Nueva legislación sobre privacidad de datos en Kirguistán

La Ley de la República Kirguisa de 20 de julio de 2017 n.º 129, también conocida como la Ley de Datos Personales para abreviar, es un proyecto de ley de privacidad de datos modificado que se aprobó recientemente en Kirguistán en 2017. Al igual que otras leyes de protección de datos personales que se han aprobado en los países vecinos de Asia Central en los últimos años, como la Ley de Tayikistán de 3 de agosto de 2018 No. 1537 sobre Protección de Datos Personales de Tayikistán y la Ley de Enmiendas y Adiciones a Algunos Actos Legislativos de la República de Kazajistán sobre la Regulación de las Tecnologías Digitales de Kazajistán, la Ley de Datos Personales de Kirguistán establece los fundamentos jurídicos sobre los cuales se pueden recopilar y procesar datos personales en el país, así como las sanciones que se pueden imponer a las personas y organizaciones que no cumplan con la ley.

¿Cómo se definen los responsables y encargados del tratamiento en la Ley de Datos Personales de Kirguistán?

Según la Ley de Datos Personales de Kirguistán, un controlador de datos se define como “un titular (propietario) de un conjunto de datos personales, que incluye a las autoridades estatales, los gobiernos locales, las entidades jurídicas y las personas físicas con autoridad para definir los fines y las categorías de datos personales, y para controlar la recogida, el almacenamiento, el tratamiento y el uso de los datos personales de conformidad con la Ley de Datos Personales”. Alternativamente, un procesador de datos se define como “una persona física o jurídica, determinada por el titular (propietario) de los datos personales, responsable del tratamiento de datos personales, sobre la base de un contrato firmado con el titular/propietario de los datos personales.” Además, la ley define al interesado como “una persona física a la que se incluyen los datos personales pertinentes”.

¿Cuáles son los requisitos de los controladores y procesadores de datos en virtud de la Ley de Datos Personales de Kirguistán?

En virtud de la Ley de Datos Personales de Kirguistán, los responsables y encargados del tratamiento que operan en el país deben respetar los siguientes principios al tratar datos personales:

• Los controladores y procesadores de datos son responsables de obtener los datos personales directamente de los interesados, o de sus abogados.
• Los responsables y encargados del tratamiento deben garantizar la confidencialidad de todos los datos personales que recojan o traten.
• Los responsables y encargados del tratamiento deben “garantizar la seguridad y fiabilidad de los datos personales y el régimen de acceso a los mismos”.
• Los responsables y encargados del tratamiento deben inscribir sus conjuntos de datos personales en el registro especial.
• Los responsables y encargados del tratamiento deben suprimir o bloquear los datos personales de un interesado, si así se solicita.
• Los responsables y encargados del tratamiento deben “impedir el acceso de personas no autorizadas a los equipos utilizados para el tratamiento de datos personales.”
• Los responsables y encargados del tratamiento deben “garantizar la seguridad de los sistemas de tratamiento de datos diseñados para transferir datos personales, independientemente de los datos (control de los medios de transmisión de datos).”
• Los responsables y encargados del tratamiento deben “impedir el registro no autorizado de datos personales, la alteración o destrucción de datos personales almacenados (control de entrada) y permitir la determinación retrospectiva de cuándo, quién y qué datos personales han sido alterados.”

¿Cuáles son los derechos de los interesados en virtud de la Ley de Datos Personales de Kirguistán?

En virtud de la Ley de Datos Personales de Kirguistán, los interesados del país tienen los siguientes derechos de protección de datos:

• Derecho a acceder a sus datos personales.
• Derecho a solicitar la modificación de sus datos personales.
• Derecho a solicitar la cancelación o supresión de sus datos personales.
• Derecho a oponerse al tratamiento de sus datos o a la exclusión voluntaria del mismo.
• Derecho a “presentar reclamaciones ante los tribunales contra cualquier violación de sus derechos en virtud de la normativa sobre datos personales”.
• El derecho a solicitar una indemnización por pérdidas y daños morales.

En cuanto a las sanciones relacionadas con el incumplimiento de la ley, la Ley de Datos Personales de Kirguistán se aplica a través del Código Penal de la República Kirguisa nº 19 de 2 de febrero de 2017. Con este fin, los controladores y procesadores de datos que incumplan la ley están sujetos a una sanción monetaria de 7.500 KGS (101 dólares). Sin embargo, aunque se ha promulgado la Ley de Protección de Datos Personales, no se ha establecido ninguna autoridad estatal responsable de las sanciones aplicables establecidas en el Código Penal de la República Kirguisa nº 19 de 2 de febrero de 2017. Como tal, es seguro que en el futuro se desarrollarán castigos adicionales relacionados con el incumplimiento de la ley.

Con la aprobación de la Ley de Datos Personales de Kirguistán, el país garantiza efectivamente los derechos de privacidad de los datos de sus respectivos ciudadanos. De este modo, los ciudadanos de Kirguistán pueden estar seguros de que sus datos personales están a salvo de cualquier daño cuando los facilitan a un responsable o encargado del tratamiento. Aunque las sanciones de la Ley de Datos Personales no son tan severas o de mayor alcance que las previstas por otras políticas internacionales de privacidad importantes, como el Reglamento General de Protección de Datos de la Unión Europea o GDPR, las disposiciones y los derechos establecidos por la ley, sin embargo, se erigen como un medio formidable por el cual los titulares de datos con el país pueden buscar justicia en caso de que se infrinja su privacidad.