Un nuevo estándar del protección de datos en Guernsey

La Ley de Protección de Datos (Bailía de Guernsey) de 2017, también conocida como Ley de Protección de Datos para abreviar, es una política integral de protección de la privacidad de los datos que se aprobó en 2017. Aunque la isla de Guernsey es una dependencia de la Corona del Reino Unido, no forma parte formalmente del país ni de la Unión Europea y, como tal, no entra dentro de la jurisdicción del Reglamento General de Protección de Datos ni de la ley GDPR del Reino Unido. Como tal, la isla necesitaba una legislación que protegiera los datos personales de sus ciudadanos, ya que la recopilación y el tratamiento de datos personales son fundamentales para el éxito de la economía de Guernsey. Con este fin, la Ley de Protección de Datos forja las bases jurídicas sobre las que se pueden recoger, procesar, almacenar, utilizar o divulgar datos legalmente en la isla. Además, la ley también establece diversas sanciones que pueden imponerse a las personas u organizaciones que incumplan la ley.

¿Cómo se definen los responsables y encargados del tratamiento en la Ley de Protección de Datos?

Según la Ley de Protección de Datos, los responsables del tratamiento se definen como “cualquier persona que, por sí sola o conjuntamente con otras personas, determine los fines para los que se traten o vayan a tratarse datos personales, así como la forma en que se llevará a cabo dicho tratamiento”. A la inversa, la ley define al encargado del tratamiento como “cualquier persona, distinta de un empleado del responsable del tratamiento, que trate datos personales por cuenta del responsable del tratamiento”. Además, los datos personales se definen como datos “relativos a una persona viva que pueda ser identificada a partir de esos datos o de esos datos y otra información que obre o pueda obrar en poder del responsable del tratamiento”.

En lo que respecta al alcance y la aplicación de la Ley de protección de datos, el ámbito personal de la ley protege los llamados datos personales que se recogen o tratan en relación con los ciudadanos de Guernsey. Por otra parte, el ámbito territorial de la ley se aplica no sólo a los responsables y encargados del tratamiento de datos que operan dentro de la isla de Guernsey, sino a todas las islas con la Bailía de Guernsey. Aunque la isla de Guernesey no forma parte del Reino Unido, sí forma parte de las islas mayores de la Chanel inglesa, que incluyen tres subjurisdicciones, Guernesey, Alderney y Sark, conocidas colectivamente como la Bailía de Guernesey. Como tal, las disposiciones de la Ley de Protección de Datos son aplicables no sólo a la isla de Guernsey, sino también a toda la Bailía de Guernsey.

¿Cuáles son los requisitos que la Ley de Protección de Datos impone a los responsables y encargados del tratamiento?

Dado que el objetivo de la promulgación de la Ley de Protección de Datos era proporcionar a los ciudadanos residentes en la Bailía de Guernsey un nivel de protección de datos y privacidad equiparable al de la ley GDPR de la UE, la Ley de Protección de Datos también establece varios principios que los controladores y procesadores de datos que operan en el territorio deben cumplir en todo momento. Estos principios incluyen:

• Legalidad, imparcialidad y transparencia– Todos los datos personales que se recopilen o procesen deben hacerse de forma justa, legal y transparente.
• Limitación de la finalidad– Todos los datos personales que se recojan y procesen deben utilizarse únicamente para fines específicos, legítimos y explícitos.
• Minimización de datos– Todos los datos personales que se recojan y traten deben ser adecuados, pertinentes y limitados a los fines para los que se recogieron o trataron.
• Exactitud– Todos los datos personales que se recojan o traten deben ser exactos, así como mantenerse actualizados cuando sea necesario. Los responsables y encargados del tratamiento son responsables de garantizar que los datos personales que obren en su poder y que resulten ser inexactos se rectifiquen o supriman sin dilación indebida.
• Limitación de almacenamiento– Todos los datos personales que se recojan y traten deben conservarse en una forma que permita la identificación de los interesados relacionados, durante un periodo de tiempo no superior al necesario para lograr los fines para los que se recogieron o trataron dichos datos.
• Integridad y confidencialidad– Los datos personales deben recogerse y tratarse de forma que se garantice que dichos datos están protegidos adecuadamente, incluida la protección contra daños, acceso o uso no autorizados, recogida o tratamiento ilícitos y destrucción.
• Rendición de cuentas– Los responsables y encargados del tratamiento son responsables de respetar los principios antes enunciados.

¿Cuáles son los derechos de los interesados en virtud de la Ley de Protección de Datos?

En virtud de la Ley de Protección de Datos, los interesados que residen en la Bailía de Guernsey tienen los siguientes derechos en materia de protección de datos y privacidad personal:

• Derecho a ser informado.
• Derecho de acceso.
• Derecho de supresión.
• Derecho de oposición o exclusión voluntaria.
• Derecho a la portabilidad de los datos.
• Derecho a no ser objeto de decisiones automatizadas.

En cuanto a las sanciones relacionadas con el incumplimiento de la ley, la Ley de Protección de Datos es aplicada por la Oficina de la Autoridad de Protección de Datos o la ODPA para abreviar. Como tal, la ODPA está autorizada a imponer una variedad de penalizaciones monetarias y sanciones administrativas contra los controladores y procesadores de datos que no se adhieran a las disposiciones establecidas en la Ley de Protección de Datos. Para ilustrar la gravedad potencial de tales consecuencias, la ODPA multó a un responsable del tratamiento de datos que operaba en Guernsey con 80.000 libras (107.776 dólares) en septiembre de 2020 por “falta de transparencia en relación con el tratamiento de datos personales publicados en un directorio público e incumplimiento del principio de exactitud”.

Dado que la isla de Guernsey tiene un estatus un tanto único debido a su clasificación como Dependencia de la Corona del Reino Unido, el territorio necesitaba una ley de protección de datos que garantizara a los ciudadanos de la región la protección de sus datos personales y su privacidad. Esto se logró con la aprobación de la Ley de Protección de Datos en 2017, ya que tiene muchas disposiciones que son similares a la ley GDPR del Reino Unido. De este modo, los ciudadanos que residen en la Bailía de Guernsey pueden estar seguros de que sus datos personales están protegidos en todo momento cuando realizan negocios o contratan servicios.