La Ley de Privacidad de Datos de Filipinas de 2012
La Ley de Privacidad de Datos de Filipinas de 2012 se aprobó en respuesta al crecimiento de Filipinas en el sector de la tecnología de la información sanitaria y la gestión de procesos empresariales. A modo de contexto, el gasto general en tecnologías de la información en Filipinas alcanzó un total de 4400 millones de dólares a finales de 2016. El país cuenta con millones de usuarios de las redes sociales, incluyendo 42.1 millones de usuarios de Facebook, 3.5 millones de usuarios de LinkedIn y 13 millones de usuarios de Twitter. Como viene ocurriendo en muchos otros países debido al alza del uso y la actividad en línea, la protección de los derechos de privacidad de datos dentro de Filipinas se ha convertido en una cuestión prioritaria.
Alcance y aplicación
La Ley de Privacidad de Datos de Filipinas tiene un amplio alcance, que se extiende tanto a los individuos como a las entidades comerciales, con muy pocas excepciones. Además, la legislación tiene aplicación extraterritorial, ya que todos los equipos emplazados en el país, que se utilicen para el tratamiento de datos personales o información, deben cumplir con lo normado. Asimismo, la Ley de Privacidad de Datos de Filipinas protege los datos personales de los ciudadanos filipinos, independientemente del lugar donde residan. Dicha ley se redactó con la perspectiva de que “El tratamiento de datos personales se permitirá siempre que se respeten los principios de transparencia, motivo justificado y proporcionalidad”.
Definición de información personal sensible
La Ley de Privacidad de Datos de Filipinas de 2012 define como información personal sensible la incluida bajo las siguientes categorías:
- Información o datos relativos a la raza, origen étnico, estado civil, color, edad y afiliaciones religiosas, filosóficas o políticas de un individuo.
- Información o datos relativos a la educación, salud, genética, vida sexual o cualquier procedimiento judicial o presunta acusación penal en los que un individuo esté implicado.
- Información o datos emitidos por una agencia gubernamental que son “peculiares” o únicos para cada individuo, como el número de la Seguridad Social.
- Información o datos reconocidos como clasificados por una orden ejecutiva o una ley del Congreso.
Por otra parte, la ley contiene las siguientes excepciones al tratamiento de la información personal sensible:
- Datos procesados con el consentimiento del interesado.
- Procesamiento de datos realizado en virtud de otras leyes filipinas y que, por tanto, no requiere el consentimiento del interesado.
- Procesamiento de datos necesario para proteger la vida o la salud de un individuo.
- Procesamiento de datos necesario para proporcionar tratamiento médico a un individuo.
- Procesamiento de datos necesario para proteger los derechos legítimos de un interesado en relación con la normativa o los procedimientos judiciales o legales.
Los derechos de los ciudadanos
La Ley de Privacidad de Datos de Filipinas de 2012 garantiza a los ciudadanos del país los siguientes derechos relativos a sus datos e información personal:
- El derecho a que la información de un individuo “sea olvidada” mediante el bloqueo o supresión, en el caso de que el interesado pueda solicitar la eliminación de su información personal del sistema de archivos de datos de un determinado responsable del tratamiento de datos. El ejercicio de este derecho depende de si el interesado aporta “pruebas sustanciales”. Además, dicho derecho está limitado por el hecho de que la publicación de la información personal de un individuo puede estar justificada en el contexto de la libertad de expresión y otros derechos legales.
- El derecho a una acción privada para reclamar compensación por daños y perjuicios en relación con datos personales obsoletos, falsos, inexactos, incompletos, obtenidos ilegalmente o utilizados sin autorización.
- El derecho a la portabilidad de los datos.
Requisitos con los que deben cumplir los individuos, organizaciones y entidades comerciales
En virtud de la Ley de Privacidad de Datos de Filipinas de 2012, los individuos, organizaciones y entidades comerciales que procesan la información personal de los ciudadanos filipinos deben desarrollar, aplicar y revisar procedimientos específicos para la recogida de datos personales, limitar el tratamiento de datos a fines específicos definidos, gestionar el acceso a los datos personales, obtener el consentimiento de los usuarios y brindarles vías de recurso.
Todos los anteriores requisitos obligan a las entidades que manejan los datos personales de los ciudadanos filipinos a desarrollar y mantener un programa de privacidad de datos. Además, la ley establece que las entidades que procesan los datos personales de los ciudadanos filipinos deben desarrollar programas de seguridad como salvaguarda de seguridad técnica. Es asimismo notorio que la legislación filipina exija que la Ley de Seguridad Humana de 2007, esencial normativa antiterrorista que permite la vigilancia por video y audio, cumpla con lo regulado por la Ley de Privacidad de Datos de Filipinas de 2012.
La Ley de Privacidad de Datos de Filipinas de 2012 contiene además disposiciones relativas a las violaciones de datos. Con el fin de evitar confusión, dicha ley hace una distinción entre los términos “incidente de seguridad” y “violación de datos personales”. Según la legislación, un “incidente de seguridad” se define como “un evento o suceso que afecta o tiende a afectar la protección de los datos o que puede comprometer su disponibilidad, integridad o confidencialidad”. Por el contrario, una “violación de datos personales” se considera como un subconjunto de las violaciones de seguridad y se define como la “destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados”.
Al mismo tiempo, la ley establece que todos los casos de violación de datos personales sean notificados a las partes implicadas e impone que dichas notificaciones se regulen por los siguientes requisitos específicos:
- La información contenida en la violación de datos debe ser información personal “sensible”, tal y como se define en la ley, o información que podría ser utilizada con fines de fraude de identidad.
- Se procederá a notificar cuando exista una creencia razonable de que se ha producido la adquisición o acceso no autorizado a información personal sensible, exista un riesgo real para los interesados implicados en la violación de datos o el daño potencial a los interesados se considere grave.
- En las notificaciones debe aparecer recogido el alcance y la naturaleza de dicho incumplimiento, los datos personales expuestos en la violación, las medidas adoptadas por la entidad que ha sufrido la violación de datos, las medidas tomadas para reducir el impacto y los daños causados por dicha violación, la información de contacto del responsable del tratamiento de la información personal implicado en la violación y cualquier solución o asistencia que se proporcionará a los interesados en relación con dicha violación de datos.
Penas impuestas por incumplimiento de la ley
La Ley de Privacidad de Datos de Filipinas de 2012 impone a los infractores diversas sanciones, que van desde multas hasta pena de cárcel. Por ejemplo, en virtud de la ley se establecen sanciones diferentes por cada uno los siguientes cargos: procesamiento no autorizado, procesamiento con fines no autorizados, eliminación inadecuada, acceso negligente, infracciones intencionadas, ocultación de una violación de datos que implique información personal sensible, divulgación maliciosa y divulgación no autorizada de datos personales. Cualquier combinación de las acciones enumeradas anteriormente puede dar lugar a una pena de prisión de entre tres y seis años, así como a una multa de entre 20000 y 100000 dólares. Asimismo, como ya se ha mencionado anteriormente, la ley concede a los ciudadanos filipinos afectados el derecho a emprender acciones privadas contra los culpables de la violación de datos.
La Ley de Privacidad de Datos de Filipinas se suma a la lista de leyes integrales de privacidad de datos que se han venido aprobando en los últimos años en todo el mundo, impulsadas por el indetenible ascenso del comercio y las comunicaciones en línea. Esta legislación es sin duda necesaria en el panorama filipino debido a la expansión de varios sectores empresariales del país en la última década. Con dicha ley, los ciudadanos filipinos pueden estar seguros de que tienen derecho a proteger la información personal que comparten con individuos y entidades comerciales.