Nueva protección de datos y desarrollo económico en Ruanda

La Ley n.º 058/2021 de 13 de octubre de 2021 relativa a la protección de los datos personales y la privacidad o “Ley de protección de datos” de Ruanda es una ley de protección de datos promulgada recientemente en 2021. En cuanto al objeto de la ley, la Ley de Protección de Datos “tiene por objeto la protección de los datos personales y de la intimidad y determina su tratamiento.” La aprobación de esta ley es el último paso que el país de Ruanda ha dado en los últimos veinte años con el propósito de lograr una economía basada en el conocimiento. Dado que el desarrollo de dicha economía depende de la protección de los datos personales, la Ley de Protección de Datos establece el marco jurídico para la recogida, el tratamiento, el uso y la divulgación de datos personales en el país.

¿Cómo define la ley a los responsables y encargados del tratamiento de datos?

En virtud de la Ley de Protección de Datos de Ruanda, un responsable del tratamiento se define como una “persona física, entidad corporativa pública o privada o entidad jurídica que, sola o conjuntamente con otros, procesa datos personales y determina los medios de su procesamiento”. Por otra parte, la ley define al encargado del tratamiento como “la persona física, jurídica o entidad pública o privada, autorizada para tratar datos personales por cuenta del responsable del tratamiento”. Además, la ley define al interesado como “una persona física a la que se han solicitado y procesado datos personales”, mientras que la ley define al usuario como “una persona física, una entidad corporativa pública o privada o una entidad jurídica que utiliza o solicita un servicio de procesamiento de datos personales”.

¿Cuáles son los requisitos de los responsables y encargados del tratamiento de datos en virtud de la Ley de Protección de Datos de Ruanda?

En virtud de la Ley de Protección de Datos de Ruanda, los responsables y encargados del tratamiento de datos que operan tanto dentro como fuera del país, y que permiten que dichas operaciones utilicen los datos personales de los interesados dentro de Ruanda, deben cumplir los siguientes requisitos:

• El tratamiento de datos personales realizado por los encargados del tratamiento debe regirse por un contrato escrito entre ellos y el responsable del tratamiento aplicable.
• Las partes que traten datos personales deben hacerlo de forma que no se vulneren los derechos del interesado asociado.
• Las partes que traten los datos personales sensibles de los interesados sólo podrán hacerlo en determinadas circunstancias, como cuando dicho tratamiento se base en el consentimiento previo de un interesado, o el tratamiento sea necesario con respecto a las obligaciones de dichas partes, entre otras varias.
• Cuando recojan o traten datos personales, los responsables y encargados del tratamiento deben “aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo planteado para el interesado, incluido, cuando proceda, el almacenamiento de datos personales sensibles por separado de otros tipos de datos, y la aplicación de medidas como la tokenización, la seudonimización o el cifrado”.
• Los responsables y encargados del tratamiento deben recabar los datos personales directamente de los interesados, salvo determinadas excepciones.
• Los responsables y encargados del tratamiento deben garantizar que todos los datos personales que recojan o traten “sean completos, exactos, estén actualizados y no induzcan a error con respecto a los fines para los que se tratan”.
• Los responsables y encargados del tratamiento son responsables de registrar las distintas operaciones de recogida y tratamiento de datos que realicen, y dicho registro “debe indicar la justificación, fecha y hora de dichas operaciones y, cuando sea posible, los datos de contacto de la persona que accedió a los datos personales o los divulgó, así como los datos de contacto de los destinatarios de los datos.”

¿Cuáles son los derechos de los interesados en virtud de la Ley de Protección de Datos de Ruanda?

En virtud de la Ley de Protección de Datos de Ruanda, los interesados del país tienen los siguientes derechos:

• Derecho de acceso.
• Derecho de oposición.
• Derecho a la portabilidad de los datos.
• Derecho de supresión.
• Derecho de rectificación.
• Derecho a no ser objeto de decisiones basadas en el tratamiento automatizado de datos.
• Derecho a limitar el tratamiento de datos personales.
• Derecho a designar un heredero de los datos personales.
• Derecho de representación.

En cuanto a las sanciones por incumplimiento, la Ley de Protección de Datos de Ruanda es aplicada por la Autoridad de Supervisión, que está facultada para imponer las siguientes sanciones y castigos a los responsables y encargados del tratamiento de datos que infrinjan la ley:

• Una multa administrativa de “no menos de dos millones de francos ruandeses (1.985 dólares) pero no más de cinco millones de francos ruandeses (4.962 dólares) o el uno por ciento (1%) del volumen de negocios global del ejercicio financiero precedente”.
• “En caso de que se trate de una persona jurídica o una entidad corporativa, deberá responder con el uno por ciento (1%) del volumen de negocios global del ejercicio financiero precedente.”
• “La autoridad de control podrá establecer un reglamento que determine otras faltas administrativas y sanciones no previstas en esta Ley.”

La aprobación de la Ley de Protección de Datos no sólo representa una amplia protección de la privacidad de los datos para todos los ciudadanos del país, sino también un paso adelante para Ruanda en la consecución de sus objetivos económicos a mayor escala. Dado que la protección de los datos personales es fundamental para el éxito de muchas iniciativas económicas, la aprobación de una legislación que proporcione un mayor nivel de protección de datos y privacidad sólo puede resultar beneficiosa para el avance de los negocios y el comercio. Sin embargo, lo que es más importante, Ruanda se une a la lista de muchos otros países africanos que han tomado medidas legislativas para garantizar la protección de los datos personales de sus respectivos ciudadanos en los últimos años, como la Ley de Protección de Datos de Zambia y el Proyecto de Ley de Ciberseguridad y Protección de Datos de 2019 de Zimbabue.