Nueva ley de privacidad de datos en Liechtenstein, el GDPR y el EEE
La Ley de Protección de Datos de Liechtenstein (DSG) de 4 de octubre de 2018 o la DSG para abreviar es una ley de protección de datos que se introdujo recientemente en 2018. Si bien el país de Liechtenstein no es un estado miembro de la UE, forman parte del Espacio Económico Europeo o EEE para abreviar y, como tal, cae bajo la jurisdicción del Reglamento General de Protección de Datos o GDPR de acuerdo con la Decisión N ° 154/2018, que hizo que las disposiciones de la ley GDPR de la UE fueran aplicables a todas las jurisdicciones que participaban en el EEE pero que no eran miembros de la UE. Posteriormente, la DSG de Liechtenstein implementa las disposiciones de la ley GDPR de la UE en la Ley del Estado de Liechtenstein, y establece efectivamente la base legal para la recopilación y el procesamiento de datos personales dentro del país.
¿Cuál es el alcance y la aplicación de la Ley de Protección de Datos de Liechtenstein?
En cuanto al ámbito y la aplicación de la DSG, la ley “se aplica al tratamiento de datos personales por organismos públicos. Para los organismos no públicos, esta ley se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales que estén o deban estar almacenados en un sistema de ficheros, a menos que el tratamiento por parte de personas físicas sea exclusivamente personal o para el ejercicio de actividades familiares”. Además, la ley también se aplica a los organismos no públicos que operan dentro de Lichenstein en las siguientes circunstancias:
- El responsable o encargado del tratamiento trata datos personales a nivel nacional.
- El tratamiento de datos personales tiene lugar en el contexto de las actividades de una sucursal nacional del responsable o encargado del tratamiento; o
- El responsable o encargado del tratamiento no tiene una sucursal en un Estado miembro del EEE, pero entra en el ámbito de aplicación del Reglamento (UE) 2016/679.
Cuáles son las variaciones entre la Ley de Protección de Datos de Liechtenstein y la ley GPDR de la UE?
Muchas de las disposiciones de la Ley de Protección de Datos de Liechtenstein se mantienen sin cambios en comparación con la ley GDPR de la UE. Sin embargo, existen algunas variaciones entre las dos leyes en lo que respecta a los requisitos para los responsables y encargados del tratamiento que operan en el país. Por ejemplo, la Ley de Protección de Datos de Liechtenstein establece que los datos personales sensibles de los interesados pueden tratarse si el interesado da su consentimiento al tratamiento. Más concretamente, la DSG permite el tratamiento de datos personales sensibles relacionados con el empleo, la seguridad social o la protección social. Por otra parte, la DSG prohíbe el tratamiento de datos personales sensibles relativos a condenas o delitos penales, a menos que dicho tratamiento sea necesario para:
- Decidir si se establece una relación empleador-empleado;
- Ejecutar una relación empleador-empleado o ponerle fin; o
- Cumplimiento de la legislación aplicable.
¿Cuáles son los derechos de los interesados con arreglo a la Ley de Protección de Datos de Liechtenstein?
Los derechos de los interesados con arreglo a la Ley de Protección de Datos de Liechtenstein son en gran medida los mismos que los previstos para los ciudadanos residentes en los Estados miembros de la UE en virtud del Reglamento General de Protección de Datos, aunque con algunas excepciones. Estos derechos incluyen, entre otros, el derecho a ser informado, el derecho de acceso, el derecho a la portabilidad de los datos y el derecho al olvido. En lo que respecta a las excepciones de los derechos de los interesados, aunque los interesados también tienen derecho a oponerse a la toma de decisiones automatizada, este derecho puede restringirse si dicha toma de decisiones automatizada está relacionada con operaciones de crédito, determinados servicios de inversión y medidas que pueden aplicarse automáticamente para combatir el fraude o el blanqueo de dinero, entre otros. Además, el derecho de los interesados a solicitar la supresión de sus datos personales también está restringido en virtud de la DSG, en los casos en que el “tratamiento automatizado cuya supresión resulte imposible o exija un esfuerzo desproporcionado debido al modo de almacenamiento”.
En cuanto a la aplicación de la Ley de Protección de Datos de Liechtenstein, la autoridad de protección de datos de Liechtenstein, o el DSS para abreviar, tiene la autoridad para imponer una variedad de sanciones y penalizaciones contra los controladores y procesadores de datos que no cumplan con las regulaciones establecidas en la ley. En este sentido, los responsables y encargados del tratamiento de datos en Lichenstein que infrinjan las disposiciones de la DSG están sujetos a las siguientes sanciones:
- Una sanción pecuniaria de hasta “11 millones de francos suizos (11.948.816 dólares) o, en el caso de una persona jurídica, hasta el 2% de su volumen de negocios total anual a nivel mundial en el ejercicio financiero anterior, dependiendo de cuál sea la cantidad más alta;”
- Una pena pecuniaria de hasta “hasta 22 millones de francos suizos o, en el caso de una persona jurídica, hasta el 4% de su volumen de negocios total anual a nivel mundial en el ejercicio financiero anterior, dependiendo de cuál de las cantidades sea mayor”.
- Una pena de prisión de entre seis meses y un año, dependiendo del alcance y la gravedad del delito concreto.
Mediante la Decisión n.º 154/2018 del EEE, el panorama de la protección de datos personales en el continente europeo se reforzó aún más. A través de dicha decisión, muchos ciudadanos que residen en países no miembros de la UE también obtuvieron el mismo nivel de protección de datos que se proporciona a los ciudadanos de los Estados miembros de la UE en virtud de la ley GPDR de la UE. De este modo, los ciudadanos de Lichenstein pueden tener la seguridad de que sus datos personales están protegidos al máximo nivel posible en su región, a pesar de su condición de microestado. De este modo, la Unión Europea sigue ampliando los límites de lo que significa ofrecer derechos completos de protección de datos a particulares y organizaciones en nuestra actual era digital.