Protección de datos de los ciudadanos marroquíes

La Ley n.º 09-08 de Marruecos sobre la protección de las personas con respecto al tratamiento de datos personales, también conocida como Ley n.º 09-08 para abreviar, es una ley de protección de datos que se aprobó en 2009. Como Marruecos fue uno de los muchos países no europeos que ratificaron el Convenio modernizado para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal o el Convenio 108 modernizado para abreviar, el país ha hecho un esfuerzo concertado para ofrecer a sus ciudadanos un nivel similar de protección de datos y privacidad que se ofrece a los residentes de los Estados miembros de la UE en virtud del Reglamento General de Protección de Datos o GDPR. Con este fin, la Ley n.º 09-08 establece el marco jurídico al que deben atenerse los responsables del tratamiento de datos personales en Marruecos.

¿Cuál es el ámbito de aplicación de la Ley 09-08?

En virtud de la Ley nº 09-08, se entiende por responsable del tratamiento “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales”. A la inversa, por encargado del tratamiento se entiende “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Estas definiciones son coherentes con las establecidas por el Reglamento General de Protección de Datos o RGPD.

Alternativamente, el ámbito de aplicación territorial de la ley entra en vigor en las siguientes circunstancias:

• Casos en los que el tratamiento de datos se lleve a cabo “por una persona física o jurídica cuyo responsable del tratamiento esté establecido en el territorio marroquí. El responsable del tratamiento que ejerce una actividad en el territorio marroquí en el marco de un establecimiento, cualquiera que sea su forma jurídica, se considera establecido en Marruecos”.
• Casos en los que un responsable del tratamiento está “establecido en el territorio marroquí, pero utiliza medios (automatizados o no), situados en el territorio marroquí, con fines de tratamiento de datos personales (excluidos los tratamientos que sólo se utilizan con fines de tránsito en el territorio marroquí o en el de un país cuya legislación es reconocida como equivalente a la de Marruecos en materia de protección de datos personales). En este caso, el responsable del tratamiento deberá notificar al CNDP la identidad de un representante establecido en Marruecos que, sin perjuicio de su responsabilidad personal, le sustituirá en todos los derechos y obligaciones que resulten de las disposiciones de la Ley y de los textos adoptados para su aplicación.

Además, la Ley 09-08 define el tratamiento de datos personales como “cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como el bloqueo, supresión o destrucción”. Como tal, la ley también se aplica al tratamiento de datos personales total o parcialmente automatizado, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser contenidos en ficheros manuales.

¿Cuáles son las responsabilidades de los responsables y encargados del tratamiento en virtud de la Ley nº 09-08?

Manteniendo las similitudes entre la Ley Nº 09-08 y el Reglamento General de Protección de Datos de la UE, la Ley Nº 09-08 estableció varios principios de protección de datos que proporcionan el marco jurídico para el tratamiento de datos personales en Marruecos. Estos principios de protección de datos establecen que los datos personales deben ser :

• Tratados de manera justa y lícita.
• Recogidos con fines específicos, explícitos y legítimos, y no tratados de manera incompatible con dichos fines.
• Pertinentes, adecuados y no excesivos en relación con los datos personales que vayan a recogerse y tratarse posteriormente.
• Precisos y actualizados cuando sea necesario. Los responsables y encargados del tratamiento también deben tomar medidas razonables para suprimir y rectificar los datos personales que resulten ser inexactos o incompletos con respecto a los fines para los que se recogieron dichos datos personales.
• Conservarse en una forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines para los que se obtuvieron originalmente los datos personales y para su posterior tratamiento.

Además de estos principios de protección de datos, la Ley nº 09-08 también exige que los responsables del tratamiento de datos cumplan otras obligaciones que suelen exigir las leyes generales de privacidad. Estas obligaciones incluyen proporcionar a los interesados notificaciones de procesamiento de datos, esbozar normas específicas en lo que respecta a las transferencias internacionales de datos y garantizar que los controladores y procesadores de datos lleven a cabo sus respectivas operaciones y obligaciones de conformidad con los contratos entre ambas partes. En particular, la Ley nº 09-8 no impone responsabilidad alguna a los responsables y encargados del tratamiento en lo que respecta a las notificaciones de violación de datos, las disposiciones específicas relativas a los datos de menores o el mantenimiento de registros de tratamiento de datos.

¿Cuáles son los derechos de los interesados en virtud de la Ley nº 09-08?

Los derechos que la Ley nº. 09-08 incluyen:

• El derecho a ser informado.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de oposición o exclusión voluntaria.
• Derecho a no ser objeto de una toma de decisiones automatizada.

En cuanto a las sanciones que pueden imponerse a los responsables y encargados del tratamiento de datos, incluyen penas de prisión de hasta seis meses, así como sanciones pecuniarias que oscilan entre 10.000 MAD (1.064 $) y 50.000 MAD (5.357 $), dependiendo del alcance y la gravedad de la infracción. 09-08, es aplicada por la Comisión Nacional para la Protección de Datos Personales (CDNP), y algunos ejemplos comunes de infracciones incluyen obstaculizar las funciones de la CDNP en lo que respecta a la aplicación de la ley, negarse a cumplir con los inspectores de la CDNP en lo que respecta a las investigaciones de irregularidades y negarse a comunicar ciertos documentos según lo establecido por la ley.

Aunque la Ley n.º 09-08 está diseñada para proporcionar a los ciudadanos marroquíes el mismo nivel de privacidad y protección de datos que la Ley GDPR de la UE, la Ley n.º 09-08 es el principal medio para proteger la privacidad personal de los ciudadanos marroquíes. Aunque la ley no proporciona a los interesados los derechos de supresión o portabilidad de datos de conformidad con la Ley GDPR de la UE, la Ley n.º 09-08 y la anterior proporcionan niveles similares de protección. De este modo, los ciudadanos marroquíes tienen efectivamente garantizada la privacidad de sus datos, sumándose a los muchos países que han hecho tales garantías en los últimos años.