La Ley, protección de la intimidad de los ciudadanos

La Ley de Protección de Datos Personales de Serbia, también conocida como la Ley, es una ley de protección de datos que se aprobó recientemente en Serbia en 2018. Dado que Serbia no es un Estado miembro de la UE y, como tal, no entra dentro de la jurisdicción del Reglamento General de Protección de Datos o RGPD, la Ley de Protección de Datos Personales se aprobó para proporcionar a los ciudadanos serbios un nivel de protección de datos similar al que se ofrece a los ciudadanos de los Estados miembros de la UE. Posteriormente, la Ley de Protección de Datos Personales establece las responsabilidades que deben cumplir los responsables del tratamiento de datos en Serbia cuando recopilan datos personales de ciudadanos serbios.

¿Cuál es el ámbito de aplicación de la Ley de Protección de Datos Personales?

En cuanto al ámbito de aplicación personal de la Ley de Protección de Datos Personales, la ley “se aplica al tratamiento de datos personales total o parcialmente automatizado y al tratamiento no automatizado de datos personales que formen parte de un fichero o estén destinados a formar parte de un fichero. Además, la Ley se aplica al tratamiento de datos personales realizado por un responsable o un encargado del tratamiento que tenga su sede social/lugar de residencia en el territorio de la República de Serbia, en el marco de actividades realizadas en el territorio de la República de Serbia, independientemente de que el tratamiento tenga lugar en el territorio de la República de Serbia”.

Alternativamente, la jurisdicción territorial de la Ley de Protección de Datos Personales se aplica al tratamiento de los datos personales de los interesados que residen en el territorio de Serbia por responsables y encargados del tratamiento que no están físicamente situados en el país, permitiendo dicho tratamiento de datos:

• Esté relacionado con la oferta de bienes o servicios a los interesados dentro de Serbia, independientemente de si se requiere el pago por parte de dichos interesados.
• Está relacionada con la supervisión del comportamiento de ciudadanos serbios que viven en el territorio de Serbia.

Con respecto al ámbito de aplicación material de la ley, el factor determinante para que determinados tipos de datos entren en el ámbito de aplicación de la ley es la posibilidad de que dichos tipos de datos se utilicen para identificar a la persona de la que se recogieron dichos datos. A tal efecto, datos como el nombre, el número de teléfono, la dirección, el número de identificación, el correo electrónico o cualquier otro dato a través del cual pueda identificarse a la persona física en cuestión (es decir, el interesado)” se consideran datos personales con arreglo a la Ley. Por el contrario, los datos personales que no tienen el potencial de identificar como sujeto de datos asociado no constituyen datos personales bajo la ley.

¿Cuáles son los principios de protección de datos de la Ley de Protección de Datos Personales?

La Ley de Protección de Datos Personales establece que los datos personales deben ser:

• Tratados de manera lícita, leal y transparente para los interesados.
• Recogidos con fines legales, justificables, explícitos y específicos. Se prohíbe el tratamiento de datos personales que no sea coherente con estos fines.
• Pertinentes, adecuados y limitados a lo necesario con respecto a la finalidad para la que se van a tratar dichos datos personales, lo que también se conoce como minimización de datos.
• Sean exactos y se mantengan actualizados cuando sea necesario, teniendo también en cuenta la finalidad del tratamiento de los datos, así como las medidas que deben adoptarse para garantizar que los datos personales que resulten ser inexactos se supriman o rectifiquen sin demora.
• Se conserven en una forma que permita la identificación de los interesados aplicables durante un periodo no superior al necesario para cumplir los fines del tratamiento de datos, también conocido como limitación del almacenamiento.
• Se procesen de forma que se garantice la seguridad adecuada de los datos personales recopilados y procesados, incluida la protección contra el uso o el procesamiento no autorizados y contra la pérdida, el daño y la destrucción accidentales.

