Nueva legislación para proteger los datos de los ciudadanos suecos
September 22, 2024 | 5 minutes read
La Ley sueca de Disposiciones Complementarias al Reglamento General de Protección de Datos de la UE (SFS 2018:218), o la Ley para abreviar, es una ley de protección de datos que se aprobó recientemente en 2018. La Ley se aprobó con el fin de derogar la Antigua Ley de Protección de Datos de Suecia (1998:204) que se había aprobado más de una década antes. Como Suecia forma parte de la Unión Europea, la ley también incorpora las disposiciones del Reglamento General de Protección de Datos (RGPD ) a la legislación sueca, imponiendo restricciones y regulando los motivos por los que se pueden recoger, procesar y difundir datos personales en el país. La ley también establece las sanciones a las que se exponen las personas y organizaciones que la infrinjan.
¿Cuál es el alcance y la aplicabilidad de la Ley?
En cuanto al ámbito de aplicación y aplicabilidad de la Ley sueca con disposiciones complementarias al Reglamento general de protección de datos de la UE (SFS 2018:218), el ámbito de aplicación personal y material de la ley son idénticos a los de la ley GDPR de la UE. Sin embargo, con respecto al ámbito territorial de la ley, la “Ley se aplica al tratamiento de datos personales en el marco de las actividades realizadas en los locales comerciales de los controladores o procesadores de datos en Suecia. La Ley también se aplica al tratamiento de datos personales por los responsables del tratamiento que 1 Prop. 2017/18:105, bet. 2017/18:KU23, rskr. 2017/18:224. no estén establecidos en Suecia, sino en un lugar en el que sea aplicable la legislación sueca con arreglo al Derecho internacional.”
Además, las disposiciones de la Ley sueca con disposiciones complementarias al Reglamento general de protección de datos de la UE (SFS 2018:218) también se aplican a los responsables y encargados del tratamiento que no están físicamente ubicados en Suecia, permitiendo que los datos procesados pertenezcan a interesados que se encuentran en Suecia y se relacionan con:
- ofrecer bienes o servicios a dichos interesados, o
- supervisar sus acciones en Suecia.
Además, en lo que se refiere a las excepciones a la ley, las disposiciones de la ley no se aplican a determinadas categorías de tratamiento de datos, como el tratamiento de datos relacionados con el ejército, la defensa nacional o las operaciones de inteligencia, entre otros. Además, tal y como establece la ley, el “Gobierno, o una autoridad designada por el Gobierno, podrá promulgar Reglamentos que autoricen a los responsables del tratamiento de datos no cubiertos por la normativa sobre archivo a tratar datos personales con fines de archivo en interés público”.
¿Cuáles son las principales diferencias entre la Ley sueca y el GDPR de la UE?
En virtud de la Ley sueca con Disposiciones Complementarias al Reglamento General de Protección de Datos de la UE (SFS 2018:218), muchas de las disposiciones establecidas en la ley GDPR de la UE se mantienen sin cambios. Sin embargo, una de las principales variaciones entre las dos leyes es la edad de consentimiento con respecto a la recopilación y el procesamiento de datos. La ley GDPR de la UE fija esta edad en 16 años, mientras que muchos otros Estados miembros de la UE tienen una edad de consentimiento inferior. En el caso de Suecia, la edad de consentimiento conforme a la Ley es de 13 años. Por ello, los datos personales de niños menores de 13 años sólo pueden recopilarse o tratarse con el consentimiento de sus padres u otros tutores legales.
Por otra parte, en lo que respecta a los datos personales sensibles, la ley establece que “podrán tratarse datos personales sensibles sobre la base del artículo 9.2 j del Reglamento general de protección de datos de la UE, si dicho tratamiento es necesario para fines estadísticos y el interés público del proyecto estadístico para el que se realiza el tratamiento prevalece claramente sobre el riesgo de infracción indebida”. Es más, la identidad personal o los números de coordinación de los ciudadanos suecos también pueden tratarse en virtud de la ley sin su consentimiento, “si dicho tratamiento está claramente justificado a la luz de la finalidad del tratamiento, la importancia de una identificación exacta u otros motivos significativos”.
En cuanto a la aplicación de la ley, la Ley de Suecia con Disposiciones Complementarias al Reglamento General de Protección de Datos de la UE (SFS 2018:218) es aplicada por la Autoridad Sueca de Protección de la Privacidad, junto con la ley GDPR de la UE y el Código de Aplicación de Sweeden. Hasta este punto, los controladores y procesadores de datos que violan la ley están sujetos a una serie de sanciones, que incluyen, entre otras:
- Una sanción pecuniaria que oscila entre 5.000.000 SEK (549.625,50 $) y 10.000.000 SEK (1.099.251,00 $).
- Multas administrativas de hasta 20 millones de euros o hasta el 4% del volumen de negocios total anual a nivel mundial del ejercicio anterior, si es superior.
- Otras sanciones y penas que pueden imponerse a discreción de la Autoridad Sueca de Protección de la Privacidad.
Dado que la Ley de Datos original de Suecia fue una de las primeras leyes de protección de datos que se aprobaron en todo el mundo en 1973, el nivel de regulación del país en relación con la recopilación y el tratamiento de datos personales es extremadamente alto. A través de la Ley con Disposiciones Complementarias al Reglamento General de Protección de Datos de la UE (SFS 2018:218) y la ley GDPR de la UE, los ciudadanos suecos pueden seguir disfrutando de los altos niveles de protección de datos y privacidad personal que se han convertido en habituales dentro de su país. Con la llegada de esta legislación, dichos ciudadanos también pueden recurrir a múltiples vías en caso de que se violen o infrinjan sus derechos en virtud de la ley en cualquier momento.