Ley de privacidad de datos y aplicación del GDPR en Bulgaria
La Ley de Protección de Datos Personales de Bulgaria de 2002 es una ley de privacidad de datos que se aprobó originalmente en 2002. Antes de la aprobación del Reglamento General de Protección de Datos (RGPD ) en 2016, la protección de datos en Bulgaria se regía por la Ley de Protección de Datos Personales de 2002. Sin embargo, como Bulgaria es una de las muchas naciones que conforman la Unión Europea, la Ley de Datos Personales de 2002 fue modificada para implementar las disposiciones aplicables de la ley GDPR de la UE en la legislación búlgara, estableciendo efectivamente el marco jurídico a partir del cual los datos personales pueden ser recogidos y procesados dentro de Bulgaria, así como las sanciones que se pueden imponer a las personas y organizaciones que se encuentren en violación de dicho marco.
¿Cuál es el alcance y la aplicación de la Ley de protección de datos personales de 2002 de Bulgaria?
En cuanto al ámbito y la aplicación de la Ley de Protección de Datos Personales de Bulgaria de 2002, el ámbito personal de la ley “se aplica a las organizaciones que tratan datos de personas físicas identificables. Los datos personales de personas fallecidas sólo pueden tratarse por motivos legales”. Por otra parte, el ámbito territorial de la “ley se aplica en el territorio de la República de Bulgaria e impone obligaciones a los responsables y encargados del tratamiento que traten los datos de personas físicas en Bulgaria.” Además, el ámbito material de la ley “abarca las normas para el tratamiento de datos personales por organizaciones privadas y autoridades públicas, categorías específicas de datos personales y datos personales por medios automatizados.”
¿Cuáles son los requisitos de los responsables y encargados del tratamiento en virtud de la Ley de Protección de Datos Personales de 2002 de Bulgaria?
Los requisitos de los responsables y encargados del tratamiento de datos con arreglo a la Ley de Protección de Datos Personales de 2002 de Bulgaria son en gran medida los mismos que los establecidos por la legislación del RGPD de la UE. En virtud de la ley GDPR de la UE, los controladores y procesadores de datos son responsables de adherirse a una serie de principios de protección de datos al recopilar o procesar datos personales. Estos principios incluyen, entre otros, la legalidad, la equidad y la transparencia, y la minimización de los datos. Además, las dos legislaciones varían en lo que respecta a la edad de consentimiento para la recogida y el tratamiento de datos. Con arreglo al RGPD de la UE, la edad de consentimiento es de 16 años, mientras que la Ley de Protección de Datos Personales de Bulgaria de 2002 rebaja esta edad legal a 14 años.
Además, la Ley de Protección de Datos Personales de Bulgaria de 2002 también difiere de la legislación del RGPD de la UE en lo que respecta a las evaluaciones de impacto de la protección de datos, o EIPD para abreviar. En virtud de la Ley de Protección de Datos Personales de Bulgaria de 2002, los responsables y encargados del tratamiento de datos en el país deben realizar EIPD si llevan a cabo cualquiera de los siguientes tipos de operaciones de tratamiento de datos:
- Tratamiento a gran escala de datos biométricos para la identificación única del individuo que no sea esporádico;
- Tratamiento de datos genéticos con fines de elaboración de perfiles que produzca efectos jurídicos para el interesado o le afecte significativamente de modo similar;
- Tratamiento de datos de localización con fines de elaboración de perfiles que produzca efectos jurídicos para el interesado o le afecte significativamente de modo similar;
- Operaciones de tratamiento para las que el suministro de información al interesado de conformidad con el artículo 14 del RGPD sea imposible o suponga un esfuerzo desproporcionado o pueda hacer imposible o perjudicar gravemente la consecución de los objetivos de dicho tratamiento, cuando estén vinculadas a un tratamiento a gran escala;
- Tratamiento de datos personales por el responsable del tratamiento con establecimiento principal fuera de la UE cuando su representante designado para la UE se encuentre en el territorio de la República de Bulgaria;
¿Cuáles son las sanciones por infringir la Ley búlgara de protección de datos personales de 2002?
La aplicación de la Ley búlgara de Protección de Datos Personales de 2002 corresponde a la Comisión de Protección de Datos Personales (CPDP). Para ello, la CPDP está facultada para “imponer sanciones (multas), así como medidas administrativas obligatorias (como la emisión de advertencias, órdenes de cumplir determinados requisitos, etc.)”. Dichas sanciones incluyen una multa monetaria que oscila entre 5.000 BGN (2.901 dólares) y 2,6 millones de euros (2.947.776 dólares), así como una multa que puede ascender al “doble del importe de la multa inicialmente impuesta, pero sin superar el máximo previsto en el artículo 83 del RGPD”. Es más, los responsables y encargados del tratamiento de datos también se enfrentan a multas que van desde el 2% del volumen de negocios global de una empresa; o 10.000.000,00 euros (11.291.250 dólares), la cantidad que sea más alta, y multas que van desde el 4% del volumen de negocios global de una empresa, o 20.000.000,00 euros (22.583.400 dólares), la cantidad que sea más alta.
Mediante la modificación de la Ley de Protección de Datos Personales de Bulgaria, de 2002, de conformidad con las disposiciones de la ley GDPR de la UE, se garantizaron legalmente los derechos de protección de datos y privacidad de los ciudadanos búlgaros. Dado que Bulgaria cuenta con un sólido historial en la prestación de este tipo de protección jurídica a sus ciudadanos, la aplicación del Reglamento general de protección de datos supone un avance adecuado en lo que respecta a la protección de los datos personales y la privacidad en el siglo XXI. Con la aprobación de esta legislación, la Unión Europea sigue estableciendo una norma internacional en materia de protección de datos personales que seguirá influyendo en otros países en los años venideros.