Un marco legislativo innovador para la privacidad en Benín
November 22, 2024 | 7 minutes read
La Ley nº 2009-09 de 22 de mayo de 2009, relativa a la protección de la información de identificación personal, también conocida como la Ley para abreviar, es una ley de privacidad de datos que se aprobó en Benín en 2009. Como uno de los numerosos países de todo el mundo que se han inspirado en el emblemático Reglamento General de Protección de Datos de la Unión Europea o GDPR, el Código Digital de Benín, una ley de telecomunicaciones y ciberseguridad, promulgó la ley GDPR de la UE para complementar la Ley nº 2009-09 de 22 de mayo de 2009, relativa a la protección de la información de identificación personal. Como tal, la Ley establece la base jurídica para que los datos personales puedan ser recogidos y procesados en Benín, así como los principios que los individuos y las organizaciones deben seguir al recoger o procesar datos personales.
¿Cómo se definen en la Ley los responsables y encargados del tratamiento de datos?
En virtud de la Ley nº 2009-09, de 22 de mayo de 2009, relativa a la protección de datos de identificación personal, un responsable del tratamiento se define como una persona física que “controla los procedimientos y la finalidad del uso de los datos. Los responsables del tratamiento están obligados a presentar un informe anual a la APDP sobre el cumplimiento de los principios de tratamiento”. Por el contrario, la Ley define al encargado del tratamiento como “la persona, empresa u otro organismo que trate datos personales por cuenta del responsable del tratamiento”. Además, los datos personales se definen como “cualquier información sobre una persona física identificada o identificable”. Hace referencia directa al sonido y a la imagen. Además, la APDP considera que esta definición se aplica a los datos de una autoridad individual fallecida”.
En lo que respecta al ámbito de aplicación de la Ley nº 2009-09, de 22 de mayo de 2009, relativa a la protección de datos de carácter personal, el ámbito de aplicación personal de la ley se aplica a todas las personas jurídicas, agencias o autoridades públicas, o cualquier otro organismo que recopile o procese datos personales, independientemente de que dicha recopilación o procesamiento se realice a través de un tercero o no. Por otra parte, el ámbito territorial de la ley se aplica a todos los responsables y encargados del tratamiento de datos dentro de Benín, incluidas las principales redes sociales y empresas fintech. Además, el ámbito material de la ley se aplica a toda recogida, tratamiento, almacenamiento, uso y transmisión de datos personales, con ciertas excepciones, como los datos personales que se tratan en el contexto de la oferta de servicios de gestión de personal.
¿Cuáles son las responsabilidades de los responsables y encargados del tratamiento en virtud de la ley?
El Código Digital de Benín establece los siguientes principios de protección de datos a través de la Ley nº 2009-09 de 22 de mayo de 2009, relativa a la protección de la información de identificación personal:
- Todos los datos personales que se recopilen y traten deben hacerse de forma leal, así como de conformidad con la finalidad para la que se recopilaron o trataron dichos datos personales.
- Los responsables y encargados del tratamiento recopilan y tratan los datos personales de forma transparente. Al hacerlo, ambas partes son responsables de proporcionar a los interesados información clara, vinculante y comprensible sobre la recogida y el tratamiento de sus datos personales.
- Debe mantenerse la confidencialidad de todos los datos personales que se recojan y traten, especialmente en los casos en que la recogida o el tratamiento de datos personales se realice mediante la transmisión de datos personales a través de una red de datos.
- Los responsables y encargados del tratamiento deben “cumplir los requisitos (por ejemplo, el responsable del tratamiento debe garantizar la actualización diaria de los datos, rectificar o suprimir los datos inexactos e incompletos) exigidos por la legislación para su tratamiento”.
Como la Ley nº 2009-09, de 22 de mayo de 2009, relativa a la protección de datos de identificación personal, contiene muchas disposiciones similares a la ley GDPR de la UE que se adaptaron para ajustarse a las necesidades de protección de datos de Benín, la ley también exige que los responsables y encargados del tratamiento proporcionen a los interesados notificaciones de tratamiento de datos, así como notificación de violación de datos en caso de que se produzca una violación de datos. Además, los controladores y procesadores de datos también son responsables de mantener registros detallados de procesamiento de datos, así como de seguir los requisitos específicos establecidos por la ley en lo que respecta a la recopilación y el procesamiento de categorías especiales de datos personales, así como de datos de niños. Las organizaciones y agencias que recogen y procesan datos personales están obligadas a nombrar a un responsable de la protección de datos o RPD en determinadas circunstancias.
¿Cuáles son los derechos de los interesados en virtud de la Ley nº 2009-09, de 22 de mayo de 2009, relativa a la protección de datos de identificación personal?
En virtud de la Ley nº 2009-09, de 22 de mayo de 2009, relativa a la protección de datos de carácter personal, los ciudadanos benineses tienen los siguientes derechos con respecto a la protección de sus datos personales y su intimidad:
- Derecho a obtener una copia de sus datos personales en un formato claro, así como cualquier otra información relativa al origen de dichos datos personales.
- Derecho a retirar en cualquier momento su consentimiento para el tratamiento de sus datos personales.
- Derecho a oponerse al tratamiento de sus datos personales con fines o por motivos lícitos.
- Derecho a oponerse al tratamiento de sus datos personales con fines comerciales.
- Derecho a solicitar la rectificación o supresión de sus datos personales cuando se compruebe que son incompletos o inexactos.
- Derecho a no ser objeto de decisiones de tratamiento de datos basadas en un tratamiento automatizado, siempre que dichas decisiones supongan un perjuicio o riesgo significativo para el interesado.
- Derecho a que se suprima de los registros la información pública que le concierna, también conocido como derecho al olvido.
- El derecho a obtener una indemnización por daños y perjuicios de un responsable o encargado del tratamiento en caso de violación de los datos que haya causado “un daño material o moral a una persona”.
En cuanto a las sanciones que pueden imponerse como resultado del incumplimiento de las normas establecidas por la ley, la Ley nº 2009-09, de 22 de mayo de 2009, relativa a la protección de la información de identificación personal es aplicada por la Autoridad Beninesa de Protección de Datos o APDP para abreviar. Como tal, la APDP está autorizada a imponer las siguientes sanciones:
- Una sanción económica.
- Un requerimiento judicial para que cese la recogida o el tratamiento de datos personales.
- La retirada temporal o definitiva de las autorizaciones que la ley concede a los responsables y encargados del tratamiento.
- El bloqueo de determinados datos personales.
El Código Digital de Benín y, por extensión, la Ley nº 2009-09 de 22 de mayo de 2009, relativa a la protección de la información de identificación personal, está considerado como uno de los instrumentos jurídicos más innovadores y sofisticados en materia de protección de datos personales en África. Como tal, Benín forma parte de un puñado de países africanos que han estado liderando el camino para la aplicación de una legislación integral de protección de datos en todo el continente, incluida la Ley de Protección de Datos de Kenia de 2019 y la Ley de Protección de Datos de Ghana. Con este fin, los ciudadanos de Benín gozan de un nivel de protección de datos que sigue siendo en gran medida inigualable no solo en su región, sino en todo el mundo.