Reforzar los derechos de privacidad de datos en Nigeria

El Reglamento de Protección de Datos de Nigeria, 2019, también conocido como NDPR para abreviar, es una ley de protección de datos que se aprobó recientemente en Nigeria en 2019. En una línea similar al Reglamento General de Protección de Datos o GDPR de amplio alcance de la Unión Europea, el NDPR establece el marco legal que los controladores y procesadores de datos deben seguir al procesar datos personales. El NDPR fue promulgado por la Agencia Nacional de Desarrollo de las Tecnologías de la Información de Nigeria (NITDA, por sus siglas en inglés) con el fin de reforzar el derecho a la privacidad que la Constitución otorga a los ciudadanos nigerianos. Como tal, la NDPR garantiza a los ciudadanos nigerianos una multitud de derechos en lo que respecta a la protección de sus datos personales.

¿Cómo se definen los responsables y encargados del tratamiento en el NDPR?

En virtud del RGPD, un responsable del tratamiento se define como “la persona que, sola, conjuntamente con otras personas o en común con otras personas, o como órgano estatutario, determina los fines y la forma en que se tratan o deben tratarse los datos personales”. Por otra parte, un encargado del tratamiento se define como “la persona física o jurídica, autoridad pública, servicio, comisión o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. En cuanto al ámbito de aplicación y aplicación de la NDPR, el ámbito personal de la ley se aplica a cualquier individuo o entidad que recoja, procese, almacene, utilice o comparta los datos personales de ciudadanos nigerianos.

A la inversa, el ámbito territorial de la NDPR es aplicable a todos los ciudadanos nigerianos, tanto si residen físicamente en el país como en otro lugar. Además, el ámbito material de la ley se aplica a todas las formas de datos personales que se procesan dentro de Nigeria. Sin embargo, existen algunas excepciones, como los datos personales que se tratan con fines de seguridad pública, moralidad, seguridad o intereses, así como el tratamiento de datos que podrían utilizarse para impedir la detección de un delito o la detención o el procesamiento de un delincuente en Nigeria. El tratamiento de datos personales utilizados en el contexto de la publicación de obras y materiales literarios o artísticos también está exento de las disposiciones del NDPR.

¿Cuáles son las obligaciones de los responsables y encargados del tratamiento en virtud del RGPD?

Al igual que la ley GDPR de la UE, el NDPR establece los siguientes principios de protección de datos que los controladores y procesadores de datos en Nigeria deben cumplir en todo momento:

• Transparencia– Los controladores y procesadores de datos están obligados a proporcionar a los interesados información relacionada con el procesamiento de datos en un formato transparente, inteligible, conciso y de fácil acceso que haga uso de un lenguaje claro y sencillo.
• Finalidad y limitación– Los responsables y encargados del tratamiento tienen la obligación de especificar en su política de privacidad las finalidades de la recogida y el tratamiento de los datos personales.
• Limitación-“Las disposiciones del NDPR son sacrosantas y ninguna cláusula de limitación en una política de privacidad exonerará a un responsable del tratamiento de la responsabilidad por violar el NDPR”.
• Exactitud- Se espera que todos los datos personales que se recojan y procesen sean exactos y no atenten contra la dignidad de los ciudadanos nigerianos.
• Limitación del almacenamiento– Los responsables y encargados del tratamiento de datos son responsables de esbozar en su política de privacidad el periodo de tiempo durante el cual se almacenarán los datos personales. En los casos en que esto no sea posible, los responsables y encargados del tratamiento deben indicar los criterios que determinan durante cuánto tiempo se almacenarán los datos personales del interesado.
• Confidencialidad– Los responsables y encargados del tratamiento deben implantar un dispositivo de seguridad que garantice que todos los datos personales que obren en su poder sigan siendo confidenciales y estén protegidos de posibles ataques.
• Responsabilidad– Los responsables y encargados del tratamiento a quienes se hayan confiado datos personales en nombre de los interesados son responsables de sus actos y omisiones en relación con el tratamiento de datos, de conformidad con las disposiciones del NDPR.

¿Cuáles son los derechos de los ciudadanos nigerianos en virtud del NDPR?

En virtud del NDPR, los ciudadanos nigerianos tienen los siguientes derechos en relación con su intimidad personal y la protección de sus datos:

• Derecho a ser informados de la recogida y el tratamiento de sus datos personales.
• Derecho a presentar una reclamación o a enviar una solicitud a un responsable o encargado del tratamiento a efectos del ejercicio de sus derechos con arreglo a la ley.
• Derecho a obtener gratuitamente información sobre los datos personales que el interesado haya facilitado a un responsable o encargado del tratamiento, salvo que el orden público u otras normas dispongan otra cosa.
• Derecho a conocer los datos de un responsable o encargado del tratamiento.
• Derecho a retirar su consentimiento.
• Derecho a acceder a sus datos personales.
• Derecho a la portabilidad de los datos.
• Derecho de rectificación.
• Derecho a oponerse al tratamiento de sus datos personales o a limitarlo.
• Derecho a ser informado de los casos en que sus datos personales se traten con fines adicionales a los inicialmente previstos en el momento de su recogida.
• Derecho a ser informado sobre la transferencia de sus datos personales a otro país.
• Derecho a solicitar la supresión de sus datos personales.
• Derecho a presentar una denuncia ante las autoridades competentes.

¿Cuáles son las sanciones por incumplimiento en virtud del RGPD?

En lo que respecta a las sanciones por incumplimiento, el artículo 2.10 de la ley se encarga de hacer cumplir el RGPD, y no un único órgano de gobierno o autoridad de datos. Como tal, los responsables y encargados del tratamiento de datos que infrinjan la ley están sujetos a las siguientes sanciones:

• Una “multa del 2% de los ingresos brutos anuales del año anterior o el pago de la suma de 10 millones de NGN” (25.028 dólares), la cantidad que sea mayor, para los casos en que se trate de más de 10.000 interesados.
• Una “multa del 1% de los ingresos brutos anuales del año anterior o el pago de la suma de 2 millones de NGN” (4.889 dólares), la cantidad que sea mayor, para los casos que traten con menos de 10.000 personas.
• Las responsabilidades penales incluyen penas de prisión de hasta dos años.

Aunque la Constitución de Nigeria reconoce a los ciudadanos nigerianos el derecho a la intimidad, el NDPR sirve para reforzar estos derechos en un contexto más moderno. Como tal, el NDPR esboza las obligaciones que los controladores y procesadores de datos tienen en relación con las actividades de procesamiento de datos, así como las sanciones que pueden imponerse como resultado del incumplimiento de la ley. A medida que la ley GDPR de la UE sigue influyendo en otras legislaciones sobre privacidad en todo el mundo, leyes como la NDPR sólo podían llegar a ser más prominentes y generalizadas. Sin embargo, lo más importante es que el NDPR ofrece una amplia protección de datos a los ciudadanos nigerianos.