La Ley de Protección de Datos de 2013, la privacidad de los datos en Lesoto

La Ley de Protección de Datos de Lesoto del 2013, también conocida como DPA, es una ley de protección de datos que se aprobó en Lesoto en 2013. La DPA se aprobó para proporcionar a los ciudadanos de Lesoto el derecho fundamental a la protección de datos y la privacidad, ya que este derecho no se otorga explícitamente en la Constitución del Reino de Lesoto. Por lo tanto, era necesaria una ley que garantizara a los interesados de Lesoto el derecho a la privacidad de su información personal. Con este fin, la DPA establece los principios para la regulación de la recogida, el tratamiento y la divulgación de datos personales en Lesoto, así como las sanciones que pueden imponerse como resultado del incumplimiento de la ley.

¿Cuál es el alcance y la jurisdicción de la DPA?

En lo que respecta al ámbito de aplicación personal de la ley, la DPA se destina a: “una entidad pública o privada o cualquier persona que, por sí sola o junto con otras, determine la finalidad y los medios para el tratamiento de información personal, independientemente de que dichos datos sean tratados por esta o por un procesador de datos en su nombre”. Además, la DPA define el tratamiento de datos de forma amplia, incluyendo: “la recogida, recepción, registro, organización, cotejo, almacenamiento, actualización o modificación, recuperación, alteración, consulta o utilización, difusión mediante transmisión, distribución o puesta a disposición en cualquier otra forma, fusión, enlace, así como el bloqueo, degradación, borrado o destrucción de información personal”.

Por el contrario, el ámbito de aplicación territorial de la DPA establece que la ley atañe a cualquier individuo que trate datos personales, ya sea:

• Un residente establecido u ordinario de Lesoto que procese datos mientras reside en el país.
• Un residente no establecido u ordinario de Lesoto que utilice medios automatizados o no automatizados para procesar datos personales de Lesoto o para transmitir datos personales a otras personas o entidades.

¿Con qué requisitos deben cumplir los responsables del tratamiento de datos en virtud de la DPA?

En virtud de la Ley de Protección de Datos de 2013, los responsables del tratamiento de datos de Lesoto deben cumplir con los siguientes principios de protección de datos:

• Especificación de la finalidad y limitación del tratamiento posterior: la DPA exige que la recogida de datos personales se limite a fines específicos, explícitos y legítimos y prohíbe que los datos personales se traten posteriormente de manera incompatible con estos fines.
• Tratamiento mínimo: la DPA exige que el tratamiento de los datos personales sea pertinente, adecuado y no excesivo.
• Conservación de los datos: la DPA exige que los registros recogidos, que detallan datos personales, no se conserven por más tiempo del necesario.
• Seguridad de la información: la DPA exige que los responsables del tratamiento de datos tomen medidas para garantizar la integridad de todos los datos personales recogidos contra la pérdida, el daño, el acceso ilegal y la destrucción no autorizada.
• Calidad de la información: la DPA exige que todos los datos personales que se recojan estén completos, no induzcan a error y se mantengan actualizados, siempre que sea necesario.
• Control del tratamiento automatizado: la DPA prohíbe el tratamiento de datos personales realizado únicamente sobre la base de un proceso automatizado, con ciertas excepciones.

¿Cuáles son los derechos de los interesados en virtud de la DPA?

La Ley de Protección de Datos de 2013 otorga a los interesados de Lesoto varios derechos en relación con la recogida, el tratamiento y la difusión de sus datos personales. Estos derechos incluyen el derecho a la rectificación, con cargo al interesado, así como el derecho a acceder a cualquier dato personal relativo a él que un determinado responsable de datos pudiera tener en su poder. Además, la DPA otorga a los ciudadanos el derecho a excluirse u oponerse al tratamiento de sus datos personales, así como el derecho a no ser objeto de decisiones de tratamiento de datos tomadas únicamente sobre la base de procedimientos automatizados. Por otra parte, la DPA no otorga a los interesados el derecho a ser informados ni el derecho a la portabilidad de los datos.

En cuanto a las sanciones que pueden imponerse a los responsables del tratamiento de datos que violen la ley, la DPA se hace cumplir por la Comisión de Protección de Datos, también conocida como La Comisión. Dicha entidad está autorizada a imponer una multa de hasta 50 millones de maloti (LSL) (3383 dólares), así como una pena de prisión de hasta cinco años por los siguientes delitos:

• Violar cualquiera de las disposiciones o reglamentos de la DPA.
• Obstaculizar o influenciar ilegalmente a La Comisión o a cualquier persona que actúe en nombre de esta, con respecto a la aplicación de las disposiciones de la DPA.
• Violar las normas de confidencialidad que se aplican a los datos personales.
• Obstaculizar ilegal e intencionadamente a una persona en la ejecución de una orden judicial emitida de conformidad con la DPA.
• No asistir a una persona en la ejecución de una orden judicial emitida de conformidad con la DPA, en los casos en que dicha asistencia sea razonablemente necesaria.

Con la aprobación de la Ley de Protección de Datos de 2013, los interesados de Lesoto obtuvieron por primera vez el derecho a la privacidad, recogido de forma explícita en un cuerpo legal. Aunque la DPA no ofrece el mismo nivel de protección que la ley POPIA sudafricana, la Ley de Protección de Datos de 2013 fue, sin embargo, un punto de inflexión en la búsqueda de la garantía de los derechos de privacidad de los datos para los ciudadanos del país. De este modo, Lesoto se ha sumado a los numerosos países africanos que, con leyes impuestas en la última década, han garantizado la protección de los datos y, a su vez, de los derechos a la privacidad de sus ciudadanos.