La PDPL, garantizando la privacidad y protección de datos
July 20, 2022 | 6 minutes read
La Ley de Protección de Datos Personales de Montenegro 79/08 y 70/09, también conocida como PDPL, es una ley de protección de datos aprobada en 2012. Dado que Montenegro es uno de los pocos países de Europa que no pertenece a la Unión Europea y, como tal, no está bajo la jurisdicción de la Regulación General de Protección de Datos (GDPR), el país necesitaba una ley de protección de datos que estuviera a la altura de otras leyes europeas de privacidad de datos. En este sentido, la PDPL se inspiró en gran medida en la Directiva de Protección de Datos de la UE o Directiva 95/46/CE y se alineó, posteriormente, con lo establecido por la actual Regulación General de Protección de Datos de la UE. De esta forma la PDPL establece el marco legal que los responsables y encargados de datos, así como las organizaciones deben cumplir en todo momento al realizar actividades de procesamiento de información.
¿Cómo se define a los responsables y encargados del tratamiento de datos según la PDPL?
Según la PDPL, el término “responsable de datos” se define como: “Una persona natural o jurídica que procesa datos personales en el territorio de Montenegro o fuera del territorio montenegrino, donde se aplique la normativa montenegrina según el derecho internacional; o, sin residencia o haber estado constituida en Montenegro, utiliza equipos para el procesamiento de datos situados en Montenegro, excepto si los equipos se utilizan únicamente para la transferencia de datos personales en el territorio de Montenegro.”. Dado que la PDPL no contiene disposiciones que establezcan explícitamente un ámbito de aplicación territorial, el término “responsable de datos” se refiere a personas físicas y jurídicas tanto dentro como fuera de Montenegro.
Por otra parte, el término “encargado de datos” se define como: “Una autoridad pública, un organismo de la administración pública, un gobierno autónomo o una autoridad de la administración local, empresa comercial u otra persona jurídica, empresario o una persona natural, que realiza tareas relativas al tratamiento de datos personales en nombre del responsable de datos”. En cuanto a los tipos de datos personales que están cubiertos por la PDPL, la ley “se aplica al tratamiento automatizado o no automatizado de datos personales contenidos o destinados a ser contenidos en un sistema de archivos”. Además, el tratamiento de datos personales incluye todas las funciones y operaciones realizadas en relación con los datos personales, incluidas la recogida, procesamiento, transmisión, clasificación y supresión.
¿Cuáles son las obligaciones de los responsables y encargados de datos en virtud de la PDPL?
En virtud de la PDPL, los responsables y encargados de datos que procesan la información personal de los ciudadanos montenegrinos tienen las siguientes obligaciones y responsabilidades:
- Los responsables y encargados de datos tienen prohibido procesar los datos personales más de lo necesario para lograr el propósito para el que fueron recogidos.
- Los responsables y encargados de datos deben garantizar que todos los datos en su poder sean precisos, estén completos y se actualicen regularmente, cuando sea necesario.
- Los responsables y encargados de datos deben conservar los datos personales que permitan la identificación de los interesados durante un periodo no superior al necesario para cumplir los fines para los que fueron recogidos, salvo que la ley disponga lo contrario.
- Todas las actividades de tratamiento de datos deben partir del consentimiento expreso de los interesados, o de una de las cinco bases alternativas establecidas por ley.
- Los responsables y encargados de datos deben borrar los datos personales que no hayan sido tratados de acuerdo con la ley o a petición de un interesado.
- En los casos en que los responsables y encargados de datos establezcan un sistema automatizado de archivo de datos, estos deberán designar a una persona a cargo de la protección de datos personales, también conocida como oficial de protección de datos (DPO), siempre que dichos responsables y encargados de datos empleen a más de diez miembros del personal en el procesamiento de datos.
- Una vez concluidas las actividades de tratamiento de datos, los responsables y encargados de datos deben destruir los datos personales en su poder o devolverlos a los interesados a quienes pertenecen.
- Los responsables y encargados de datos deben aplicar todas las medidas organizativas, de personal y técnicas necesarias para garantizar la protección de los datos personales en su poder.
- Los responsables y encargados de datos deben establecer un acuerdo escrito entre ambos, con el fin de regular los datos personales que los encargados de datos procesan en nombre de los responsables de datos. Este acuerdo escrito debe indicar las obligaciones de los encargados, que se alinearán a las directivas e instrucciones de los responsables de datos.
¿Cuáles son los derechos de los ciudadanos montenegrinos en virtud de la PDPL?
La PDPL otorga a los ciudadanos montenegrinos los siguientes derechos en materia de protección de datos y privacidad:
- derecho a ser informado
- derecho de acceso
- derecho de rectificación
- derecho a la supresión
- derecho a restringir el tratamiento de datos personales
- derecho a oponerse al tratamiento de datos personales
- derecho a no ser sometido a decisiones de tratamiento de datos tomadas únicamente sobre la base
- de decisiones automatizadas
En cuanto a las sanciones impuestas por infringir la ley, la Agencia de Protección de Datos Personales y Libre Acceso a la Información (AZLP) es la encargada de velar por el cumplimiento de la PDPL. Para ello, la AZLP está facultada para imponer las siguientes sanciones:
- Imponer una prohibición temporal a los responsables o encargados de datos que se compruebe han recogido o tratado datos personales de forma ilícita.
- Ordenar a un responsable o encargado de datos la supresión de los datos personales que se hayan recogido de forma ilícita.
- Imponer multas de 500 a 20000 euros (584 a 23361 dólares) a personas jurídicas, de 150 a 6000 euros (175 a 7007 dólares) a empresarios y de 150 a 2000 euros (175 a 2335 dólares) a individuos.
Dado que Montenegro es uno de los países de Europa que no forma parte de la UE y, por tanto, no está bajo la jurisdicción de la Regulación General de Protección de Datos, la PDPL sirve para proteger la privacidad y los datos personales de los ciudadanos montenegrinos. Sin embargo, a pesar de que Montenegro no forma parte de la Unión Europea, las políticas de la UE en materia de legislación de datos han influenciado grandemente, a lo largo de los años, las disposiciones recogidas en la normativa montenegrina. De este modo, los ciudadanos montenegrinos gozan de un nivel de privacidad de datos similar al de sus homólogos europeos.