Ley de Protección de Información Personal de Sudáfrica
La Ley de Protección de Información Personal o POPIA, por sus siglas, es una ley integral de protección de datos sudafricana que fue establecida con el fin de proteger el derecho a la privacidad de los datos de los ciudadanos de este país. La ley fue propuesta en el 2013 pero se estableció recientemente en el 2020 después de años de redacción y deliberación. Parte de la demora se debió a que el comité redactor de la POPIA dedicó tiempo a considerar diversos aspectos de la Regulación General de Protección de Datos de los Estados Unidos de América que pudieran resultar de mayor aplicación en el caso nueva legislación sudafricana. La POPIA describe la forma específica en que las empresas pueden recopilar, procesar y divulgar la información personal de los ciudadanos sudafricanos, así como las sanciones y multas que pueden resultar de no atenerse a sus regulaciones.
¿Cuáles son los requisitos para el procesamiento de información de las empresas y organizaciones en virtud de la POPIA?
Bajo la POPIA, las empresas responsables por el procesamiento de la información personal de los ciudadanos sudafricanos están obligadas a cumplir con ocho condiciones específicas. La normativa debe cumplirse no sólo cuando se esté procesando la información personal de los ciudadanos de Sudáfrica, sino también cuando los operadores en línea determinen el propósito y los medios de dicho procesamiento. Las ocho condiciones a las que las empresas y organizaciones sudafricanas deben adherirse bajo la POPIA son las siguientes:
- Rendición de Cuentas – Todas las organizaciones que procesen la información personal de los ciudadanos sudafricanos deben asegurarse de que el proceso cumpla todo el tiempo con lo requerido por la POPIA. Además, las empresas están obligadas a desarrollar y establecer una política de protección de datos, así como a designar un oficial de información interna, quien deberá supervisar dicha política.
- Limitaciones del procesamiento – La información personal debe ser procesada de forma legal y razonable con el fin de no infringir el derecho a la privacidad del ciudadano a quien la información pertenece. Las organizaciones son responsables por el desarrollo de procesos y políticas que aseguren que toda información recogida sea posteriormente procesada de forma razonable.
- Declaración de propósito – La información personal de los ciudadanos sudafricanos sólo puede ser recogida con un propósito legal, específico y explícito. A su vez la recogida únicamente será posible si su propósito está relacionado con la función o actividad para la cual dicha información fue recolectada. Las compañías están obligadas a informar a los ciudadanos, a quienes la información personal pertenece, sobre el propósito de dicha recolección de información. Existen, sin embargo, algunas excepciones a esta obligación. Este es el caso de cuando la información personal de un individuo se recopila con el fin de hacer cumplir con las obligaciones establecidas por la legislación sudafricana.
- Limitaciones al procesamiento adicional – Después de que la información sobre los ciudadanos sudafricanos ha sido legalmente recolectada y procesada, dicha información sólo puede continuar siendo procesada en ciertas circunstancias. Estas circunstancias están determinadas por el propósito con el cual dicha información fue procesada en primer lugar.
- Calidad de la información – Las organizaciones que procesan la información personal de los ciudadanos sudafricanos deben garantizar que mientras esté bajo su poder dicha información sea precisa y completa. Asimismo, deben asegurar que esta información no sea engañosa y se mantenga actualizada siempre que sea necesario. Para garantizar la calidad de la información las organizaciones deben tener en cuenta el propósito con el cual dicha información fue originalmente recolectada.
- Transparencia – Las organizaciones están obligadas a compilar y publicar un manual donde se detalle su proceder en el procesamiento de datos según lo dictado por la Ley de Promoción del Acceso a la Información de Sudáfrica del 2000, conocida por sus siglas como PAIA. Cuando las organizaciones colecten información personal sobre ciudadanos sudafricanos deben tomar razonables medidas para asegurar que el individuo al que la información pertenece tenga conocimiento de lo siguiente:
- El tipo de información recopilada y la fuente de la que fue tomada.
- El nombre y la dirección de la organización encargada de recopilar la información.
- El propósito específico por el cual la información está siendo recogida.
- Si está en la obligación de proveer dicha información o puede hacerlo de forma voluntaria.
- Las posibles consecuencias negativas que le acarrearía el no facilitar la información.
- La base legal sobre la cual esta información se recopila.
