Nueva Ley del Centro Financiero Internacional de Dubai

La Ley de Protección de Datos nº 5 de 2020 del Centro Financiero Internacional de Dubái (“DIFC”), o Nueva Ley de Protección de Datos, es una ley integral de protección de datos aprobada en 2020. La nueva ley de protección de datos sustituyó a la anterior ley del DIFC nº 1 de 2007, y la ley se actualizó en “un esfuerzo por garantizar que el DIFC, un centro financiero para Oriente Medio, África y el sur de Asia, cumpla el nivel de protección de datos necesario para recibir un dictamen de “adecuación” de la Comisión Europea y el Reino Unido, lo que significa que las empresas pueden transferir datos personales de la UE y el Reino Unido al DIFC sin establecer un mecanismo de transferencia (como cláusulas contractuales tipo)”. Con este fin, la nueva Ley de AD establece una directriz que las empresas y organizaciones del DIFC deben cumplir cuando recojan información personal de interesados dentro del país.

¿Cuál es el ámbito de aplicación de la nueva Ley de protección de datos?

La Nueva Ley de DP, “se aplica a (i) el Tratamiento de Datos Personales por un Responsable o Encargado del Tratamiento constituido en el DIFC, con independencia de que el tratamiento tenga lugar en el DIFC o no; y (ii) un Responsable o Encargado del Tratamiento, con independencia de su lugar de constitución, que trate Datos Personales en el DIFC (es decir, cuando los medios o el personal utilizados para llevar a cabo la actividad de Tratamiento se encuentren físicamente en el DIFC) como parte de un “acuerdo estable”, de forma no ocasional, y en el contexto de su actividad de tratamiento en el DIFC”. En virtud de la anterior Ley nº 1 del DIFC de 2007, el ámbito de aplicación y la aplicación se aplicaban únicamente a las actividades de tratamiento de datos que tenían lugar en el DIFC. Como tal, la Nueva Ley DP añade alcance y aplicabilidad extraterritorial.

¿Cuáles son los requisitos que la nueva Ley de protección de datos impone a las empresas?

La Nueva Ley de Protección de Datos se redactó y aprobó para ofrecer a los ciudadanos emiratíes un nivel de protección de datos similar al del Reglamento General de Protección de Datos de la UE o RGPD. Como tal, la nueva Ley de Protección de Datos establece los siguientes requisitos para los responsables del tratamiento:

• Los responsables del tratamiento deben procesar los datos personales de manera justa y lícita.
• Los datos personales deben tratarse con una finalidad específica, explícita y legítima que se determine en el momento de su recogida, sobre la base de motivos legítimos para el tratamiento de datos.
• Los responsables del tratamiento deben mantener los datos personales de los interesados exactos y actualizados en todo momento, mediante los medios de supresión o rectificación cuando dichos procesos sean necesarios, sin demoras indebidas.
• Los responsables del tratamiento son responsables de designar a un delegado de protección de datos o RPD si realizan actividades de tratamiento de datos de alto riesgo. Este RPD también debe residir en los EAU, a menos que sea una persona empleada dentro del grupo de organizaciones o empresas aplicables y, posteriormente, desempeñe una función similar para esta organización o empresa a escala internacional.
• Los responsables del tratamiento de datos están obligados a mantener un registro escrito, que también puede ser en formato electrónico, de todas las actividades de tratamiento de datos que se lleven a cabo, incluyendo el nombre y los datos de contacto del responsable del tratamiento de datos, del RPD y del corresponsable del tratamiento, si procede, así como la finalidad prevista del tratamiento de datos personales, una descripción detallada de las categorías de interesados y de los datos personales que se recabarán de ellos, detalles de los destinatarios o terceros con los que también se compartirán los datos, ya sea dentro del DIFC o con el mundo exterior, las técnicas de conservación de datos que se utilizarán en relación con los datos recogidos, y una descripción de las medidas técnicas y organizativas que aplicará el responsable del tratamiento para salvaguardar los datos recogidos.
• Los responsables del tratamiento de datos deben garantizar que los interesados conozcan la identidad del responsable del tratamiento de datos y cómo pueden ponerse en contacto con él, la finalidad de la recogida de datos, y que los interesados den su consentimiento en el momento de la recogida de sus datos, así como cualquier otro tercero con el que el responsable del tratamiento de datos comparta los datos de los interesados.
• Los responsables del tratamiento deben garantizar que todos los datos personales recogidos se mantienen seguros y protegidos en todo momento contra el tratamiento ilícito o no autorizado, los daños, la pérdida accidental o la destrucción.

¿Cuáles son los derechos de los interesados en virtud de la nueva Ley de protección de datos?

En virtud de la nueva Ley de protección de datos, los titulares de los datos en los EAU tienen una serie de derechos en relación con su privacidad y la protección de sus datos. Estos derechos incluyen:

• El derecho a retirar el consentimiento.
• Derecho de acceso, rectificación y supresión de datos personales.
• Derecho a oponerse al tratamiento de datos.
• Derecho a restringir el tratamiento de datos personales.
• Derecho a la portabilidad de los datos.
• Derecho a la toma de decisiones individuales automatizadas, incluida la elaboración de perfiles.

En cuanto a las sanciones por infringir la ley, los responsables del tratamiento de datos que no la cumplan están sujetos a sanciones pecuniarias que oscilan entre ,000 y 0,000 por infracción, dependiendo de la gravedad y el alcance de la misma. Además, la nueva Ley de protección de datos también concede a los interesados el derecho a interponer demandas privadas contra los responsables del tratamiento que violen sus derechos en virtud de la ley. La aplicación de la Nueva Ley de Protección de Datos corre a cargo del Comisario de Protección de Datos, o Comisario en su forma abreviada, y el Comisario también está facultado para imponer requerimientos públicos a los responsables del tratamiento que infrinjan la ley, así como sanciones pecuniarias superiores a las previstas en la ley a su entera discreción.

La nueva Ley de Protección de Datos es única en el sentido de que se aprobó en gran medida en el contexto de la protección de la información personal que se recoge y procesa en el Centro Financiero Internacional de Dubai. Esto, unido a la falta de legislación general sobre protección de datos en Oriente Medio, sitúa a la nueva Ley de protección de datos en una categoría propia en muchos aspectos. A pesar de ello, la nueva Ley de protección de datos se ha redactado de forma similar al Reglamento General de Protección de Datos de la UE (RGPD). En este sentido, la nueva Ley de protección de datos es similar a otras leyes de privacidad de datos de todo el mundo, ya que el objetivo general es proteger los derechos de privacidad de datos de los ciudadanos emiratíes.