Además, la Ley de Protección de Datos de Carácter Personal también exige a los responsables y encargados del tratamiento que tengan en cuenta el nivel de protección de los datos en el país aplicable cuando realicen transferencias de datos, mantengan registros de tratamiento de datos, incluidos el nombre y los datos de contacto de los responsables del tratamiento, y lleven a cabo Evaluaciones de Impacto sobre la Protección de Datos o EIPD. Además, los responsables y encargados del tratamiento también son responsables de nombrar o designar a un delegado de protección de datos o RPD para supervisar el tratamiento de los datos personales, así como de notificar a las partes afectadas y a los interesados las violaciones de datos que puedan producirse, sin demoras indebidas.

¿Cuáles son los derechos de los interesados en virtud de la Ley de Protección de Datos Personales?

Manteniendo las similitudes entre la Ley de Protección de Datos Personales y la Ley GDPR de la UE, los ciudadanos serbios tienen garantizados los siguientes derechos en relación con su privacidad y sus datos personales:

• El derecho a ser informado- Los interesados tienen que ser informados sobre la información relacionada con el tratamiento de sus datos personales, como por ejemplo si se han tratado o no sus datos personales.
• Derecho de acceso: los interesados tienen derecho a acceder a los datos personales que el responsable o el encargado del tratamiento tengan sobre ellos.
• Derecho de rectificación– Los interesados tienen derecho a solicitar que un responsable o encargado del tratamiento rectifique sin dilación indebida los datos personales que les conciernan y que resulten ser inexactos o incompletos.
• Derecho de supresión– Los interesados tienen derecho a solicitar que un responsable o encargado del tratamiento suprima los datos personales que les conciernan en determinadas circunstancias, como cuando dichos datos personales se hayan recogido y tratado de forma ilícita.
• Derecho de oposición– Los interesados tienen derecho a oponerse al tratamiento de sus datos personales, por motivos relacionados con su situación personal o sus opiniones, en cualquier momento durante el tratamiento de sus datos personales.
• Derecho a la portabilidad de los datos– Los interesados tienen derecho a recibir una copia de los datos personales que hayan facilitado al responsable o al encargado del tratamiento en “un formato estructurado, de uso común y lectura mecánica, y tienen derecho a transmitir esos datos a otro responsable sin que el responsable al que se hayan facilitado los datos personales se lo impida”.
• Derecho a no ser objeto de decisiones automatizadas– Los interesados tienen derecho a no ser objeto de decisiones de tratamiento de datos basadas únicamente en un tratamiento automatizado.
• Derecho a la limitación del tratamiento– Los interesados tienen derecho a solicitar que un responsable o encargado del tratamiento restrinja el tratamiento de sus datos personales en determinadas circunstancias, como en los casos en que impugnen la exactitud de los datos personales de un interesado.
• Derecho a presentar una reclamación ante el Poverenik – Los interesados tienen derecho a presentar reclamaciones ante el Poverenik cuando consideren que se han vulnerado sus derechos.

En lo que respecta a la aplicación de la ley y las sanciones aplicables, la Ley de Protección de Datos Personales es aplicada por el Comisionado para la Información de Importancia Pública y la Protección de Datos Personales, conocido abreviadamente como Poverenik. Como tal, el Poverenik “puede imponer una multa sobre la base de una orden de infracción si durante la supervisión de la inspección se establece que se ha producido una infracción por la que se impone una multa según lo prescrito por esta ley. La multa impuesta no podrá, en ningún caso, superar los importes máximos que pueden imponerse al responsable o al encargado del tratamiento por una falta tipificada en la Ley, es decir, hasta aproximadamente 17.000 euros (19.738 dólares).

Con la aprobación de la Ley de Protección de Datos Personales en 2018, los ciudadanos serbios cuentan con un mayor nivel de protección de datos en comparación con muchos otros países del mundo, tanto en lo que respecta a los derechos de los interesados como a las responsabilidades de los responsables y encargados del tratamiento. Dado que la ley se creó para proporcionar a los interesados una protección de la privacidad de los datos equiparable a la que ofrecen la ley GDPR de la UE y la Ley de Derechos de Privacidad de California o CCPA, los ciudadanos serbios pueden tener la tranquilidad de que sus datos personales están salvaguardados en todo momento, tanto si se encuentran en Serbia como fuera del país.