La privacidad y la protección de datos en Madagascar

La Ley n.º 2014-038 de Madagascar, conocida abreviadamente como Ley de protección de datos, es una ley de protección de datos y privacidad aprobada en Madagascar en 2014. Esta ley se inspira en gran medida en la Directiva de Protección de Datos de la UE (95/46/CE), precursora de la actual ley de protección de datos de la UE, el Reglamento General de Protección de Datos (RGPD). Como tal, la DP establece la base jurídica sobre la cual los datos personales pueden ser recogidos, procesados, utilizados, divulgados y transferidos dentro del país de Madagascar. Por otra parte, la ley también creó una base jurídica para el establecimiento de una autoridad de protección de datos con el fin de hacer cumplir la ley, titulada Comisión Malgache sobre Informática y Libertades o la CMIL para abreviar.

¿Cómo se definen los datos personales en la Ley nº 2014-038 de Madagascar?

En virtud de la Ley de DP de Madagascar, los datos personales se definen como “cualquier información relativa a una persona física, en virtud de la cual dicha persona es o puede ser identificada por referencia a un nombre, a un número de identificación o a uno o varios elementos físicos, fisiológicos, psíquicos, económicos, culturales o sociales propios de dicha persona.” Además, la ley también define como datos personales sensibles la información relativa al origen racial, la información biométrica y genética, las opiniones políticas, las creencias religiosas u otras convicciones, la afiliación sindical y la salud o la vida sexual. Como ocurre con muchas leyes de protección de datos, tanto los datos personales como los datos personales sensibles sólo pueden tratarse de conformidad con los estrictos requisitos de la ley de protección de datos.

¿Cuáles son las obligaciones de los responsables y encargados del tratamiento en virtud de la Ley de protección de datos de Madagascar?

En virtud de la Ley de protección de datos de Madagascar, los responsables y encargados del tratamiento que operen en el país son responsables de respetar los siguientes principios en lo que respecta a la recogida, el tratamiento y la difusión de datos personales:

• Los datos personales sólo pueden recopilarse o procesarse con fines justos, lícitos y explícitos.
• La cantidad de datos personales que se recojan o traten debe ser pertinente, adecuada y no excesiva en relación con la finalidad para la que se recojan, traten y utilicen en última instancia.
• Todos los datos personales que se recojan y traten deben ser exactos, completos y actuales, y cualquier dato personal que resulte ser inexacto o incompleto debe borrarse o rectificarse.
• Todos los datos personales que se recojan y traten deben conservarse de forma que permitan a los interesados “ser identificados únicamente durante el periodo necesario para los fines para los que se recojan o utilicen”.
• “Dada la naturaleza de los datos y los riesgos asociados, un responsable del tratamiento debe tomar todas las precauciones necesarias para garantizar la seguridad de los datos personales.”

¿Cuáles son los derechos de los interesados en virtud de la Ley de protección de datos de Madagascar?

En virtud de la Ley de protección de datos de Madagascar, los interesados tienen los siguientes derechos con respecto a la protección de sus datos personales:

• Derecho a oponerse al tratamiento de sus datos personales.
• Derecho de acceso a sus datos personales.
• Derecho a rectificar o suprimir sus datos personales.
• El derecho a obtener información sobre los responsables o encargados del tratamiento que hayan recogido o tratado sus datos personales, también conocido como derecho a ser informado.

Además, los responsables y encargados del tratamiento tienen prohibido recoger o tratar datos personales de los interesados, a menos que esta recogida o tratamiento de datos personales vaya a utilizarse para cumplir una de las siguientes condiciones:

• Cumplimiento de una obligación legal que afecte a un responsable o encargado del tratamiento.
• Protección de la vida del interesado.
• Prestación de un servicio público.
• Ejecución o inicio de un contrato en el que sea parte el interesado afectado.
• “Realización del interés legítimo del responsable del tratamiento o del destinatario de los datos, sin perjuicio de los intereses y los derechos y libertades fundamentales de la persona afectada”.

¿Cuáles son las sanciones por infringir la Ley de DP de Madagascar?

La Ley de protección de datos de Madagascar es aplicada por la Comisión Malgache de Informática y Libertades (CMIL). Según la ley de DP, el tratamiento de datos personales requiere una declaración previa a la CMIL. Sin embargo, las organizaciones pueden quedar exentas de este requisito si designan a un responsable de protección de datos para supervisar sus diversas actividades de tratamiento de datos, salvo en circunstancias especiales. Por ejemplo, “una transferencia extraterritorial a un país que no ofrezca un nivel adecuado de protección de datos personales”. No obstante, los responsables y encargados del tratamiento de datos dentro de Madagascar que incumplan las disposiciones de la Ley de DP están sujetos a las siguientes sanciones:

• “Advertencias y avisos para que cumplan las obligaciones definidas en la Ley de DP”.
• Un aviso de retirada de la autorización de un determinado responsable o encargado del tratamiento de datos.
• “Una multa de hasta el 5% de la facturación antes de impuestos del último ejercicio (no deducida de la facturación fiscal)”.

Con la aprobación de la Ley de DP en 2014, Madagascar garantizó efectivamente los derechos de privacidad y protección de datos de sus respectivos ciudadanos. Aunque las disposiciones de la ley son algo anticuadas en comparación con las normas del Reglamento General de Protección de Datos de la UE, la Ley de DP sirve como medio legal por el cual los interesados de Madagascar pueden garantizar que sus datos personales permanezcan seguros y protegidos de daños, uso no autorizado, acceso ilegal o destrucción. De este modo, Madagascar se ha sumado a la reciente tendencia de países africanos que han tratado de proteger los datos personales de sus ciudadanos mediante medidas legislativas.