Nueva normativa sobre privacidad de datos en Kazajstán

La Ley de Enmiendas y Adiciones a Algunos Actos Legislativos de la República de Kazajstán sobre la Regulación de las Tecnologías Digitales, también conocida como la Ley de Enmiendas, es una ley de privacidad de datos que se aprobó recientemente en 2020. La Ley de Enmienda se introdujo para aumentar el nivel de obligación que las organizaciones y los individuos dentro de Kazajstán deben cumplir al recopilar, procesar, almacenar y divulgar datos personales. Para ello, la Ley de Enmienda establece los fundamentos jurídicos y las directrices para las actividades de datos que tienen lugar dentro de Kazajstán, así como las sanciones que pueden imponerse a las personas y organizaciones que incumplan las diversas disposiciones que se establecen en la ley.

¿Cómo define la ley a los responsables y encargados del tratamiento de datos?

Como ocurre con muchas otras leyes sobre protección de datos que se han aprobado en los países de Asia Central en los últimos años, como la Ley de Datos Personales de Uzbekistán y la Ley de Datos Personales de Tayikistán, la Ley de Enmienda no ofrece una definición del término “procesador de datos”. En su lugar, la ley utiliza el concepto de “propietario de la base de datos”, definido como la “autoridad estatal, persona física y/o jurídica que ejerce de conformidad con la ley el derecho de posesión, uso y disposición de la base de datos que contiene datos personales”. A la inversa, la ley tampoco ofrece una definición del término “responsable del tratamiento de datos”.

Como alternativa, la ley enmendada utiliza el concepto de “operador de base de datos”, definido como “la autoridad estatal, individuo y/o entidad jurídica que se dedica a la recogida, tratamiento y protección de datos personales”. Además, la ley define los datos personales como “información relacionada con el sujeto definido o relacionada con el sujeto definible sobre la base de dicha información, registrada en formato electrónico, en papel y/u otro formato tangible (por ejemplo, nombre, apellidos, edad, dirección, etc.)”. En cuanto al ámbito de aplicación y aplicación de la ley, el ámbito personal de la ley se aplica a todas las “relaciones en el ámbito de los datos personales”, mientras que el ámbito material de la ley no se indica explícitamente. Además, ordena que el tratamiento de datos se “limite a la consecución de fines determinados, predeterminados y legítimos”.

¿Cuáles son las responsabilidades de los propietarios y operadores de bases de datos en virtud de la Ley Enmienda?

En virtud de las disposiciones de la Ley Enmienda, los propietarios y operadores de bases de datos de Kazajstán deben respetar los siguientes principios al realizar actividades de tratamiento de datos:

• Garantizar que los datos personales sólo se recopilan y procesan para los fines necesarios para su funcionamiento.
• Garantizar que los datos personales sólo se tratan para fines que se ajustan a los fines para los que se recogieron.
• Tomar medidas de protección para garantizar que no se acceda a los datos personales por medios no autorizados, así como minimizar las consecuencias adversas que puedan derivarse de dicho acceso. En los casos en que los propietarios u operadores de bases de datos no puedan impedir el acceso no autorizado a los datos personales, seguirán siendo responsables de detectar e informar oportunamente de dicho acceso.
• Garantizar que se cumplen y observan en todo momento todas las leyes relativas a la protección de datos.
• Garantizar que los datos personales se eliminan una vez que se ha cumplido la finalidad para la que se recogieron y, por tanto, ya no son pertinentes.
• Aportar pruebas de que todos los datos personales recogidos y tratados se han hecho con el consentimiento de todos los interesados.

Además de seguir estos principios de protección de datos, los propietarios y operadores de bases de datos también deben cumplir otras obligaciones relacionadas con la protección de datos. Estas obligaciones incluyen proporcionar a los interesados notificaciones de violación de datos en caso de que se produzca una violación de datos, así como designar a un responsable de la protección de datos o RPD para garantizar que se cumplen en todo momento las disposiciones de la Ley de Enmienda. Además, los propietarios y operadores de bases de datos también están obligados a seguir procedimientos y reglamentos específicos en lo que respecta a categorías especiales de datos personales con arreglo a la ley. Dichas categorías incluyen los datos personales relativos a la salud personal de los interesados en Kazajstán.

¿Cuáles son los derechos de los interesados en virtud de la Ley Enmienda?

Con arreglo a la Ley Enmienda, los interesados en Kazajstán tienen los siguientes derechos en relación con la protección de los datos personales y la intimidad:

• Derecho a ser informado.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión.
• Derecho de oposición o exclusión voluntaria.
• Derecho del interesado a proteger sus derechos e intereses legales.
• El derecho de los interesados a reclamar una indemnización en caso de que se vulneren sus derechos con arreglo a la ley.

En cuanto a las sanciones que pueden imponerse como consecuencia del incumplimiento de la ley, el artículo 147 del Código Penal establece que “el incumplimiento de las medidas de protección de datos de carácter personal por parte de una persona física responsable de adoptar dichas medidas si tal acción causara un perjuicio significativo a los derechos e intereses legítimos de otras personas podrá dar lugar a una multa de hasta 3.000 índices mensuales calculados (,261), trabajos correccionales por el mismo importe, trabajos en beneficio de la comunidad durante 600 horas, restricción de libertad durante un máximo de dos años, o privación de libertad durante un máximo de dos años con privación del derecho a ocupar determinados cargos o ejercer determinada actividad durante un período de hasta tres años o sin dicha privación en función de la infracción”, entre otras diversas penas administrativas y sanciones pecuniarias.

Si bien la Constitución de la República de Kazajstán reconoce a los interesados el derecho a la protección de datos y a la intimidad, la Ley de Enmienda moderniza estos derechos. Así, la Ley Enmienda establece los requisitos que los propietarios y operadores de bases de datos de Kazajstán deben seguir para cumplir la ley. Además, la ley pone a Kazajstán a la altura de otros países asiáticos que han aprobado leyes de protección de datos en los últimos años, como la Ley de Protección de Datos Personales de 2010 de Malasia y la Ley de Protección de Datos Personales de Tailandia. Y lo que es más importante, los interesados de Kazajstán disponen de una vía de recurso en caso de que sus datos personales se recojan, procesen o divulguen indebidamente.