La Ley de Protección de Datos de Senegal

La Ley de Protección de Datos de Senegal es una ley de privacidad de datos que se aprobó en Senegal en 2008. La ley regula el uso de la recopilación, almacenamiento, uso y divulgación de los datos personales y la información de los ciudadanos senegaleses. Más concretamente, la ley establece las condiciones específicas para el tratamiento de datos, los derechos de las personas en virtud de la ley y las obligaciones de los propietarios de los datos. En comparación con muchas otras leyes de privacidad de todo el mundo, como el Reglamento General de Protección de Datos de la UE o GDPR o la Ley de Derechos de Privacidad de California o CCPA, la Ley de Protección de Datos de Senegal es menos estricta y rígida. No obstante, la ley proporciona a los residentes senegaleses un nivel de protección en lo que respecta a sus derechos sobre los datos personales.

¿Cuál es el ámbito de aplicación y la jurisdicción de la Ley de Protección de Datos de Senegal?

En virtud de la Ley de Protección de Datos de Senegal, las siguientes partes entran en el ámbito de aplicación de la ley:

• Propietarios de datos– según la ley, los propietarios de datos se definen como “un individuo, el Estado senegalés, una comunidad local o una corporación pública o privada”.
• Encargados del tratamiento de datos: la ley define al encargado del tratamiento de datos como “un subcontratista que actúa bajo la autoridad y las instrucciones del propietario de los datos”.

Con este fin, la Ley de Protección de Datos de Senegal también esboza las formas de datos personales o información que están cubiertos por la ley. Estas formas de información personal incluyen todos los datos relacionados con un individuo identificado o identificable, la referencia a un número de identificación relacionado con un individuo y una o más características relacionadas con un individuo, incluidas las características físicas, sociales o económicas, genéticas, fisiológicas y culturales. Es más, su ley también establece las circunstancias en las que los responsables y encargados del tratamiento de datos pueden recopilar, almacenar y procesar la información personal de los ciudadanos senegaleses de . Estas circunstancias incluyen:

• Información personal que se procesó de forma legal, justa y con el consentimiento de una persona.
• Información personal recopilada con fines explícitos, legítimos y específicos, y tratada posteriormente de forma coherente y compatible con dichos fines.
• Información personal pertinente, adecuada y no excesiva en relación con los fines para los que se recogió inicialmente.
• Información personal completa, exacta y actualizada en todo momento.
• La información personal que se recoja de una forma que permita su uso para identificar a una persona durante un periodo superior al necesario para los fines específicos para los que se recogió dicha información.

Además, hay ciertas excepciones en la Ley de Protección de Datos de Senegal en las que la información personal de los interesados puede ser recogida, utilizada y procesada sin su consentimiento. Estas excepciones incluyen:

• Para cumplir una obligación o requisito legal al que pueda estar sujeto un interesado o persona física.
• Para llevar a cabo una acción o cometido de servicio público que se haya asignado o encomendado a un interesado determinado.
• Si el tratamiento de la información personal de un interesado está relacionado con el cumplimiento de un contrato o de medidas precontractuales que haya solicitado dicho interesado.
• Si el tratamiento de la información personal de un interesado está relacionado con derechos fundamentales, libertades o intereses personales de dicho interesado.

¿Qué información debe facilitarse a los interesados cuando se recogen sus datos personales?

Según la Ley de Protección de Datos de Senegal, las empresas, organizaciones y particulares que recojan datos personales e información de ciudadanos senegaleses están obligados a facilitarles la siguiente información en el momento de la recogida:

• La identidad del propietario de los datos y de cualquier representante o tercero.
• Los fines para los que se tratarán sus datos o información personales.
• La categoría de datos que se tratarán.
• Si las respuestas a las preguntas de un titular de datos concreto son obligatorias u optativas, y las posibles consecuencias que pueden derivarse de negarse a responder a cualquier pregunta obligatoria.
• Las categorías, destinatarios o receptores de la información personal que se va a recoger.
• El derecho a oponerse, por un motivo o fin legítimo, a la recogida de la información personal de un interesado.
• El derecho del interesado a acceder a su información personal y rectificarla en caso necesario.
• La duración del tratamiento de la información personal del interesado.
• Cualquier detalle relativo a la transferencia prevista de la información personal del interesado.

Además, también hay una serie de requisitos que las empresas y organizaciones deben cumplir y respetar en relación con las violaciones de datos. En caso de que una entidad que maneje información o datos personales de residentes senegaleses sufra una violación de datos, es responsable de garantizar lo siguiente con respecto a los interesados que puedan haberse visto afectados:

• Que las personas que puedan acceder a un sistema de datos concreto y sólo accedan a datos o información que les concierna.
• Que pueda verificarse la identidad y el interés de los terceros destinatarios de los datos de un interesado.
• Que pueda verificarse la identidad de cualquier persona que pueda tener acceso a la información de un interesado y que, a su vez, pueda modificarla.
• Que ninguna persona no autorizada pueda acceder a los lugares o equipos utilizados para el tratamiento de datos.
• Que ninguna persona no autorizada pueda leer, modificar, trasladar, copiar o destruir los datos de un interesado.
• Que todos los datos introducidos en un sistema de datos concreto han sido autorizados.
• Que los datos de un interesado no serán leídos, modificados, copiados o suprimidos sin autorización durante la comunicación o el transporte de dichos datos.
• Que todos los datos obtenidos de un interesado sean objeto de copias de seguridad.
• Que todos los datos obtenidos de un interesado se renueven y se conviertan a un formato adecuado para guardar dichos datos.

¿Cuáles son las sanciones por infringir la Ley de Protección de Datos de Senegal?

Además de imponer requisitos a los responsables del tratamiento de datos y otorgar derechos a los interesados, la Ley de Protección de Datos de Senegal también estableció la Autoridad Senegalesa de Protección de Datos o CDP para supervisar y hacer cumplir las infracciones de la ley. En virtud de la ley, se pueden imponer diversas multas y sanciones legales en caso de incumplimiento. Estas multas y sanciones incluyen:

• La retirada provisional de la autoridad de una entidad u organización empresarial durante un periodo de tres meses. Esta retirada de autoridad también puede hacerse permanente si la entidad u organización empresarial en cuestión sigue operando en situación de incumplimiento.
• La interrupción de las funciones de tratamiento de datos de una entidad u organización empresarial durante 3 meses.
• La congelación durante 3 meses de determinadas formas de información personal que pueda poseer un responsable del tratamiento de datos.
• La prohibición, temporal o permanente, de cualquier forma de tratamiento de datos que no cumpla las normas y requisitos establecidos por la Ley de Protección de Datos de Senegal.
• Multas de entre 1 y 100 millones de francos CFA.
• Penas de prisión de 6 meses a 7 años.
• Multas penales de 200.000 a 10 millones de francos CFA.

Aunque la Ley de Protección de Datos de Senegal puede no ser tan robusta como otras leyes exhaustivas de privacidad de datos que se han aprobado en otros países en los últimos años, la ley proporciona a los ciudadanos senegaleses una variedad de derechos con respecto a sus datos personales e información. Además, como es el caso de muchos otros países, Senegal continúa explorando medios adicionales para mejorar los derechos de privacidad de datos de sus ciudadanos, como lo demuestra la participación del país en el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal en 2016. Por ello, los residentes senegaleses pueden estar seguros de que su gobierno está haciendo todo lo posible para proteger sus derechos sobre los datos.