Ley de Protección de Datos de Kenia garantiza la privacidad

La Ley de Protección de Datos de Kenia de 2019 es una ley de privacidad de datos de Kenia que se aprobó en 2019 y se promulgó en noviembre de 2020. Además de esbozar las medidas y salvaguardias que los controladores de datos dentro de Kenia deben desarrollar y mantener en lo que respecta al procesamiento de datos personales, la Ley de Protección de Datos de 2019 también estableció la Oficina del Comisionado de Protección de Datos, o el Comisionado para abreviar, con el propósito de defender y hacer cumplir la ley. Si bien la Oficina del Comisionado de Protección de Datos aún está en proceso de establecer operaciones en lo que respecta a la administración de castigos con respecto a la ley, la Ley de Protección de Datos de 2019 sirve, sin embargo, para garantizar los derechos de privacidad de datos de los ciudadanos kenianos.

¿Cuál es el alcance y la aplicación de la ley?

En lo que respecta al ámbito de aplicación y aplicación de la Ley de Protección de Datos de 2019, el ámbito personal y territorial de la ley se aplica a “todo tratamiento de datos personales por parte de cualquier responsable o encargado del tratamiento establecido o residente en Kenia y que trate datos personales mientras se encuentre en Kenia, o que no esté establecido o resida en Kenia pero trate datos personales de interesados ubicados en Kenia”. Por el contrario, el ámbito de aplicación material de la ley abarca las siguientes acciones en lo que respecta al tratamiento de datos personales:

• Recogida de datos.
• Tipos de datos que deben recogerse.
• La seguridad de los datos recogidos.
• La divulgación de los datos.
• La conservación de los datos.
• La exactitud de los datos recogidos.
• La supresión de datos.
• La actualización de datos.

Lo que es más, la Ley de Protección de Datos de Kenia, 2019 también contiene una disposición única en lo que respecta a COVID19, la Nota de orientación sobre el acceso a los datos personales durante la pandemia COVID-19, también conocida como las “Directrices COVID-19”. Dado que “las Directrices COVID-19 se pusieron a disposición del público y de las partes interesadas para su participación el 12 de enero de 2021, y se cerraron el 9 de febrero de 2021”, la aplicación de estas directrices tiene por objeto regular en mayor medida la recogida, el tratamiento y la divulgación de datos personales en medio de una pandemia mundial, así como ayudar a la investigación en relación con esta pandemia.

¿Cuáles son los principios que deben respetar los responsables del tratamiento al tratar datos personales?

Los principios de protección de datos que los controladores de datos deben cumplir de acuerdo con la Ley de Protección de Datos, 2019 son los siguientes:

• Licitud, imparcialidad y transparencia: los datos deben procesarse de una manera que promueva la licitud, la imparcialidad y la transparencia. Además, debe darse una explicación válida siempre que un responsable del tratamiento pretenda recabar datos personales relacionados con asuntos familiares o privados.
• Limitación de la finalidad– Los datos deben recogerse con fines explícitos, específicos y legítimos, y no deben tratarse por ningún motivo ajeno a dichos fines.
• Minimización– Los datos deben recopilarse con fines pertinentes y adecuados, así como limitarse a lo necesario en relación con el propósito para el que se recopilaron.
• Exactitud: todos los datos personales recogidos deben ser exactos y mantenerse actualizados, y deben tomarse medidas razonables para rectificar o borrar cualquier dato personal que resulte inexacto.
• Limitación del almacenamiento– Los datos deben almacenarse de manera o forma que identifiquen al interesado asociado durante un periodo no superior al necesario para cumplir la finalidad para la que se recogieron.
• Los datos no deben transferirse fuera de Kenia: se prohíbe la transferencia de datos fuera de Kenia, a menos que el país al que se pretende transferir los datos personales pueda demostrar que dispone de salvaguardias adecuadas para proteger dichos datos personales, o que el interesado haya dado su consentimiento para que se transfieran sus datos.
• Privacidad en el tratamiento de datos– Los datos deben tratarse de acuerdo con los derechos de privacidad personal de los interesados.

Además de los principios de protección de datos enumerados anteriormente, la Ley de Protección de Datos de 2019 también exige que los controladores y procesadores de datos satisfagan una serie de obligaciones comunes en lo que respecta a la privacidad de los datos. Estas obligaciones incluyen el cumplimiento de condiciones específicas en lo que respecta a las transferencias de datos fuera de Kenia, el mantenimiento de registros de procesamiento de datos con el fin de proporcionar información suficiente para las auditorías y la realización de evaluaciones de impacto de protección de datos o DPIA en los casos en que las actividades de procesamiento de datos puedan causar un riesgo significativo para los derechos y libertades de los interesados.

Por otra parte, la ley también obliga a los responsables del tratamiento a proporcionar a los interesados notificaciones sobre el tratamiento de sus datos personales. Como tales, los responsables del tratamiento de datos están obligados a registrarse en la Oficina del Comisario de Protección de Datos antes de tratar los datos personales de los interesados. Con este fin, el umbral para el registro se basa en una multitud de factores, entre ellos:

• La naturaleza de la industria en la que opera un controlador o procesador de datos.
• El volumen de datos personales tratados.
• Si un responsable o encargado del tratamiento trata datos personales sensibles.
• Cualquier otro factor que se considere relevante, a discreción del Comisionado.

Cuáles son los derechos de los interesados en virtud de la Ley de Protección de Datos de 2019?

Como la Ley de Protección de Datos 2019 fue aprobada para proporcionar a los ciudadanos kenianos derechos de privacidad de datos similares a los ofrecidos por otras leyes internacionales de privacidad de datos, como el Reglamento General de Protección de Datos de la UE o GDPR para abreviar. Hasta este punto, la Ley de Protección de Datos de 2019 otorga a los interesados el derecho a ser informados, el derecho de acceso, el derecho de rectificación, el derecho de supresión, el derecho de oposición o exclusión voluntaria, el derecho a la portabilidad de datos y el derecho a no ser objeto de toma de decisiones automatizada, incluida la elaboración de perfiles.

En cuanto a las sanciones que pueden imponerse a los responsables y encargados del tratamiento que infrinjan la ley, la Oficina del Comisario de Protección de Datos está facultada para imponer diversas sanciones a las partes que incumplan la ley. Estos castigos incluyen sanciones monetarias que van desde los 5 millones de KES (44.425 dólares), o hasta el 1% del volumen de negocios anual de una empresa u organización en el ejercicio financiero anterior, lo que sea menor. Además, los responsables y encargados del tratamiento de datos que infrinjan la ley también están sujetos a penas de prisión de hasta dos años.

Con la aprobación de la Ley de Protección de Datos de 2019, Kenia se une a las filas de los países africanos que han aprobado leyes de privacidad de datos en los últimos años, como la Ley de Protección de Datos de Senegal. Además, la aprobación de la Ley de Protección de Datos 2019 pone a Kenia a la altura de la creciente lista de países de todo el mundo que recurrieron a medios legislativos para garantizar los derechos de privacidad de datos de sus ciudadanos. De este modo, los residentes kenianos no tendrán que preocuparse por su privacidad personal en lo que respecta a la recopilación, el tratamiento y la divulgación de sus datos personales.