Uzbekistán, reforzando los derechos de privacidad de sus ciudadanos

La Ley de Uzbekistán del 2 de julio de 2019 No. ЗРУ-547 sobre datos personales, también conocida como Ley de Datos Personales, es una normativa de protección de datos y privacidad personal aprobada recientemente en Uzbekistán en 2019. Antes de la aprobación de la Ley de Datos Personales la principal regulación relativa a la protección de los datos personales y la privacidad era la Ley de Uzbekistán del 24 de abril de 1994 No. 400-I sobre garantías y libertad de acceso a la información. La Ley de Datos Personales fue aprobada con el fin de alinear la legislación sobre protección de datos y privacidad en Uzbekistán con las normas más actuales. En este sentido, la normativa establece el marco legislativo al que deben atenerse en todo momento los responsables y encargados de datos dentro del país.

¿Cómo se definen los términos “responsable de datos” y “encargado de datos” según la Ley de Datos Personales?

A diferencia de muchas otras políticas de privacidad en el mundo, la Ley de Datos Personales de Uzbekistán no proporciona una definición específica del término “responsable de datos”. En su lugar, la ley utiliza el término “propietario de una base de datos” y lo define como: “un organismo estatal, individuo y/o entidad jurídica que tiene derecho a poseer, utilizar y disponer de la base de datos personales”. Asimismo, la Ley de Datos Personales tampoco ofrece una definición específica del término “encargado de datos” y en su lugar utiliza el término “operador”, el cual define como: “un organismo estatal, individuo y/o entidad jurídica que procesa datos personales”. Además, la normativa define “datos personales” como: “La información registrada en soporte electrónico, papel u otro medio tangible de expresión que se refiera a un individuo determinado o que permita su identificación.”.

En cuanto al alcance y la aplicación de la Ley de Datos Personales, el ámbito de aplicación personal de la ley se extiende a: “las relaciones derivadas del tratamiento y la protección de los datos personales”, incluida la recogida y el tratamiento de datos personales por parte de los propietarios de las bases de datos y los operadores, respectivamente. Por otra parte, la Ley de Datos Personales no define específicamente ningún ámbito de aplicación territorial de la ley, ya que esta sólo establece explícitamente los requisitos y responsabilidades de los propietarios de bases de datos y operadores que realizan actividades de tratamiento de datos dentro de Uzbekistán. Por otra parte, el ámbito de aplicación material de la ley abarca las siguientes actividades de tratamiento de datos:

• la recogida de datos personales
• la sistematización de datos personales
• el almacenamiento de datos personales
• la modificación de datos personales
• la suplementación de datos personales
• el uso de datos personales
• el suministro de datos personales
• la distribución de datos personales
• la transferencia de datos personales
• la despersonalización de datos personales
• el borrado de datos personales

¿Con qué requisitos deben cumplir los propietarios y operadores de bases de datos según la Ley de Datos Personales?

En virtud de la Ley de Datos Personales de Uzbekistán, los propietarios y operadores de bases de datos deben adherirse a los siguientes principios en relación con la recogida y el tratamiento de datos personales:

• legalidad
• exactitud
• fiabilidad
• confidencialidad
• seguridad

Además, los propietarios y operadores de bases de datos son responsables de cumplir con las siguientes obligaciones en materia de protección de datos:

• Cumplir con la legislación sobre datos personales.
• Proporcionar información sobre el tratamiento de los datos personales del interesado cuando este lo solicite.
• Garantizar que el contenido de los datos personales es necesario y suficiente para realizar las tareas para las que se recogen o tratan dichos datos.
• Tomar medidas para borrar los datos personales de los interesados a petición de estos.
• Proporcionar pruebas del consentimiento de los interesados para el tratamiento de sus datos personales a petición de estos.
• Suspender temporalmente el tratamiento de los datos personales o borrarlos en su totalidad si se revela información que demuestre que se ha producido una violación de la ley en relación con el tratamiento de los datos.
• Ofrecer a los interesados la posibilidad de presentar sus documentos en formato electrónico para suspender temporalmente el tratamiento de sus datos personales o borrarlos.
• Notificar por escrito a los interesados, así como a otros participantes en el proceso de tratamiento de datos, en caso de que los datos personales se modifiquen, borren o se restrinja su acceso.
• Notificar por escrito a los interesados en caso de que sus datos personales se compartan con un tercero.
• Adoptar las medidas organizativas, técnicas y jurídicas necesarias para garantizar la protección de los datos personales en todo momento.

¿Cuáles son los derechos de los interesados según la Ley de Datos Personales?

La Ley de Datos Personales de Uzbekistán garantiza a los interesados los siguientes derechos en relación con la protección de su información personal:

• derecho a ser informado
• derecho de acceso
• derecho de rectificación
• derecho de supresión
• derecho de oposición/exclusión
• derecho a no ser objeto de decisiones automatizadas

En cuanto a las sanciones por incumplimiento de la normativa, la Ley de Datos Personales se aplica a través del Código de Responsabilidad Administrativa de Uzbekistán No. 2015-XII del 22 de septiembre de 1994. Según dicha legislación, los propietarios y operadores de bases de datos que incumplan lo regulado se exponen a una sanción monetaria que oscila entre 10 y 100 sum (entre 231 y 2273 dólares), a una pena de trabajo correccional de hasta tres años y a una pena de prisión de hasta tres años. En la misma línea, las siguientes acciones se consideran violaciones de la ley:

• acciones cometidas por conspiración previa en nombre de un grupo de personas
• acciones cometidas de forma reiterada o por un “reincidente peligroso”
• acciones cometidas como resultado de “motivos mercenarios o de otra índole”
• acciones cometidas valiéndose de la posición oficial de un individuo
• acciones cometidas que conlleven graves consecuencias

Mediante la aprobación de la Ley de Uzbekistán del 2 de julio de 2019 No. ЗРУ-547 sobre datos personales, el país pudo modernizar significativamente su legislación sobre protección de datos y privacidad. Si bien la ley define la recopilación y procesamiento de datos personales utilizando términos diferentes a los de muchas otras leyes de privacidad de datos, las disposiciones de la ley están, sin embargo, en gran medida a la par con otras leyes de privacidad que se han aprobado en los últimos años. De este modo, Uzbekistán se ha sumado a la lista de países asiáticos que han aprobado recientemente leyes integrales de protección de datos, como la Ley de Protección de la Información Personal de Corea del Sur y el Proyecto de Ley de Protección de Datos Personales de la India.