Ley noruega sobre el tratamiento de datos personales (PDA)

La Ley sobre el Tratamiento de Datos Personales o la Ley de Datos Personales para abreviar es una ley noruega de privacidad de datos que se aprobó recientemente en 2018. Como Noruega es uno de un puñado de países europeos que no forma parte de la Unión Europea, y como resultado no cae bajo la jurisdicción directa del Reglamento General de Protección de Datos o GDPR. Sin embargo, Noruega forma parte del Espacio Económico Europeo o EEE, un acuerdo económico entre los 28 Estados miembros y los países europeos de Islandia, Liechtenstein y Noruega, respectivamente.

Además, el acuerdo abarca ámbitos ajenos a la economía, como la protección de los consumidores. A su vez, como el EEE ha adoptado las disposiciones del Reglamento General de Protección de Datos a través de su afiliación a la UE, Noruega también está bajo la jurisdicción de determinadas disposiciones del GDPR. Con este fin, el Reglamento General de Protección de Datos y la Ley de Datos Personales trabajan conjuntamente para proteger los derechos de privacidad de los datos de los ciudadanos noruegos.

¿Cuál es el ámbito de aplicación de la Ley de Datos Personales?

En términos de alcance y aplicabilidad de la ley, tanto la Ley de Datos Personales como el Reglamento General de Protección de Datos “se aplican al tratamiento de datos personales en relación con las actividades de las empresas a un controlador o procesador en Noruega, independientemente de si el tratamiento se lleva a cabo dentro de la UE / EEE”. Además, este reglamento también se aplica al tratamiento de datos personales dentro de Noruega, permitiendo que dichas actividades de tratamiento estén relacionadas con:

• La oferta de bienes o servicios, independientemente de si se requiere el pago por dichos bienes o servicios, a los interesados dentro de Noruega.
• La supervisión del comportamiento de los interesados dentro de Noruega.

Por el contrario, tanto el Reglamento General de Protección de Datos como la Ley de Datos Personales también tienen jurisdicción extraterritorial sobre el tratamiento de datos personales por parte de responsables del tratamiento que no están establecidos o ubicados físicamente en Noruega, lo que permite a estos responsables del tratamiento residir en lugares donde la legislación noruega sigue siendo aplicable en virtud del Derecho internacional público. Como resultado de esto, ciertas disposiciones del GDPR y la Ley de Datos Personales también son aplicables a los territorios de Svalbard y Jan Mayen.

¿Cuáles son los requisitos de los responsables y encargados del tratamiento en virtud de la Ley de Datos Personales?

En términos generales, muchos de los requisitos impuestos a los responsables del tratamiento en virtud de la Ley de Datos Personales no difieren de los 6 principios de protección de datos esbozados en el Reglamento General de Protección de Datos. Estos principios de protección de datos incluyen la integridad y la confidencialidad, la limitación del almacenamiento, la limitación de la finalidad, la exactitud, la minimización de los datos, la legalidad, la equidad y la transparencia. Por el contrario, hay ciertos requisitos de la Ley de Datos Personales que difieren de los del Reglamento General de Protección de Datos. Estos requisitos incluyen:

