Ley de Protección de Datos de Ghana, nueva legislación

La Ley de Protección de Datos de Ghana de 2012, o Ley de Protección de Datos para abreviar, es una ley de privacidad que se aprobó en Ghana en 2012. Además de establecer las normas y responsabilidades de los controladores y procesadores de datos que operan en Ghana, la Ley de Protección de Datos también creó la Comisión de Protección de Datos (CPD). La CPD se creó “para proteger la intimidad y los datos personales de las personas mediante la regulación del tratamiento de la información personal, esbozar el proceso para obtener, conservar, utilizar o divulgar información personal, definir los derechos de los interesados, las conductas prohibidas de tratamiento, el tratamiento en terceros países de datos relativos a interesados cubiertos por la Ley, el tratamiento de datos de interesados de terceros países en Ghana y asuntos relacionados”.

¿Cuál es el ámbito de aplicación de la Ley de Protección de Datos?

En cuanto al ámbito de aplicación personal de la ley, la Ley de Protección de Datos se aplica a todas las personas y organismos de Ghana. Además, la Ley de Protección de Datos también exige que los datos personales se procesen de forma lícita, razonable y que no vulnere los derechos de privacidad de los interesados. A la inversa, el ámbito territorial de la ley se aplica a los responsables y encargados del tratamiento de datos en los casos en que:

• El responsable del tratamiento está establecido en Ghana y los datos personales aplicables se tratan en Ghana.
• El responsable o encargado del tratamiento no está establecido en Ghana, pero utiliza equipos o un encargado del tratamiento que opera en Ghana.
• El tratamiento de datos se refiere a datos personales que proceden total o parcialmente de Ghana.

¿Cuáles son los principios de protección de datos que deben respetar los responsables y encargados del tratamiento en virtud de la Ley de Protección de Datos?

En virtud de la Ley de Protección de Datos de Ghana, los responsables y encargados del tratamiento que operen en el país deben respetar los siguientes principios de protección de datos cuando recojan, traten o divulguen datos personales de ciudadanos ghaneses:

• La licitud del tratamiento.
• La especificación de la finalidad.
• La rendición de cuentas.
• Transparencia.
• La compatibilidad del tratamiento posterior con la finalidad de la recogida.
• La calidad de los datos personales.
• Garantías de seguridad de los datos.
• Participación de los interesados.

Además, la obligación de los interesados de dar su consentimiento al tratamiento de sus datos personales es una condición que también deben cumplir los responsables del tratamiento, a menos que dichos responsables puedan demostrar efectivamente que dicho tratamiento es:

• Se demuestre que es necesario a efectos de un contrato en el que el interesado sea parte.
• Sea necesario para el correcto cumplimiento de una obligación legal.
• Se demuestre que es necesario para perseguir los intereses legítimos de un responsable del tratamiento, o de otro tercero al que también se suministrarán datos personales.
• Para proteger los intereses legítimos de un interesado.
• Lo autoricen o exijan otras leyes ghanesas.

¿Cuáles son los derechos de los interesados en virtud de la Ley de Protección de Datos?

En comparación con muchas otras leyes de protección de datos de todo el mundo, la Ley de Protección de Datos otorga numerosos derechos a los interesados en Ghana en lo que respecta a su intimidad personal. Estos derechos incluyen

• El derecho a ser informado– Según la ley, los interesados deben ser informados “tan pronto como sea razonablemente posible” sobre el tratamiento de sus datos personales.
• Derecho de acceso: los interesados tienen derecho a realizar consultas, exigir la divulgación de sus datos personales y presentar reclamaciones ante el CPD por la violación de su derecho de acceso.
• Derecho de rectificación: los interesados tienen derecho a solicitar al responsable del tratamiento que rectifique o suprima los datos personales que les conciernan.
• Derecho de supresión: los interesados tienen derecho a solicitar al responsable del tratamiento que rectifique, bloquee, borre o destruya los datos personales que les conciernan.
• Derecho de oposición: los interesados tienen derecho a oponerse tanto a la recogida como al tratamiento de sus datos personales.
• Derecho a la portabilidad de los datos: los interesados tienen derecho a obtener una copia de sus datos personales en los casos en que “la tecnología permita transmitir esa información con el consentimiento del interesado, sin perjuicio del derecho del responsable del tratamiento a transmitir los datos”.
• Derecho a no ser objeto de decisiones automatizadas – Los interesados conservan el derecho a que no se traten sus datos sobre la base de decisiones automatizadas.
• Derecho a la protección frente a daños y perjuicios injustificados: la ley prohíbe el tratamiento de datos personales que pueda causar daños o perjuicios injustificados a una persona.
• Derecho a la protección frente a la mercadotecnia directa – La ley prohíbe el uso de los datos personales del interesado para fines de mercadotecnia directa, a menos que el interesado consienta en ello.
• Ampliación del tratamiento evaluable– Los interesados extranjeros también conservan el derecho a que sus datos personales se traten de conformidad con la ley. Esto se consigue exigiendo que los encargados del tratamiento garanticen que todos los datos personales se tratan de conformidad con la legislación de protección de datos de la jurisdicción legal aplicable de la que proceden los datos personales.

En cuanto a las sanciones por incumplimiento, la Comisión de Protección de Datos (CPD) está facultada para hacer cumplir la ley. Sin embargo, la aprobación de la Ley de Protección de Datos también estableció un periodo de amnistía para todos los particulares, organismos y organizaciones. Por ello, las decisiones de aplicación que se han tomado en relación con la Ley de Protección de Datos no se han hecho públicas en el momento de redactar este artículo. No obstante, los responsables y encargados del tratamiento que incumplan la ley pueden ser sancionados con una multa de hasta 150 unidades de penalización, una pena de prisión de hasta un año, o ambas.

La protección de datos de Ghana difiere de otras políticas internacionales de privacidad bien conocidas, como el Reglamento General de Protección de Datos de la UE o GDPR y el Derecho de los Consumidores a la Información de Australia o CDR. Sin embargo, las disposiciones de la Ley de Protección de Datos describen claramente las obligaciones que deben cumplir los responsables y encargados del tratamiento al tratar los datos personales de los interesados, y establecen las sanciones en caso de incumplimiento. De este modo, la ley garantiza los derechos de privacidad de los ciudadanos ghaneses, tanto si se encuentran físicamente en Ghana como en otro país.