Nueva ley integral de protección de datos en Sri Lanka

El proyecto de ley de protección de datos personales de Sri Lanka de 2021 es una ley de protección de datos y privacidad personal que se aprobó recientemente en febrero de 2022. Los legisladores de Sri Lanka comenzaron a avanzar hacia la aprobación de una ley integral de privacidad de datos en 2019, que culminó con la promulgación del Proyecto de Ley de Protección de Datos Personales, 2021 a principios de este año. Dicho esto, las disposiciones de la ley establecen los requisitos para la recopilación, procesamiento, uso, divulgación y destrucción de datos personales dentro de Sri Lanka. Por otra parte, la ley también establece las sanciones a las que se exponen las empresas y organizaciones en caso de incumplimiento de las disposiciones de la ley.

¿Cuál es el ámbito de aplicación de la ley?

En cuanto al alcance y la aplicación del Proyecto de Ley de Protección de Datos Personales de Sri Lanka de 2021, las disposiciones de la ley se aplican al “tratamiento de datos personales y principalmente a los responsables y encargados del tratamiento de datos, lo que incluye a cualquier persona física o jurídica, autoridad pública, organización no gubernamental, agencia o cualquier otro organismo o entidad establecido por ley escrita o en virtud de ella”. Como tal, el proyecto de ley prescribe medidas para proteger los datos personales de los individuos en poder de bancos, operadores de telecomunicaciones, hospitales y otras entidades de agregación y tratamiento de datos personales. Se exigirá a estas entidades que recojan datos personales únicamente para fines específicos y no para ningún otro fin que sea incompatible con dichos fines.”

¿Cuáles son las obligaciones de los responsables y encargados del tratamiento de datos con arreglo a la ley?

En virtud de la Ley de Protección de Datos Personales de Sri Lanka de 2021, los responsables y encargados del tratamiento que realicen operaciones en el país son responsables de respetar una serie de principios de protección de datos cuando recojan y traten datos personales obtenidos de ciudadanos en dicho país. Estos principios de protección de datos incluyen:

• Los datos personales deben recopilarse y tratarse de forma lícita y coherente con el artículo 5 de la Ley de Protección de Datos Personales de Sri Lanka de 2021.
• Los datos personales sólo pueden recopilarse y tratarse con fines específicos, legítimos y explícitos, y no pueden utilizarse para ningún otro fin.
• Los responsables y encargados del tratamiento son responsables de garantizar que todos los datos personales que recojan o traten sean exactos y se mantengan actualizados cuando sea necesario.
• Los responsables y encargados del tratamiento son responsables de limitar el periodo de conservación de todos los datos personales recogidos y tratados.
• Los datos personales deben recogerse y tratarse de forma transparente.
• Los responsables y encargados del tratamiento son responsables de garantizar la integridad y confidencialidad de todos los datos personales que recojan y traten.

¿Cuáles son los derechos de los ciudadanos de Sri Lanka en virtud de la ley?

En virtud de las disposiciones de la Ley de Protección de Datos Personales de Sri Lanka de 2021, los ciudadanos del país tienen los siguientes derechos en lo que respecta a la protección de sus datos personales y su intimidad:

• Derecho a ser informado- Los responsables y encargados del tratamiento de datos están obligados a proporcionar a los interesados determinada información cuando recojan y traten datos personales obtenidos de ciudadanos de Sri Lanka, incluidos los fines previstos para los datos, así como la información de contacto del responsable o encargado del tratamiento concreto, entre otros detalles pertinentes.
• Derecho de acceso: los ciudadanos de Sri Lanka tienen derecho a solicitar el acceso a cualquier dato personal que hayan facilitado a un responsable o encargado del tratamiento.
• Derecho de rectificación: los ciudadanos de Sri Lanka tienen derecho a solicitar que se rectifiquen o completen los datos personales que les conciernan si se comprueba que son inexactos o incompletos.
• Derecho de supresión: los ciudadanos de Sri Lanka tienen derecho a solicitar que se supriman sus datos personales.
• Derecho de oposición: los ciudadanos de Sri Lanka tienen derecho a oponerse a la recogida o tratamiento de sus datos personales.
• Derecho a no ser sometido a decisiones automatizadas: los ciudadanos de Sri Lanka tienen derecho a no ser sometidos a decisiones de tratamiento de datos que se tomen únicamente sobre la base de un tratamiento automatizado.

¿Cuáles son las sanciones por infringir la ley?

En cuanto a la aplicación de la ley, la Ley de Protección de Datos Personales de Sri Lanka de 2021 es aplicada por el Ministerio de Tecnología. Hasta el momento, el Ministerio de Tecnología está facultado para imponer las siguientes sanciones y penas a los responsables y encargados del tratamiento de datos que hayan infringido la ley:

• Una sanción pecuniaria de hasta 10 millones de LKR (46.918 dólares).
• Una orden de cesar y abstenerse de realizar el acto, omisión o conducta relacionados con el tratamiento.
• Una directiva para llevar a cabo determinadas acciones necesarias para rectificar la situación, a discreción del Ministerio de Tecnología.

Si bien Sri Lanka había aprobado anteriormente legislación sobre privacidad específica para determinados sectores industriales del país, el proyecto de ley de protección de datos personales de Sri Lanka de 2021 se aprobó para proporcionar a los ciudadanos de Sri Lanka un nivel más amplio de protección de datos. Además, dado que la Constitución de la República Socialista Democrática de Sri Lanka de 1978 no otorga a dichos ciudadanos el derecho fundamental a la privacidad, una legislación como la Ley de Protección de Datos Personales de 2021 era muy necesaria, ya que muchas otras naciones de la región del Sudeste Asiático han aprobado algún tipo de legislación sobre privacidad a partir de 2022, incluida la Ley de Protección de Datos Personales de Tailandia y la Ley de Protección de Datos Personales de Singapur .