• Transferencias de datos– El artículo 13 de la Ley de Datos Personales establece que el gobierno noruego mantiene “el derecho a adoptar normas relativas a la transferencia de datos personales a terceros países u organizaciones internacionales”.
• Evaluaciones de impacto sobre la protección de datos – En virtud de la Ley de Datos Personales, el Gobierno noruego conserva el derecho a adoptar medidas y obligaciones más amplias en relación con las evaluaciones de impacto sobre la protección de datos.
• Notificaciones de violación de datos – En relación con las notificaciones de violación de datos, el artículo 16 de la Ley de Datos Personales establece que se podrán hacer excepciones a la obligación de notificar a los interesados de conformidad con el Reglamento General de Protección de Datos, siempre que dichas notificaciones revelen información de” importancia para los intereses de seguridad nacional de Noruega o la defensa del país, información que deba mantenerse en secreto con fines de prevención, investigación, detección y enjuiciamiento de delitos penales, e información sujeta a una obligación legal de secreto profesional (que, en su caso, deberá explicarse al interesado)”.
• Datos de menores– El artículo 5 de la Ley de Datos Personales establece que la edad de consentimiento en Noruega a efectos de los servicios de la sociedad de la información es de 13 años.
• Categorías especiales de datos personales– En virtud de la Ley de Datos Personales, se permite el tratamiento de datos personales y datos de condenas penales cuando dicho tratamiento de datos sea necesario para cumplir obligaciones en el ámbito laboral, se considere necesario para intereses públicos importantes o para lograr fines de investigación científica, estadística o histórica, siempre que los beneficios que esta investigación proporcione a la sociedad superen claramente cualquier posible perjuicio para el interesado en cuestión.

¿Cuáles son los derechos de los interesados en virtud de la Ley de Datos Personales?

Al igual que en el caso de los requisitos que se imponen a los responsables del tratamiento de datos, los derechos que se conceden a los ciudadanos noruegos en relación con sus derechos sobre los datos son generalmente los mismos que los que se ofrecen a los interesados bajo la jurisdicción del Reglamento general de protección de datos. Estos derechos incluyen el derecho de supresión, el derecho de oposición o exclusión voluntaria, el derecho a la portabilidad de los datos y el derecho a no ser objeto de decisiones automatizadas en relación con las actividades de tratamiento de datos. No obstante, la Ley de Datos Personales difiere en los derechos que se conceden a los interesados en los siguientes aspectos:

• Derecho a ser informado– El artículo 16 de la Ley de Datos Personales establece varias excepciones al derecho del interesado a ser informado. Algunas de estas excepciones incluyen los casos en que los datos personales de un interesado son importantes para un interés de seguridad o la defensa del país, y los casos en que la divulgación de los datos personales de un interesado entraría en conflicto con intereses privados y públicos prevalentes, obvios y fundamentales.
• Derecho de acceso– El artículo 16 de la Ley de Datos Personales también establece varias excepciones al derecho del interesado a acceder a sus datos personales. Algunas de estas excepciones incluyen los casos en que los datos personales de un interesado deben mantenerse en secreto con fines de prevención, detección, investigación o enjuiciamiento de un delito, o los casos en que los datos personales de un interesado están sujetos a una obligación legal de secreto profesional.
• Derecho de rectificación– “El artículo 17(2) de la Ley establece excepciones al derecho de rectificación y limitación cuando el tratamiento se realiza con fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos”.

¿Cuáles son las sanciones por infringir la Ley de Datos Personales?

Además de las sanciones que pueden imponerse a los responsables del tratamiento que incumplan el RGPD, que pueden incluir multas de hasta el 4 % de los ingresos globales de una agencia empresarial, los responsables del tratamiento que infrinjan la Ley de Datos Personales también están sujetos a sanciones de la Autoridad Noruega de Protección de Datos, también conocida como Datatilsynet. Por lo tanto, los responsables del tratamiento de datos que violen los derechos de privacidad de los interesados también están sujetos a multas monetarias de Datatilsynet. Además, Datatilsynet también tiene el poder y la autoridad para imponer multas diarias a los responsables del tratamiento que no cumplan las sanciones impuestas por el RGPD.

Dado que el panorama de la privacidad de los datos en Noruega es algo complejo debido a la situación del país en la UE y en el EEE respectivamente, la Ley de Datos Personales sirve para complementar las protecciones ofrecidas por el Reglamento General de Protección de Datos. De este modo, a través de la intersección de ambas leyes, se ofrece a los ciudadanos noruegos un nivel de protección de la privacidad equiparable al de los Estados miembros de la UE. De este modo, los ciudadanos del país pueden tener la tranquilidad de que su información y datos personales están protegidos en todo momento, a pesar de no residir en un Estado miembro de la UE.