Salvaguardia de la privacidad y los datos personales en Chipre, GDPR
La Ley 125(I) de 2018 que establece la protección de las personas físicas en relación con el tratamiento de datos personales y la libre circulación de dichos datos o Ley 125(I) de 2018 para abreviar es una ley de privacidad de datos que se aprobó recientemente en el país de Chipre en 2018. Como Chipre es uno de los muchos países que conforman la Unión Europea, la nación cae bajo la jurisdicción del Reglamento General de Protección de Datos, o GDPR para abreviar. Como tal, la Ley 125(I) de 2018 que establece la protección de las personas físicas con respecto al procesamiento de datos personales y la libre circulación de dichos datos establece los requisitos legales que rigen la recopilación y el procesamiento de datos personales dentro de Chipre, así como los castigos que pueden imponerse contra aquellos que violen dichos requisitos.
Cuáles son las variaciones entre la Ley 125(I) de 2018 y la ley GDPR de la UE?
La Ley 125(I) de 2018 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y la ley GDPR de la UE son en gran medida idénticas en lo que respecta a los requisitos legales para la recopilación y el tratamiento de datos personales. Sin embargo, como ocurre con muchas otras leyes que se han aprobado con el fin de aplicar la ley GDPR de la UE, los dos textos legislativos varían en lo que respecta a las excepciones a estos requisitos legales. Por ejemplo, en lo que respecta a la edad legal de consentimiento para la recopilación y el tratamiento de datos, la ley GDPR de la UE fija esta edad en 16 años, mientras que los Estados miembros de la UE tienen derecho a rebajar esta edad al aplicar las disposiciones de la ley en su propia legislación nacional.
En este punto, la Ley 125(I) de 2018 que establece la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos sitúa la edad de consentimiento en relación con la recopilación y el tratamiento de datos en 13 años, mientras que todas las personas menores de 13 años solo pueden enviar sus datos personales para su recopilación o tratamiento de acuerdo con el consentimiento de sus padres o tutores legales. Por el contrario, cuando un responsable o encargado del tratamiento de datos en Chipre “pretenda transferir categorías especiales de datos personales a un destinatario en un tercer país o a una organización internacional y la transferencia prevista se base en las garantías adecuadas previstas en el artículo 46 del RGPD o en las normas corporativas vinculantes (“BCR”) previstas en el artículo 47 del RGPD, el responsable o encargado del tratamiento deberá informar al Comisario de la transferencia prevista antes de que se transfieran los datos”.
Por otra parte, mientras que la ley GDPR de la UE ordena que las organizaciones y empresas realicen Evaluaciones de Impacto de Protección de Datos o DPIA en los casos en que el procesamiento de datos es “probable que cree un alto riesgo para los derechos y libertades de las personas afectadas”, la ley permite a los estados miembros definir las actividades que podrían conducir a tales riesgos. Como tal, bajo la Ley 125 (I) de 2018, las siguientes actividades requieren una DPIA, así como una consulta previa con la Oficina del Comisionado para la Protección de Datos Personales o el Comisionado para abreviar:
- “Medidas para limitar, total o parcialmente, los derechos mencionados en los artículos 12, 18, 19 y 20 del GDPR (artículo 11 de la Ley);
- Exención de la responsabilidad de notificación de violación de datos (artículo 12 de la Ley);
- Transferencias de datos personales a terceros países u organizaciones internacionales (artículo 17 de la Ley);
- La combinación de sistemas de archivo que afecten a categorías especiales de datos personales o datos relativos a condenas penales o que deban utilizarse con un número de tarjeta de identificación o cualquier otra información de identidad de aplicación general (artículo 10 de la Ley); y
- La promulgación de leyes o reglamentos de aplicación de una ley, que prevean un acto o una serie de actos particulares de tratamiento de datos personales (artículo 13 de la Ley).”
¿Cuáles son las sanciones por violar la Ley 125(I) de 2018?
La Ley 125(I) de 2018 es aplicada por el Comisionado, quien tiene la autoridad para imponer una variedad de castigos y sanciones contra individuos y organizaciones que no cumplan con la ley al recopilar o procesar datos personales. “Además de las multas administrativas, la Ley crea una serie de delitos penales por la violación de ciertos artículos de la Ley y del GDPR (es decir, los artículos 30, 31, 33(1)(2), 34, 35(1), 42, Capítulo V, etc.), punibles en primera condena con prisión de uno a cinco años y/o una multa que oscila entre 10.000 y 50.000 euros, dependiendo del delito (artículo 33 de la Ley).” Además, los infractores de la ley también se enfrentan a multas monetarias que van desde una multa de hasta 10 millones de euros o hasta el 2% del volumen de negocios total anual global del ejercicio financiero anterior de una empresa, según cuál sea la cantidad más alta, hasta una multa de hasta 20 millones de euros o hasta el 4% del volumen de negocios total anual global del ejercicio financiero anterior de una empresa, según cuál sea la cantidad más alta.
Mediante la promulgación de la Ley 125(I) de 2018, por la que se establece la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos de conformidad con las disposiciones del GDPR de la UE, se garantizaron aún más los derechos de protección de datos y privacidad personal de los ciudadanos chipriotas. A través de la aprobación de dicha legislación, los Estados miembros de la Unión Europea han sido capaces de introducir un nivel de privacidad y protección de datos que sigue siendo inigualable en todo el mundo, ya que el marco jurídico que ha sido establecido por la ley GDPR de la UE representa un obstáculo importante para cualquier individuo u organización que esté tratando de hacer mal uso de los datos personales de los ciudadanos europeos.