datos personales (“usuario de datos”). Es pertinente señalar que el tratamiento se define ampliamente en la PDPA para abarcar una amplia gama de actividades, entre ellas el uso, la difusión, la recogida, el registro y/o el almacenamiento de datos personales. En relación con el ámbito territorial de la ley, la PDPA no se aplica en general a los datos personales que se procesan fuera de Malasia, a menos que dichos datos personales vayan a ser procesados posteriormente dentro de Malasia, o si un responsable del tratamiento utiliza equipos dentro del país para procesar los datos.

En cuanto al ámbito de aplicación material de la ley, la PDPA abarca los datos personales, definidos como la recogida, registro, tenencia o almacenamiento de datos personales, así como la realización de cualquier operación relacionada con datos personales, incluidas las siguientes:

• La organización, alteración y adaptación de datos personales.
• El uso, consulta y recuperación de datos personales.
• La divulgación de datos personales por medios de transmisión, difusión, transferencia o cualquier otro medio de puesta a disposición de datos personales.
• La combinación, corrección, alineación, borrado y destrucción de datos personales.

¿Cuáles son los requisitos de la PDPA para los responsables del tratamiento de datos?

La PDPA establece una serie de principios de protección de datos que los responsables del tratamiento deben respetar en todo momento cuando recojan, traten o divulguen datos personales de ciudadanos malasios. Estos principios de protección de datos son los siguientes:

• Principio general– El principio general de la APDP establece que los datos personales no se tratarán a menos que se utilicen para un fin lícito que esté directamente relacionado con la actividad del usuario de los datos, sea necesario para dicho fin o esté directamente relacionado con él, y que los datos sean adecuados y no excesivos en relación con dicho fin.
• Principio de notificación y elección– El principio de notificación y elección exige que los responsables del tratamiento de datos notifiquen por escrito a los interesados si se están tratando sus datos personales, así como una descripción de los datos, los fines para los que se recopilarán y tratarán, toda la información de que disponga el responsable del tratamiento en relación con la fuente de los datos personales utilizados, el derecho del interesado a acceder a los datos personales y a solicitar su rectificación, los datos de contacto del responsable del tratamiento en caso de quejas o consultas, la clase o categorías de terceros a los que también pueden comunicarse los datos, las opciones y medios que se ofrecerán al interesado para limitar el tratamiento de sus datos personales, y si es obligatorio o voluntario que el interesado facilite sus datos, así como las consecuencias que pueden derivarse de negarse a divulgar dichos datos personales.
• Principio de divulgación– El principio de divulgación prohíbe a un responsable del tratamiento divulgar los datos personales de un interesado para cualquier fin distinto del fin divulgado, o a cualquier tercero distinto de la clase de terceros divulgados al interesado.
• Principio de seguridad– El principio de seguridad exige que los responsables del tratamiento adopten medidas específicas para proteger los datos personales de los interesados contra la pérdida, el uso indebido, la alteración, la modificación o cualquier otra forma de acceso o divulgación no autorizados durante las actividades de tratamiento de datos.
• Principio de conservación– El principio de conservación exige que los datos personales no se conserven durante más tiempo del necesario para cumplir los fines para los que fueron recogidos y tratados. El principio de conservación también exige que los responsables del tratamiento destruyan o supriman definitivamente todos los datos personales que ya no sean necesarios para los fines para los que fueron almacenados.
• Principio de integridad de los datos– El principio de integridad de los datos exige que los responsables del tratamiento adopten medidas y disposiciones razonables para garantizar que los datos personales sean exactos, completos y estén actualizados en relación con la finalidad, incluida cualquier otra finalidad directamente relacionada, para la que se recogieron y trataron todos los datos personales.

¿Cuáles son los derechos de los interesados en virtud de la PDPA?

La PDPA concede a los ciudadanos malasios varios derechos en relación con la protección de datos. Estos derechos incluyen:

• El derecho a acceder a los datos personales.
• Derecho a exigir al responsable del tratamiento que corrija sus datos personales.
• Derecho a retirar el consentimiento para el tratamiento de datos personales.
• Derecho a impedir el tratamiento de datos que pueda causar daños o perjuicios.
• El derecho a impedir el tratamiento de datos con fines de marketing directo.

En cuanto a las penas por incumplimiento de la ley, los responsables del tratamiento de datos que incumplan la PDPA pueden ser condenados a penas de prisión de hasta tres años, así como a multas administrativas de entre 300.000 y 500.000 MYR (6.814). Además, debido a la sublegislación que también se aprobó junto con la PDPA, los responsables del tratamiento de datos también están sujetos a delitos agravados y penas de larga duración, en los casos en que un responsable del tratamiento de datos en particular infrinja repetidamente la ley.

Dado que la PDPA se aprobó hace más de 10 años, en 2010, Malasia fue uno de los primeros países en adoptar la legislación sobre privacidad que se ha generalizado en los últimos años. Como muchos países de todo el mundo han tomado gran influencia del Reglamento General de Protección de Datos de la UE o GDPR, la PDPA está en muchos aspectos por delante de la curva en lo que respecta tanto a los requisitos que se colocan en los controladores de datos, así como las sanciones que pueden imponerse contra dichos controladores de datos cuando violan la ley. De este modo, Malasia se encuentra entre los países del mundo que ofrecen a sus ciudadanos derechos estrictos en materia de protección de datos, con pocas excepciones.