Privacidad y protección de datos personales en Tayikistán
La Ley del 3 de agosto de 2018 No. 1537 sobre Protección de Datos Personales en Tayikistán, también conocida como Ley de Datos Personales para abreviar, es una normativa de protección de datos aprobada recientemente en Tayikistán en 2018. Si bien el derecho a la protección de los datos personales está incluido en la Constitución de la República de Tayikistán del 6 de noviembre de 1994, la Ley de Datos Personales define este derecho en términos más contemporáneos, al tiempo que impone castigos a los individuos y organizaciones que incumplan lo normado. En este sentido, la Ley de Datos Personales establece el marco legal a seguir cuando se recopilen, almacenen, procesen o divulguen datos personales en Tayikistán.
¿Cómo se definen los términos “responsable de datos” y “encargado de datos” según la ley?
De manera similar a la Ley de Protección de Datos Personales de Uzbekistán, la Ley de Datos Personales de Tayikistán no proporciona una definición específica de los términos “responsable de datos” o “encargado de datos”. En su lugar, la Ley de Datos Personales de Tayikistán utiliza el término “propietario o portador de los datos personales”, definido como: “una agencia gubernamental, individuo o entidad legal que procesa y protege datos personales de conformidad con la legislación de la República de Tayikistán”. Por otra parte, el término “operador de una base de datos”, en el contexto del tratamiento de datos, se define como: “una agencia gubernamental, individuo o entidad legal que procesa y protege datos personales de conformidad con la legislación de la República de Tayikistán y en acuerdo con el propietario de la información personal”.
Además, la ley define “datos personales” como: “la información sobre los hechos, acontecimientos y circunstancias relativos a la vida de un sujeto, que permite la identificación de dicho individuo”. En cuanto al ámbito de aplicación personal de la regulación, esta se extiende a todos los propietarios o portadores de datos personales, a los operadores de bases de datos, así como a terceros que reciban datos personales y que tengan una responsabilidad legal en relación con dichos datos. Por otro lado, el ámbito de aplicación territorial de la Ley de Datos Personales no se indica explícitamente, mientras que el ámbito de aplicación material regula diversas actividades relacionadas con el tratamiento de datos, incluyendo: “la sistematización, el almacenamiento, la modificación, la adición, la extracción, el uso, la distribución, la despersonalización, el bloqueo y la destrucción de datos personales”.
¿Cuáles son las obligaciones de los propietarios y poseedores de datos personales y de los operadores de bases de datos según la ley?
Según la Ley de Datos Personales de Tayikistán, los propietarios y poseedores de datos personales y los operadores de bases de datos son responsables de garantizar los siguientes aspectos en lo que respecta a la protección de la información personal:
- los derechos humanos y civiles, así como las libertades
- la legalidad
- la justicia
- la transparencia y apertura
- la confidencialidad de los datos personales con respecto al acceso limitado
- la igualdad de derechos de los interesados, operadores y propietarios
- la seguridad del Estado, el individuo y la sociedad
Además de garantizar los anteriores aspectos, los propietarios y operadores de datos deben cumplir con otras obligaciones relacionadas con la recogida, el almacenamiento, el tratamiento y la difusión de datos personales. Estas obligaciones incluyen: proporcionar a los interesados notificaciones de procesamiento de datos, así como garantizar que los datos personales de los interesados dentro de Tayikistán no sean transferidos a terceros o a países que no tengan un nivel adecuado de protección de datos. Además, los propietarios y operadores de datos son responsables de conservar los datos personales durante un periodo de tiempo no superior al necesario para cumplir con los fines para los que fueron recogidos, así como de tomar medidas adicionales para garantizar la protección de categorías especiales de datos personales.
¿Cuáles son los derechos de los interesados en virtud de la Ley de Datos Personales de Tayikistán?
Los derechos de privacidad y la protección de datos garantizados por la Ley de Datos Personales de Tayikistán son algo limitados en comparación con muchas otras normativas de privacidad aprobadas en los últimos años. Por ejemplo, la ley no proporciona explícitamente el derecho a la supresión, el derecho a la objeción o a la exclusión voluntaria, el derecho a la portabilidad de los datos y el derecho a no ser sometido a la toma de decisiones automatizada. Sin embargo, los interesados tienen derecho a ser informados y a acceder y rectificar su información personal.
Una particularidad del derecho de rectificación de la normativa de Tayikistán es que este engloba los derechos de supresión y de objeción o exclusión voluntaria contemplados en muchas otras políticas de privacidad. De esta forma, la ley establece que: “el interesado tiene derecho a exigir al propietario, operador y terceros relacionados que aclaren, bloqueen o destruyan sus datos personales si están incompletos, son obsoletos o inexactos, se han obtenido ilegalmente o no son necesarios para la finalidad de tratamiento declarada. Asimismo, el interesado tiene derecho a exigir al propietario, operador y terceros relacionados que acepten las medidas contenidas en la legislación de la República de Tayikistán para proteger sus derechos. La denegación del acceso a dicha información, su ocultación, su obtención, uso, almacenamiento o distribución ilegales pueden ser denunciados ante los tribunales”. Por lo tanto, aunque no se concede de forma explícita a los interesados el derecho a la supresión, objeción o exclusión voluntaria, estos tienen una vía de recurso en caso de que deseen emprender dichas acciones bajo el amparo de la ley.
¿Cuáles son las sanciones por incumplimiento de la ley?
La Ley de Datos Personales de Tayikistán se aplica a través del Código Penal de Tayikistán y las entidades jurídicas que incumplan lo establecido están sujetas a una multa de 11600 somoni (1008 dólares), mientras que los ciudadanos que cometan infracciones están sujetos a una sanción monetaria de hasta 29000 somoni (2515 dólares). Además, los funcionarios públicos que infrinjan la ley están sujetos a una multa de hasta 2320 somoni (201 dólares), así como a una serie de otras sanciones administrativas. Entre las acciones que pueden dar lugar a las multas mencionadas se encuentran el no garantizar el almacenamiento y el tratamiento seguros de los datos personales, así como el robo o destrucción de los mismos.
Aunque la Ley de Protección de Datos Personales de Tayikistán define a los responsables y encargados de datos utilizando términos alternativos y ofrece, a primera vista, menos derechos a los interesados que otras normativas, las disposiciones de la ley proporcionan a los ciudadanos de Tayikistán un alto nivel de protección de datos. Tayikistán se ha sumado al conjunto de países asiáticos que han aprobado una legislación integral sobre privacidad de datos en la última década, como la Especificación de Seguridad de la Información Personal de China y la Ley de Protección de la Información Personal de Japón. De este modo, los habitantes de Tayikistán tienen la tranquilidad de que sus datos personales están protegidos en todo momento.