Normativas sobre privacidad en Bosnia y Herzegovina
La Ley de Protección de Datos Personales No. 49/06 de Bosnia y Herzegovina es una normativa de protección de datos y privacidad aprobada en 2006. Aunque Bosnia y Herzegovina no forma parte actualmente de la Unión Europea y, como tal, no está bajo la jurisdicción de la Regulación General de Protección de Datos (GDPR), durante los últimos años el país se encuentra enfrascado en el proceso de adhesión formal a la UE. Para ello, Bosnia y Herzegovina se ha esforzado por armonizar su legislación actual con la de la UE, incluidas las leyes relativas a la protección de datos y la privacidad. Así, la Ley de Protección de Datos Personales No. 49/06 se actualizó para establecer los requisitos con los que deben cumplir los responsables y encargados de datos del país cuando recojan y procesen información personal.
¿Cómo se definen los términos “responsable de datos” y “encargado de datos”?
Según Ley de Protección de Datos Personales No. 49/06 de Bosnia y Herzegovina, un “responsable de datos” se define como: “cualquier autoridad pública, persona natural o jurídica, agencia o cualquier otro organismo que, de forma independiente o junto con otra parte, gestione, procese y determine la finalidad y el modo de tratamiento de los datos personales sobre la base de leyes o reglamentos”. Por otro lado, la ley define a un “encargado de datos” como: “una persona natural o jurídica, una autoridad pública, una agencia o cualquier otro organismo que trate datos personales por cuenta del responsable de datos”. Además, la Ley de Protección de Datos Personales No. 49/06 define “datos personales” como: “cualquier información relativa a una persona natural identificada o identificable”.
En cuanto al alcance de la normativa, el ámbito de aplicación material de la Ley de Protección de Datos Personales No. 49/06 se extiende a todas las personas y organizaciones, incluidas las autoridades públicas, salvo que otras leyes de Bosnia y Herzegovina establezcan lo contrario. Por otra parte, el ámbito de aplicación territorial de la ley abarca tanto a individuos como a organizaciones dentro de Bosnia y Herzegovina, así como a responsables de datos que no estén físicamente ubicados en el país pero que, sin embargo, utilicen equipos que se encuentren en él, a menos que dichos equipos se utilicen únicamente con fines de tránsito.
¿Cuáles son las obligaciones de los responsables y encargados de datos?
En consonancia con los esfuerzos de Bosnia y Herzegovina por armonizar su legislación en materia de privacidad con la de la Regulación General de Protección de Datos de la UE (GDPR), la Ley de Protección de Datos Personales No. 49/06 establece una multitud de principios que los responsables y encargados de datos dentro del país deben respetar al realizar actividades de protección de datos. Entre dichos principios se incluyen los siguientes:
- Los datos personales deben tratarse de manera justa y lícita.
- Los datos personales sólo pueden recogerse y tratarse con fines lícitos, explícitos o especiales y los responsables y encargados de datos tienen prohibido recoger o tratar los datos personales por cualquier motivo fuera de estos fines.
- Los datos personales sólo pueden tratarse en la medida y con el alcance necesarios para cumplir los fines para los que se recogieron.
- Los encargados de datos sólo están autorizados a procesar datos personales que sean exactos y auténticos y están obligados a actualizar los datos personales en su poder siempre que sea necesario.
- Los responsables y encargados de datos deben borrar o corregir los datos personales que resulten ser inexactos o estar incompletos, dentro del contexto para el que se recogieron o trataron dichos datos.
- Los encargados de datos tienen prohibido tratar los datos personales durante un periodo de tiempo superior al necesario para cumplir con los fines para los que fueron recogidos.
- Los responsables y encargados de datos deben almacenar los datos personales de manera que permitan la identificación de los interesados, durante un periodo no superior al necesario para cumplir con los fines para los que se recogieron o trataron dichos datos.
- Los responsables y encargados de datos deben garantizar que los datos personales que recogen o tratan no se mezclen o combinen de ninguna manera.
¿Cuáles son los derechos de los interesados?
En virtud de la Ley de Protección de Datos Personales No. 49/06, los interesados de Bosnia y Herzegovina tienen garantizados los siguientes derechos en relación con su privacidad:
- Derecho a ser informado: antes de recoger los datos personales de los interesados, los responsables de datos deben informar a dichos interesados sobre la finalidad del tratamiento de sus datos.
- Derecho de acceso: los responsables de datos deben informar a los interesados sobre su derecho a acceder a sus datos personales, antes de proceder a recopilar los mismos.
- Derecho de rectificación: los interesados tienen derecho a rectificar los datos personales que hayan facilitado a un responsable o encargado de datos.
- Derecho a la supresión: los interesados tienen derecho a solicitar que un responsable o encargado de datos borre los datos personales que les pertenecen y que son incorrectos o están incompletos.
- Derecho de oposición o exclusión voluntaria: los interesados tienen derecho a oponerse o excluirse del tratamiento de sus datos personales.
- Derecho a indemnización: los interesados tienen derecho a ser indemnizados por los daños y perjuicios que sufran como consecuencia de la violación de sus derechos conforme a la ley.
En cuanto a las sanciones que pueden imponerse a los responsables y encargados de datos que incumplan lo regulado, la Agencia de Protección de Datos Personales de Bosnia y Herzegovina (AZLP) es la entidad facultada para hacer valer la Ley de Protección de Datos Personales No 49/06. En este sentido, la AZLP impone a los infractores una serie de sanciones, entre las que se encuentran: ordenar la destrucción de los datos personales o la suspensión del tratamiento de datos, así como imponer una sanción económica de hasta 100000 marcos bosnioherzegovinos (57955 dólares). Además, los interesados tienen derecho a una indemnización por daños y perjuicios en virtud de la Ley de Protección de Datos Personales No. 49/06.
Dado que Bosnia y Herzegovina es uno de los pocos países europeos que actualmente está en proceso de adhesión a la Unión Europea, el país ha tomado medidas para armonizar su legislación con la de otros Estados miembros de la UE. En este sentido, la Ley de Protección de Datos Personales No. 49/06 fue actualizada para asemejarse a la Regulación General de Protección de Datos de la UE (GDPR). Aunque la Ley de Protección de Datos Personales No. 49/06 no proporciona a los interesados de Bosnia y Herzegovina el mismo nivel de protección que la Regulación General de Protección de Datos de la UE ofrece a los ciudadanos de los Estados miembros de la UE, no cabe duda de que existen importantes similitudes entre ambas leyes. Por tanto, los ciudadanos de Bosnia y Herzegovina pueden tener la tranquilidad de que sus datos personales están protegidos en todo momento.