- Si la organización que colecta esta información tiene intenciones de transferirla a un tercero.
- El nivel de protección que se otorgará a la información transferida.
- Cualquier información adicional que se considere necesaria según las razonables circunstancias explicadas anteriormente.
- Medidas de seguridad – Las organizaciones son responsables de garantizar la integridad y confidencialidad de cualquier información personal bajo su poder. Con este fin deben de tomar apropiadas y razonables medidas técnicas y organizativas que prevengan el acceso ilegal, la destrucción no autorizada, el daño o la pérdida de dicha información.
- Participación del interesado – Bajo la POPIA, el ciudadano sudafricano tiene derecho a solicitar a la organización recolectora la confirmación sobre si esta posee o no información personal relativa a él. El interesado tiene además derecho a requerir un registro o descripción de la información personal que la organización recolectora o un tercero pudieran tener concerniente a su persona. Con este fin, dicho individuo puede solicitar específicamente a la organización que corrija o elimine la información concerniente a su persona que se haya demostrado inexacta, excesiva, desactualizada, incompleta, irrelevante, engañosa u obtenida ilegalmente. Asimismo, el interesado tiene derecho a solicitar la eliminación de cualquier información referida a su persona que la organización ya no esté autorizada a retener.
¿Cómo las organizaciones y empresas pueden cumplir con lo establecido por la POPIA?
Bajo la POPIA, las organizaciones y compañías responsables de manejar información personal sobre ciudadanos sudafricanos deben implementar una serie de medidas con el fin de garantizar la protección contra el acceso no autorizado, el uso y la pérdida de dicha información. Estas medidas deben incluir las siguientes disposiciones:
- Se debe desarrollar, implementar, monitorear y mantener en todo momento un marco de cumplimiento de datos.
- Se debe realizar una evaluación de impacto de la información personal para garantizar que las medidas tomadas son adecuadas y efectivas.
- Se deben crear normas para cumplir con los requisitos de la POPIA con respecto a las condiciones para el procesamiento legal de la información personal del consumidor.
- Se debe desarrollar, monitorear, mantener y poner a disposición del público un manual que cumpla con las secciones 14 y 51 de la PAIA.
- Se deben desarrollar medidas internas en coordinación con adecuados sistemas para el procesamiento de solicitudes de acceso a la información personal de los consumidores.
- Se deben llevar a cabo sesiones de sensibilización interna con respecto a las disposiciones y regulaciones de la POPIA, así como los códigos de conducta y cualquier otra información pertinente que facilite el “Regulador de la Información”.
- La POPIA obliga a las organizaciones y compañías a incorporar adecuadas medidas técnicas y de seguridad para proteger la información personal de los ciudadanos sudafricanos. Estas medidas deben estar en consonancia con el volumen, la naturaleza y la sensibilidad de dicha información.
A diferencia de muchas otras leyes integrales de protección de datos a nivel mundial, la POPIA permite a los ciudadanos sudafricanos establecer una demanda legal contra cualquier compañía u organización que ellos estimen ha almacenada inadecuadamente su información personal. Además, los demandantes no necesitan probar que la organización o compañía contra la cual levantan la acusación almacenó dicha información por negligencia. Por tanto, estas reclamaciones se manejan sobre la base de una responsabilidad legal estricta. Con relación a las sanciones impuestas a los violadores de la POPIA, las organizaciones y compañías que no cumplan con lo establecido están sujetas a multas de hasta diez millones de rand sudafricanos, equivalentes a 663 742,84 dólares. A esto se suma la posibilidad de enfrentar sanciones de reparación de daños y perjuicios civiles y encarcelamiento, sumado a una ulterior pérdida de reputación.
La POPIA fue aprobada para ayudar a salvaguardar la información personal y el derecho a la privacidad de los residentes sudafricanos. Como una más de las muchas leyes de privacidad recientemente aprobadas en Sudáfrica bajo la influencia de la Regulación General de Protección de Datos de los Estados Unidos de América, la POPIA establece los específicos pasos y medidas a seguir por cualquier empresa u organización responsable del manejo y procesamiento de información y datos personales relativos a ciudadanos sudafricanos. Gracias a leyes como la POPIA, Sudáfrica se une al amplio conjunto de naciones que a nivel mundial han creado leyes federales diseñadas específicamente con el objetivo de proteger la información personal de sus ciudadanos.