Pioneros en la privacidad de datos en África.

La Ley nº 010-2004/AN de Protección de Datos Personales es una ley de protección de datos aprobada en Burkina Faso en 2004. Burkina Faso, una de las primeras leyes integrales de protección de datos que se aprobaron en el continente africano, ha tomado diversas medidas para garantizar la protección de los datos personales y la privacidad de sus ciudadanos durante los últimos quince años. Prueba de ello es la decisión del país de presentar una solicitud de adhesión al Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal de 1981, o Convenio 108 para abreviar. Para ello, la Ley nº 010-2004/AN de Protección de Datos de Carácter Personal establece los requisitos que deben cumplir los responsables y encargados del tratamiento de datos en Burkina Faso.

¿Cómo se definen los responsables y encargados del tratamiento en la Ley nº 010-2004/AN de Protección de Datos Personales?

En virtud de la Ley nº 010-2004/AN de Protección de Datos de Carácter Personal, un responsable del tratamiento de datos se define como cualquier “persona física o jurídica, pública o privada, que tenga la facultad de decidir sobre la creación de datos personales (artículo 4 de la Ley) y/o la facultad de decidir sobre el tratamiento de datos. Esto puede incluir cualquier estructura o persona física que posea o recopile información para crear archivos en papel o digitales que contengan datos personales”. Por otra parte, se define al encargado del tratamiento “como cualquier persona física o jurídica, pública o privada, cualquier servicio, agencia, organismo o asociación, que trate datos por cuenta del responsable del tratamiento”. Además, la ley define los datos personales como cualquier “información que permita, en cualquier forma, directa o indirectamente, la identificación de personas físicas, en particular mediante referencia a un número de identificación o a varias características específicas de su identidad física, psíquica, mental, económica, cultural o social”.

¿Cuáles son las obligaciones de los responsables y encargados del tratamiento en virtud de la Ley nº 010-2004/AN de Protección de Datos de Carácter Personal?

En virtud de la Ley nº 010-2004/AN de Protección de Datos de Carácter Personal, los responsables y encargados del tratamiento que operan en Burkina Faso son responsables de respetar los siguientes principios a la hora de recopilar o tratar datos personales:

• Los datos personales deben recopilarse y tratarse de forma leal, lícita y no fraudulenta.
• Los responsables y encargados del tratamiento son responsables de informar a los interesados de “la identidad de los destinatarios y el carácter obligatorio o facultativo de las preguntas formuladas, así como de las posibles consecuencias en caso de que no se responda”.
• Los datos personales sólo pueden recopilarse con fines específicos, explícitos y legítimos, y los responsables y encargados del tratamiento deben abstenerse de utilizar los datos personales de manera no coherente con dichos fines.
• Los responsables y encargados del tratamiento sólo están autorizados a recoger o tratar datos personales que sean adecuados, pertinentes y proporcionados con respecto a la intención para la que se van a tratar dichos datos.
• Los datos personales sólo pueden almacenarse durante “un periodo de tiempo que no supere el tiempo necesario para lograr los fines para los que se recogieron o trataron los datos. Más allá de este “periodo necesario”, los datos sólo pueden almacenarse de forma nominativa con fines históricos, estadísticos y científicos”.
• Los responsables y encargados del tratamiento son responsables de aplicar las medidas técnicas y de seguridad adecuadas para proteger los datos personales contra “la destrucción accidental o ilícita, la pérdida accidental, la alteración, la difusión o el acceso no autorizado”.
• En los casos en que un responsable o encargado del tratamiento haya transmitido por error datos a un tercero, dichos responsables y encargados son responsables de notificar a los terceros pertinentes “la anulación o rectificación de esta información, salvo disposición contraria de la LCI”.

¿Cuáles son los derechos de los interesados en virtud de la Ley nº 010-2004/AN relativa a la protección de datos personales?

En virtud de la Ley nº 010-2004/AN sobre Protección de Datos de Carácter Personal, los interesados que residan en Burkina Faso tienen los siguientes derechos en materia de protección de datos y privacidad personal:

• Derecho a ser informado.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión.
• Derecho de oposición o exclusión voluntaria.
• Derecho a no ser objeto de decisiones automatizadas.

En cuanto a las sanciones que pueden imponerse a los responsables y encargados del tratamiento que incumplan las disposiciones de la ley, la aplicación de la Ley nº 010-2004/AN de Protección de Datos de Carácter Personal corre a cargo de la Comisión de Informática y Libertades (CIL). Como tal, la CIL está facultada para imponer una sanción pecuniaria que oscila entre 500.000 francos CFA (854 dólares) y 5 millones de francos CFA (8.571 dólares), y una pena de prisión de seis meses a cinco años. Entre los ejemplos de acciones concretas que podrían dar lugar a dichas sanciones se incluyen “el tratamiento automatizado de información nominativa sin cumplir las formalidades previas establecidas por la Ley” y “el desvío de la finalidad de una recogida o tratamiento de datos personales”.

Mientras que muchos países dentro de África se han dedicado a aprobar una legislación integral sobre privacidad de datos en los últimos cinco años, incluida la Ley de Protección de Datos de Zambia y el Proyecto de Ley de Ciberseguridad y Protección de Datos de Zimbabue de 2019, la Ley No. 010-2004/AN de Protección de Datos Personales de Burkina Faso se adelantó a su tiempo en muchos aspectos. A pesar de que la ley fue aprobada en 2004, contiene muchas disposiciones y principios que son similares a los del Reglamento General de Protección de Datos de la Unión Europea o GDPR. Además, Burkina Faso ha tomado medidas legislativas adicionales para garantizar la protección de datos de sus ciudadanos en los últimos años, ya que el país ha establecido en gran medida un estándar para la protección de datos dentro de su región.