La PDPO, privacidad integral de datos en Hong Kong

La Ordenanza de Datos Personales (Privacidad) (Cap. 486), también conocida como PDPO, es una ley de privacidad de datos de Hong Kong que fue aprobada originalmente en 1996 y modificada en 2012. Aunque Hong Kong es una región administrativa especial de China, la zona tiene un sistema de gobierno independiente según el principio de “un país, dos sistemas”, debido a la condición de Hong Kong de territorio británico hasta 1997. Por ello, Hong Kong no está bajo la jurisdicción de la Especificación de Seguridad de la Información Personal de China, ni de la Ley de Ciberseguridad de dicho país. En consecuencia, la PDPO es la principal ley de privacidad que regula la recogida, el tratamiento y la divulgación de datos personales en Hong Kong.

¿Cuál es el alcance y la aplicación de la PDPO?

La ley se aplica a la recogida, el tratamiento y el almacenamiento de datos personales por parte de los usuarios de datos, incluida la información que:

• se relacione directa o indirectamente con una persona viva,
• exista en una forma en la que es posible determinar la identidad de una persona en particular, ya sea directa o indirectamente y
• existe en una forma a partir de la cual sería posible su acceso o procesamiento.

Por otra parte, el ámbito de aplicación territorial de la ley incluye “la recogida y el tratamiento de datos personales con independencia del lugar del mundo en el que se haya producido la recogida o el tratamiento, siempre que los datos personales sean controlados por un usuario de datos en Hong Kong”. Por el contrario, en lo que respecta al ámbito de aplicación material de la ley, los encargados del tratamiento de datos que operan en Hong Kong no entran automáticamente en la jurisdicción de la PDPO, ya que la ley se aplica generalmente a los responsables del tratamiento y a los usuarios de datos, respectivamente. Más concretamente, “un usuario de datos que, solo, conjuntamente o en común con otras personas, controla la recogida, el almacenamiento, el tratamiento o la utilización de datos personales, estará sujeto a los requisitos de la PDPO”.

¿Cuáles son las obligaciones de los responsables del tratamiento de datos en virtud del PDPO?

Las principales obligaciones y deberes de los responsables del tratamiento de datos que operan en Hong Kong, tal y como establece la PDPO, se plasman en los siguientes principios de protección de datos:

• Recogida de datos personales: la recogida de datos personales debe limitarse a lo que es necesario, lícito y justo. Los responsables del tratamiento de datos deben proporcionar a los interesados, en el momento en que se recogen sus datos personales, información que detalle la finalidad de la recogida de dichos datos, los terceros a los que se puede transferir los datos personales y si es obligatoria la entrega de estos datos personales a un determinado responsable del tratamiento de datos, así como las consecuencias de negarse a hacerlo.
• Calidad y conservación de los datos: los responsables del tratamiento de datos deben garantizar que todos los datos personales que se recojan sean exactos y los datos personales no deben conservarse por más tiempo del necesario para cumplir el objetivo para el que se recogieron.
• Uso de los datos: según la PDPO, los datos personales sólo pueden utilizarse de acuerdo con los fines para los que fueron recogidos o para otro fin directamente relacionado.
• Seguridad de los datos: en virtud de la PDPO, los responsables del tratamiento de datos deben adoptar “medidas viables” para proteger todos los datos personales recogidos contra el uso, acceso, tratamiento, pérdida o supresión accidentales o no autorizados. A la hora de formular estas medidas viables, los responsables del tratamiento de datos deben tener en cuenta una serie de factores, como la ubicación física en la que se almacenan los datos personales, así como el nivel de daño que podría causarse en caso de divulgación o acceso indebido a los datos personales.
• Política de privacidad: en virtud de la PDPO, los responsables del tratamiento de datos deben proporcionar a los interesados avisos de privacidad en los que se detallen los tipos de datos personales que poseen en relación con dichos interesados, los fines para los que se conservan dichos datos personales, así como las políticas y prácticas que rigen dicha posesión.
• Acceso a los datos personales: en virtud de la PDPO, los interesados tienen derecho a acceder a cualquier dato personal que el responsable del tratamiento de datos posea sobre ellos.

¿Cuáles son los derechos de los interesados en virtud de la PDPO?

En virtud de la PDPO, los interesados de Hong Kong tienen garantizados muchos de los derechos que se ofrecen a los interesados de otros países, que también están bajo la jurisdicción de leyes de privacidad de datos. Estos derechos incluyen el derecho a ser informado, el derecho de acceso, el derecho de rectificación, el derecho de supresión y el derecho de oposición o exclusión voluntaria. En cambio, la PDPO no otorga a los interesados de Hong Kong el derecho a la portabilidad de los datos, ni el derecho a no ser objeto de decisiones automatizadas de tratamiento de datos.

Además, a diferencia de muchas otras políticas de privacidad que se han aprobado en los últimos años, el incumplimiento de la PDPO no constituye en sí mismo un delito. Sin embargo, el organismo regulador de la PDPO, la Oficina del Comisionado de Privacidad de Datos Personales (PCPD), tiene derecho a imponer sanciones monetarias y penales tras una investigación sobre las presuntas acciones de un responsable del tratamiento de datos. De este modo, los responsables del tratamiento de datos que hayan infringido la ley están sujetos a una multa de hasta 100000 dólares de Hong Kong (12376 dólares estadounidenses), así como a una pena de prisión de hasta dos años.

Conjuntamente, los responsables del tratamiento de datos que utilicen los datos personales de los interesados, sin su consentimiento, con fines directos de mercadotecnia están sujetos a una multa de hasta 500000 dólares de Hong Kong (61870 dólares estadounidenses), así como a una pena de prisión de hasta tres años. Además, los responsables del tratamiento de datos que faciliten los datos personales de los interesados a terceros con fines directos de mercadotecnia están sujetos a una multa monetaria de hasta un millón de dólares de Hong Kong (123757 dólares estadounidenses), así como a una pena de prisión de hasta cinco años.

Gracias a la promulgación de la PDPO, los interesados que residen en Hong Kong gozan de un alto nivel de protección de datos. Como Hong Kong no está bajo la jurisdicción de la legislación china, leyes como la PDPO son muy necesarias para garantizar que no se vulneren los derechos de los interesados en la región. En este sentido, la PDPO establece elevadas sanciones para los individuos y responsables del tratamiento de datos que incumplan con las diversas disposiciones y regulaciones establecidas por ley.