Legislación sobre protección de datos y sistemas electrónicos en Indonesia

El Reglamento n.º 20 de 2016 de Indonesia sobre protección de datos personales en sistemas electrónicos, también conocido como Reglamento 20 de Kominfo, es una ley de privacidad de datos que se aprobó en 2016. Como el país de Indonesia aún no ha aprobado una ley nacional integral de protección de datos a partir de 2022 y actualmente está en proceso de deliberación sobre la posible aprobación de dicha ley, la Ley de Protección de Datos Personales, en la Cámara de Representantes, el Reglamento Kominfo 20 es una de las diversas leyes de protección de datos que existen actualmente en el país y es aplicable a los datos personales que están contenidos dentro de los sistemas electrónicos. Hasta este punto, el Reglamento Kominfo 20 describe los requisitos que los controladores y procesadores de datos deben seguir al gestionar los datos personales de los ciudadanos indonesios que están contenidos dentro de los sistemas electrónicos.

¿Cómo se definen los datos personales en el Reglamento Kominfo 20?

Según el Reglamento Kominfo 20, los datos personales se definen como “datos sobre determinadas personas conservados, tratados y cuya exactitud se mantiene, así como cuya confidencialidad se protege”. Por otra parte, la ley define un sistema electrónico como “un conjunto de dispositivos y procedimientos electrónicos que funcionan para preparar, recoger, procesar, analizar, conservar, mostrar, publicar, transmitir y/o difundir información electrónica.” Además, la ley define a un operador de sistemas electrónicos como una “persona, administrador estatal, entidad empresarial y comunidad que proporciona, gestiona y/o explota un sistema electrónico, ya sea individual o conjuntamente, a los usuarios de sistemas electrónicos para sus fines personales y/o los fines de otra parte”, mientras que un usuario de datos se define como una “persona, administrador estatal, entidad empresarial y comunidad que utiliza bienes, servicios, instalaciones o información proporcionados por operadores de sistemas electrónicos”.

¿Cuáles son los requisitos de los usuarios y operadores de sistemas electrónicos con arreglo al Reglamento Kominfo 20?

En virtud del Reglamento 20 de Kominfo, los usuarios y operadores de sistemas electrónicos dentro de Indonesia son responsables de adherirse a una serie de principios al recopilar o procesar datos personales, de manera similar a la ley GDPR de la UE. Estos principios de protección de datos incluyen:

• El respeto de los datos personales como privacidad.
• Los datos personales serán privados de conformidad con el acuerdo y/o sobre la base de las disposiciones de las leyes y reglamentos.
• La recogida y el tratamiento de datos personales deben basarse en el consentimiento o la aprobación.
• La pertinencia para el fin de la adquisición, recogida, tratamiento, análisis, conservación, visualización, publicación, transmisión y difusión.
• La viabilidad de todos los sistemas electrónicos que se utilicen.
• La buena fe para notificar inmediatamente por escrito a los titulares de los datos personales cada fallo en la protección de los datos personales.
• La disponibilidad de una norma interna para la gestión de la protección de datos personales.
• La responsabilidad de los datos personales recae en los usuarios.
• La facilidad de acceso y corrección de los datos personales por parte de sus propietarios.
• La integridad, exactitud y validez, así como la actualización de los datos personales.

¿Cuáles son los derechos de los interesados en virtud del Reglamento Kominfo 20?

El Reglamento Kominfo 20 no proporciona una definición para el término “interesado” y en su lugar utiliza el término “titulares de datos personales”, que se define como “personas físicas a las que se asocian datos sobre determinadas personas físicas”. En este sentido, los derechos de los titulares de datos personales según el Reglamento Kominfo 20 incluyen:

• El derecho a la confidencialidad.
• Derecho a presentar una denuncia.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión.

Por lo que respecta a la aplicación del Reglamento Kominfo 20, la ley es aplicada por el Ministro de Comunicación e Informática, o el ministro para abreviar. Posteriormente, el ministro tiene autoridad para imponer diversas sanciones y penalizaciones a los operadores y usuarios de sistemas electrónicos que incumplan la ley, entre las que se incluyen:

• Amonestación verbal.
• Un apercibimiento por escrito.
• La suspensión de las actividades pertinentes.
• Sanciones administrativas.

Dado que Indonesia está aún en proceso de aplicar una ley integral de protección de datos, el Reglamento 20 de Kominfo representa una de las muchas formas en que se regulan los datos personales de los ciudadanos indonesios. Mientras el país sigue deliberando sobre si aprobar o no una nueva ley de protección de datos de este tipo, al igual que han hecho otros países de Asia en los últimos años, como la Ley de Enmienda de Kazajistán y la Ley de Protección de Datos Personales de 2015 de Taiwán, existe la esperanza de que las disposiciones del Reglamento Kominfo 20 puedan aplicarse en una ley nacional de privacidad de datos en un futuro próximo. No obstante, los ciudadanos indonesios gozan de ciertos derechos de protección de datos a través del Reglamento Kominfo 20 y sus diversas disposiciones.