Ley de Protección de Datos Personales en Bahréin

La Ley de Protección de Datos Personales n.º (30) de 2018 o PDPL para abreviar es una ley de protección de datos de Bahréin que se aprobó recientemente en 2019. Como una de las pocas leyes integrales de protección de datos que se han aprobado en Oriente Medio, una razón importante para la promulgación de la PDPL fue el plan de Amazon Web Services o AWS de abrir centros de datos masivos dentro del país a finales de 2019. Además, la PDPL es la primera ley aprobada en el Reino de Bahréin que se refiere estrictamente a la protección de datos, ya que el marco de protección de datos en el país se limitaba a otra legislación bahreiní que regulaba el concepto indirectamente. Como tal, la PDPL esboza varios requisitos y mandatos en relación con los datos personales y la información que se recopila y procesa en el país.

¿Cuál es el ámbito de aplicación de la Ley de protección de datos?

En términos de alcance y aplicabilidad, las disposiciones de la PDPL se aplican a “toda persona física que resida habitualmente en Bahréin o tenga un centro de actividad en Bahréin, toda persona jurídica que tenga un centro de actividad en Bahréin y toda persona física o jurídica que procese datos utilizando medios disponibles en Bahréin, a menos que la finalidad de dicho procesamiento de datos sea únicamente el tránsito a través de Bahréin”. Es más, la PDPL también contiene la aplicabilidad extraterritorial en situaciones en las que “toda persona física o jurídica que no resida normalmente en Bahréin y no tenga ningún centro de actividad en Bahréin, pero procese datos utilizando medios disponibles en Bahréin, a menos que la finalidad del uso de dichos medios sea únicamente el tránsito de datos a través de Bahréin”.

¿Cuáles son los requisitos de las entidades y organizaciones comerciales en virtud de la PDPL?

En virtud de la PDPL, las personas, entidades empresariales y organizaciones que recojan, procesen o divulguen información personal de ciudadanos bahreiníes deben cumplir una serie de obligaciones y responsabilidades. Estas obligaciones y responsabilidades incluyen

• Garantizar la seguridad del tratamiento de datos mediante niveles de seguridad apropiados y adecuados, así como medidas técnicas a efectos de evitar el acceso no autorizado, la alteración, pérdida o destrucción de información personal, así como la protección de dicha información frente a otras formas de tratamiento.
• Garantizar que los encargados del tratamiento aplican las garantías adecuadas a la información personal, incluida la verificación de que los encargados del tratamiento llevan a cabo dichas actividades de tratamiento de datos de conformidad con los acuerdos sobre normas de tratamiento de datos que deben cumplir tanto los responsables del tratamiento como los encargados del tratamiento.
• Garantizar que se mantiene en todo momento la confidencialidad de la información personal. También se prohíbe a los responsables del tratamiento revelar la información personal de un interesado, a menos que dicho interesado consienta en esta revelación, o que la revelación se produzca en cumplimiento de una orden judicial o del Ministerio Fiscal.
• Garantizar el cumplimiento de las disposiciones legales en relación con las actividades de tratamiento de datos.
• Garantizar que las entidades empresariales, los particulares y las organizaciones revelen su identidad a los interesados, así como la finalidad prevista del tratamiento de sus datos. Más concretamente, los responsables del tratamiento también deben informar a los interesados si sus datos personales se van a utilizar con fines de mercadotecnia directa, así como proporcionarles información actualizada sobre el estado de sus solicitudes de tratamiento de datos.
• Garantizar que las personas, entidades comerciales y organizaciones puedan recibir solicitudes de los interesados para corregir, bloquear, borrar o retirar su información personal procesada.

¿Cuáles son los derechos de los interesados en virtud de la LOPD?

En virtud de la Ley de Protección de Datos, los ciudadanos bahreiníes gozan de una serie de derechos relacionados tanto con su intimidad como con la protección de la información personal que comparten con los responsables del tratamiento. Entre estos derechos figuran los siguientes

• Derecho a ser informado- Los interesados tienen derecho a ser informados por un responsable del tratamiento sobre si se están tratando o no sus datos, el nombre completo del responsable, su profesión o ámbito de actividad, los fines para los que se van a tratar sus datos personales, así como cualquier otra información necesaria o pertinente, en función de las circunstancias individuales de cada caso, para garantizar en todo momento un tratamiento leal de los datos.
• Derecho de rectificación– Los interesados tienen derecho a solicitar en cualquier momento a un responsable del tratamiento que rectifique sus datos personales, presentando una solicitud por escrito a dicho responsable.
• Derecho de supresión: los interesados tienen derecho a solicitar en cualquier momento a un responsable del tratamiento que suprima sus datos personales, presentando una solicitud por escrito a dicho responsable.
• Derecho de oposición: los interesados tienen derecho a oponerse al uso de su información personal con fines de mercadotecnia directa y a actividades de tratamiento de datos que puedan causar daños materiales o psicológicos a ellos mismos o a terceros, así como a que su información personal se haga pública.
• Derecho a no ser sometido a decisiones automáticas– Los interesados tienen derecho a oponerse al uso de decisiones automáticas en relación con el tratamiento de datos en los casos en que éste se utilice para evaluar el rendimiento, la solvencia, la situación financiera, la fiabilidad o el comportamiento del interesado.
• Otros derechos– Los interesados también tienen derecho a que sus datos personales se almacenen de forma que no puedan ser identificados, o a que su identidad se cifre si esto resulta imposible. Además, los interesados también mantienen el derecho a que su información personal esté protegida en todo momento, a que no se revele a personas o partes no autorizadas sin su consentimiento, y a bloquear o retirar el acceso a su información personal en cualquier momento enviando una solicitud por escrito a un responsable del tratamiento.

¿Cuáles son las sanciones por infringir la LOPD?

Las empresas, organizaciones y particulares que infrinjan la LOPD están sujetos a sanciones penales y civiles. Por lo que respecta a las sanciones civiles, los interesados conservan el derecho legal a interponer demandas de responsabilidad civil contra los responsables del tratamiento de datos que consideren que han vulnerado su intimidad con arreglo a la ley. Por otra parte, los responsables del tratamiento que infrinjan la ley también están sujetos a sanciones penales que oscilan entre 1.000 BD (636 euros) y 20.000 BD (735 euros) por cada infracción.

Dado que Oriente Medio es una región que carece de una regulación sustancial en materia de privacidad de datos, la PDPL es en muchos sentidos una ley innovadora. Dado que la PDPL fue redactada y posteriormente aprobada para ofrecer a los ciudadanos bahreiníes un nivel de protección similar al del Reglamento General de Protección de Datos de la UE o GDPR, Bahréin está redefiniendo lo que significa proteger la privacidad personal de un individuo en Oriente Medio. Como tal, muchos otros países de la región están seguros de que al menos considerarán la posibilidad de aprobar leyes de este tipo en los próximos años, ya que los países de todo el mundo están ahora conectados de una manera que nunca se ha visto antes en la historia debido al auge del comercio y la comunicación en línea.

regulation regarding data privacy, the PDPL is in many ways a groundbreaking law. As the PDPL was drafted and subsequently passed to offer Bahraini citizens a similar level of protection as the EU’s General Data Protection Regulation or GDPR, Bahrain is redefining what it means to protect an individual’s personal privacy within the Middle East. As such, many other countries around the region are sure to at least consider passing such laws in upcoming years, as countries all around the world are now connected in a way that has never been witnessed before in history due to the rise of online commerce and communication.