Ley de Protección de la Intimidad de los barbadenses

La Ley de Protección de Datos de 2019, también conocida como la Ley para abreviar, es una ley de protección de datos que se aprobó en Barbados en 2019 y recientemente entró en vigor en marzo de este año. Como es el caso de muchas leyes de privacidad de datos que se han aprobado en los últimos años, la Ley fue modelada según el Reglamento General de Protección de Datos de la UE o GDPR. Con este fin, la Ley establece directrices específicas que los responsables del tratamiento de datos en Barbados deben seguir al recopilar, procesar y divulgar los datos personales de los interesados dentro del país. Es más, la Ley contiene aplicaciones extraterritoriales más fuertes en comparación con muchas leyes de privacidad de datos en todo el mundo, garantizando que los datos personales de los ciudadanos de Barbados estén protegidos incluso cuando se encuentran en el extranjero.

¿Cuál es el ámbito de aplicación de la ley?

En cuanto al ámbito de aplicación personal de la ley, ésta se aplica tanto a los responsables del tratamiento como a los encargados del tratamiento, que pueden ser tanto personas físicas como personas jurídicas públicas o privadas. En cuanto a la jurisdicción territorial de la ley, ésta se aplica a “los responsables y encargados del tratamiento de datos que sean residentes, estén constituidos, organizados o registrados en Barbados, o que mantengan una oficina, sucursal o agencia en Barbados a través de la cual se lleve a cabo el tratamiento de datos personales”.

Alternativamente, la jurisdicción extraterritorial de la ley se aplica a “los responsables/encargados del tratamiento de datos que no sean residentes, no estén constituidos/registrados o constituidos de otro modo en Barbados estarán sujetos a la Ley cuando traten datos personales de interesados en Barbados y dichas actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a interesados en Barbados”. Además, la Ley tiene un ámbito de aplicación material, que abarca tanto el tratamiento de datos personales como el de datos personales sensibles.

¿Qué obligaciones impone la Ley a los responsables del tratamiento?

En consonancia con las similitudes entre la Ley y la ley GDPR de la UE, la Ley de Protección de Datos de 2019 estableció una multitud de principios de privacidad y protección de datos que los controladores de datos deben seguir al procesar datos personales. Estos principios incluyen:

• Los datos personales deben tratarse de manera justa, lícita y transparente en relación con el interesado.
• Los datos personales sólo podrán recogerse con fines específicos, explícitos y legítimos. Los datos personales no podrán ser tratados de ninguna manera fuera del contexto de estos fines.
• Los datos personales que se traten deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se recogieron.
• Los datos personales tratados deben ser exactos y mantenerse actualizados en todo momento. Los responsables del tratamiento son responsables de adoptar todas las medidas razonables para garantizar que los datos personales que obran en su poder son exactos, de conformidad con la finalidad para la que se trataron, borraron o rectificaron.
• Los datos personales deben almacenarse de forma que permitan la identificación de los interesados aplicables, durante un periodo no superior al necesario para cumplir los fines para los que se trataron dichos datos personales.
• Los datos personales deben tratarse de forma que se garantice la seguridad de los datos y se utilicen medidas técnicas y organizativas adecuadas, incluida la protección de los datos personales contra el tratamiento no autorizado o ilícito, la destrucción, el daño y la pérdida accidental.

Además de los principios de protección de datos enumerados anteriormente, la Ley también exige que los responsables del tratamiento cumplan una serie de obligaciones relacionadas con la protección de los datos personales. Estas obligaciones incluyen la inscripción en el Registro de Responsables del Tratamiento, la garantía de que existen salvaguardias para proteger los datos personales durante las transferencias de datos y la realización de evaluaciones de impacto sobre la protección de datos (EIPD). Además, los responsables del tratamiento son también responsables de nombrar a un delegado de protección de datos o RPD, de proporcionar a los interesados y al Comisionado de Protección de Datos notificaciones de violación de datos cuando proceda, y de establecer contratos por escrito con los encargados del tratamiento.

¿Cuáles son los derechos de los ciudadanos de Barbados en virtud de la Ley?

En consonancia con la tendencia internacional de garantizar los derechos de privacidad de los interesados, la Ley otorga a los ciudadanos de Barbados una serie de derechos en materia de protección de datos. Estos derechos incluyen:

• El derecho a ser informado- En virtud de la Ley, los responsables del tratamiento están obligados a proporcionar a los interesados diversos detalles en el momento en que se recopilan los datos personales, incluidos el nombre y los datos de contacto de dicho responsable, así como los fines y la base jurídica del tratamiento, entre otros.
• El derecho de acceso- En virtud de la Ley, los interesados mantienen el derecho de acceso en relación con sus datos personales.
• Derecho de rectificación: en virtud de la Ley, los interesados tienen derecho a obtener sus datos personales, sin demora injustificada, para rectificar la información inexacta que les concierna,
• Derecho de supresión: en virtud de la Ley, los interesados tienen derecho a solicitar a un responsable del tratamiento que suprima sus datos personales sin dilación indebida.
• Derecho de oposición o exclusión voluntaria: en virtud de la Ley, los interesados tienen derecho a que se restrinja el tratamiento de sus datos personales en determinadas circunstancias. Por ejemplo, en los casos en que el interesado impugne la exactitud de los datos personales.
• Derecho a la portabilidad de los datos: en virtud de la Ley, los interesados tienen derecho a obtener los datos personales que hayan facilitado a un responsable del tratamiento en un formato estructurado, legible por máquina y de uso común.
• Derecho a no ser objeto de decisiones automatizadas: en virtud de la Ley, los interesados tienen derecho a no ser objeto de decisiones automatizadas basadas en tratamientos automatizados, incluida la elaboración de perfiles.
• Derecho a impedir el tratamiento que pueda causar estrés o daño: en virtud de la Ley, los interesados tienen derecho a exigir a los responsables del tratamiento que pongan fin al tratamiento de sus datos personales con una finalidad específica o de una manera determinada, al término de un plazo de 21 días. Dicha finalidad o forma puede incluir el tratamiento de datos que pueda causar estrés o angustia injustificados a los interesados.

En cuanto a las infracciones relacionadas con el incumplimiento de la ley, los infractores de la ley que no se adhieran a ella están sujetos a diversas sanciones penales y multas monetarias. Dichas penas y multas incluyen una pena de prisión de un máximo de tres años, una multa monetaria de 500.000 BBD (240.047 dólares), o ambas. Además, los controladores de datos que no se inscriban en el Registro de Controladores también están sujetos a una multa monetaria de hasta 10.000 BBD a (4.799 dólares), así como a una pena de prisión de hasta dos meses.

Como Barbados ha hecho un esfuerzo concertado para proporcionar derechos de protección de datos más completos a sus ciudadanos, La Ley de Protección de Datos 2019 sirve como un estándar que los controladores de datos dentro del país deben cumplir en todo momento al recopilar datos personales. Además, como muchos países dentro del Caribe tienen políticas de protección de datos obsoletas, o incluso ninguna ley relacionada con la protección de datos en absoluto, Barbados está muy por delante de la curva en lo que respecta a la protección de datos dentro de la región. Con este fin, Barbados ha conseguido ofrecer a sus ciudadanos un nivel de protección de datos similar al que ofrece a los residentes de los Estados miembros de la UE el Reglamento general de protección de datos.