Protección de datos personales en el país de Georgia

La Ley de Georgia sobre Protección de Datos Personales de 28 de diciembre de 2011 nº 5669, también conocida como Ley de Protección de Datos, es una ley de protección de datos que se aprobó en el país en 2011. Dado que Georgia es uno de los países del continente europeo que no forma parte de la Unión Europea, el país no entra dentro de la jurisdicción del Reglamento General de Protección de Datos o RGPD. Con este fin, se creó la Ley de Protección de Datos para alinear la legislación de protección de datos de Georgia con las disposiciones y principios establecidos en la ley GDPR de la UE. Para ilustrar mejor este punto, Georgia tiene previsto solicitar oficialmente su adhesión a la UE en 2024.

¿Cómo se definen los responsables y encargados del tratamiento en la Ley de Protección de Datos de Georgia?

Según la Ley de Protección de Datos de Georgia, un responsable del tratamiento se define como “- un organismo público, una persona física o jurídica que, individualmente o en colaboración con otros, determina los fines y los medios del tratamiento de datos personales y que, directamente o a través de un encargado del tratamiento, trata datos personales”. Alternativamente, un encargado del tratamiento se define como “cualquier persona física o jurídica que trate datos personales para el responsable del tratamiento o por cuenta de éste”. Además, la ley define los datos personales como “cualquier información relacionada con una persona física identificada o identificable. Una persona será identificable cuando pueda ser identificada directa o indirectamente, en particular por un número de identificación o por cualquier característica física, fisiológica, psicológica, económica, cultural o social propia de esta persona”.

¿Cuáles son los requisitos para los responsables y encargados del tratamiento de datos en virtud de la Ley de Protección de Datos de Georgia?

En virtud de la Ley de Protección de Datos de Georgia, los responsables y encargados del tratamiento son responsables de cumplir los siguientes requisitos al recoger o tratar datos personales de ciudadanos georgianos:

• Todos los datos personales deben recogerse y tratarse de acuerdo con los principios de equidad y legalidad. Además, los responsables y encargados del tratamiento tienen prohibido atentar contra la dignidad de los interesados.
• Los datos personales sólo podrán recogerse o tratarse “para fines determinados, claramente definidos y legítimos. No se admitirá el tratamiento ulterior de los datos para fines incompatibles con la finalidad original”.
• Los datos personales sólo podrán recogerse o tratarse “en la medida necesaria para alcanzar el fin legítimo correspondiente. Los datos deben ser adecuados y proporcionados a la finalidad para la que se tratan”.
• Todos los datos personales que se recojan o traten deben ser exactos y actualizarse cuando sea necesario. Todos los datos personales que se recojan o traten ilegalmente o que sean irrelevantes para los fines declarados para su recogida o tratamiento deben suprimirse, bloquearse o destruirse.
• Todos los datos personales que se recojan o traten no podrán conservarse más tiempo del necesario para alcanzar los fines para los que se recogieron o trataron.
• La recogida y el tratamiento de datos personales sólo serán admisibles por determinados motivos, como los casos en que el interesado haya dado su consentimiento al tratamiento de sus datos personales, y el tratamiento de datos esté previsto por la ley, entre otros varios.
• El responsable del tratamiento estará obligado a adoptar las medidas organizativas y técnicas adecuadas para garantizar la protección de los datos contra la destrucción, accidental o ilícita, la alteración, la difusión, la recogida o cualquier otra forma de utilización ilícita, así como contra la pérdida accidental o ilícita.
• Todo empleado de un responsable del tratamiento o de un encargado del tratamiento que participe en el tratamiento de datos estará obligado a mantenerse dentro del ámbito de las facultades que se le hayan conferido. Además, estará obligado a proteger el secreto de los datos, incluso después de que finalice su mandato.

¿Cuáles son los derechos de los ciudadanos georgianos en virtud de la Ley de Protección de Datos?

En virtud de la Ley de Protección de Datos, los ciudadanos georgianos tienen los siguientes derechos en relación con la protección de datos y la privacidad:

• El derecho a ser informado- Los interesados tienen derecho a solicitar información a un responsable o encargado del tratamiento sobre la recogida o el tratamiento de sus datos personales.
• Derecho de supresión y rectificación- Los interesados tienen derecho a solicitar a un responsable o encargado del tratamiento que suprima o rectifique los datos personales que les conciernan, siempre que “los datos sean incompletos, inexactos, no estén actualizados o hayan sido recogidos y tratados ilegalmente”.
• Derecho de oposición: “El interesado tendrá derecho a retirar, en cualquier momento y sin necesidad de dar explicaciones, el consentimiento que haya dado y a solicitar que cese el tratamiento de los datos o que se destruyan los datos tratados”.
• Derecho de recurso: “En caso de violación de los derechos reconocidos en la presente Ley, el interesado tendrá derecho a dirigirse al Inspector de Protección de Datos Personales o a los tribunales con arreglo a los procedimientos que determine la ley, y si el responsable del tratamiento es una institución pública, también podrá presentar un recurso ante el mismo órgano o ante un órgano administrativo superior”.

¿Cuáles son las sanciones por incumplimiento de la Ley de Protección de Datos de Georgia?

La aplicación de la Ley de Protección de Datos de Georgia corre a cargo del Inspector de Protección de Datos Personales. Como tal, el Inspector está facultado para imponer diversas sanciones administrativas y pecuniarias, entre ellas

• Exigir la eliminación de la infracción y de las deficiencias relacionadas con el tratamiento de datos en la forma y en el plazo que él/ella indique.
• Exigir el cese del tratamiento de datos, su bloqueo, supresión, destrucción o despersonalización si considera que el tratamiento de datos se lleva a cabo de forma ilícita.
• Dar consejos y recomendaciones por escrito a un responsable y a un encargado del tratamiento de datos si infringen de forma insignificante las normas de tratamiento de datos.
• Exigir que se ponga fin a la transferencia de datos a otros Estados y organizaciones internacionales si se transfieren incumpliendo los requisitos de esta Ley.
• Emitir una multa monetaria que oscila entre 100 GEL (32 dólares) y 10 000 GEL (3 225 dólares), en función del alcance y la gravedad de una infracción concreta.

Con la aprobación de la Ley de Protección de Datos en 2011, el Gobierno de Georgia pudo ofrecer a los titulares de los datos en el país un nivel de protección de datos coherente con las protecciones ofrecidas a los ciudadanos de los Estados miembros de la UE en virtud del Reglamento General de Protección de Datos o RGPD. De este modo, Georgia ha podido sentar las bases para la armonización de su legislación con la de la UE en materia de protección de datos y privacidad personal. Pero lo más importante es que los ciudadanos georgianos pueden estar tranquilos sabiendo que sus datos personales están protegidos en todo momento, tanto si se encuentran en Georgia como fuera del país.