Nueva enmienda a la Ley de Protección de Datos de Estonia, GDPR
La Ley de Protección de Datos Personales de Estonia de 2018 o la PDPA para abreviar es una ley de protección de datos que se modificó recientemente en 2018 y se promulgó al año siguiente. La PDPA se aprobó con el fin de implementar las disposiciones del Reglamento General de Protección de Datos en la legislación estonia, ya que Estonia es un Estado miembro de la Unión Europea. Como tal, la PDPA establece el marco jurídico que debe seguirse al recopilar o procesar datos personales en Estonia, y también otorga a la Inspección de Protección de Datos de Estonia, o DPI para abreviar, la autoridad para imponer sanciones contra individuos y organizaciones que incumplan las disposiciones establecidas en la ley.
¿Cuáles son las diferencias entre la ley GDPR de la UE y la PDPA de Estonia?
Si se comparan con las disposiciones del GDPR de la UE, las disposiciones de la PDPA permanecen prácticamente inalteradas. Sin embargo, en lo que respecta a la normativa relativa a la conservación de datos, existen algunas diferencias entre ambas leyes. En virtud de la APDP, “los datos y documentos presentados a un registrador en un formato que pueda reproducirse por escrito para realizar una anotación serán conservados por el registrador durante los diez años siguientes a la realización de la anotación respectiva”. Alternativamente, “los datos personales recogidos a efectos de la realización del control se conservarán durante un plazo de diez años a partir de la finalización del control, de la expiración del contrato o documento que sirva de base para la realización de la tarea especificada en la subsección (2) de esta sección o de la finalización de la relación laboral o de servicio controlada. Una vez transcurrido este plazo, los datos se suprimirán”.
A la inversa, la PDPA también establece ciertas condiciones en lo que respecta a la recogida y el tratamiento de datos personales que se obtienen en espacios públicos de Estonia. Según se establece en la ley, “salvo que la ley disponga otra cosa, al realizar en lugares públicos grabaciones sonoras o visuales destinadas a su futura divulgación, el consentimiento de los interesados se sustituirá por la obligación de notificar a los interesados de una manera que permita a las personas comprender el hecho de la grabación de las imágenes sonoras o visuales y dar a las personas la oportunidad de oponerse a la grabación de su persona si así lo desean. La obligación de notificación no se aplica en el caso de actos públicos cuya grabación a efectos de la divulgación pueda presumirse razonablemente.”
¿Cuáles son los derechos de los interesados en virtud de la PDPA?
Los derechos de los interesados en virtud de la PDPA son idénticos a los que asisten a los ciudadanos que residen en otros Estados miembros de la UE. Estos derechos incluyen:
- El derecho a ser informado.
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de supresión.
- Derecho de oposición o exclusión voluntaria.
- Derecho a no ser objeto de una toma de decisiones automatizada.
En cuanto a la aplicación de la APDP, el DIP tiene la potestad reglamentaria para hacer cumplir las disposiciones establecidas en la ley. A tal fin, el DIP está facultado para exigir determinadas restricciones en relación con la recogida y el tratamiento de datos personales, como ordenar que un determinado responsable o encargado del tratamiento borre o rectifique los datos personales que haya recogido o tratado indebidamente. Además, el DIP también está facultado para exigir que una persona u organización concreta que opere en Estonia ponga fin a sus operaciones de tratamiento de datos. Además, el DIP también está facultado para imponer multas “de hasta 20 millones de euros o hasta el 4% del volumen de negocios total anual global del ejercicio financiero anterior de una empresa, si esta cantidad fuera superior”.
Con la aprobación de la PDPA y la aplicación de la ley GPDR de la UE, Estonia estableció una nueva norma para la protección de datos en su país. Dado que la primera APDP de Estonia se aprobó en 1996, el país es similar a muchos otros países del continente europeo que tienen un amplio historial jurídico en materia de protección de datos. Gracias a la precedencia de dicha legislación, así como a las disposiciones del GDPR de la UE, los ciudadanos estonios pueden tener la tranquilidad de que podrán recurrir a múltiples vías legales en caso de que sus datos personales se utilicen indebidamente sin su consentimiento, o si se viola alguno de sus derechos en virtud de la ley.