Ley de Protección de Datos Personales (Sri Lanka)

La Ley de Protección de Datos Personales, Nº 9 de 2022 (abreviada PDPA ) es una ley integral de protección de datos promulgada para regular el procesamiento de datos personales en Sri Lanka . ^[1] La Ley tiene como objetivo proteger la privacidad de las personas, establecer derechos para los titulares de los datos e imponer obligaciones a los controladores y procesadores de datos.

Fondo

La ley fue aprobada por el Parlamento de Sri Lanka en 2022 ^[2] para abordar la creciente necesidad de protección de datos en la era digital. Está diseñada para salvaguardar los datos personales y, al mismo tiempo, permitir actividades legítimas de procesamiento de datos.

Características principales

Ámbito de aplicación

La Ley se aplica al tratamiento de datos personales:

• Totalmente o parcialmente dentro de Sri Lanka
• Por controladores o procesadores domiciliados o establecidos en Sri Lanka
• Relacionado con la oferta de bienes o servicios a los interesados ​​en Sri Lanka
• Implicación del seguimiento del comportamiento de los interesados ​​en Sri Lanka

Autoridad de Protección de Datos

La Ley establece la Autoridad de Protección de Datos de Sri Lanka como el principal organismo regulador responsable de hacer cumplir la ley y promover las prácticas de protección de datos.

Derechos de los interesados

La Ley otorga varios derechos a los interesados, entre ellos:

• Derecho de acceso a los datos personales
• Derecho de rectificación de datos inexactos
• Derecho de supresión ("derecho al olvido")
• Derecho a oponerse al tratamiento
• Derecho a retirar el consentimiento
• Derecho a revisar la toma de decisiones automatizada

Obligaciones de los responsables y encargados del tratamiento de datos

Las obligaciones clave incluyen:

• Garantizar el tratamiento lícito de los datos personales
• Implementación de programas de gestión de protección de datos
• Realización de evaluaciones de impacto de la protección de datos en determinados casos
• Designación de Delegados de Protección de Datos en circunstancias específicas
• Notificación a la Autoridad y a las personas afectadas de violaciones de datos personales

Transferencias transfronterizas de datos

La Ley regula la transferencia de datos personales fuera de Sri Lanka, exigiendo medidas de protección adecuadas o el cumplimiento de condiciones específicas.

Categorías especiales de datos personales

La Ley proporciona protecciones adicionales para datos personales sensibles, incluidos datos que revelen el origen racial o étnico, opiniones políticas, creencias religiosas, datos de salud y datos biométricos.

Sanciones

La Ley faculta a la Autoridad a imponer sanciones por incumplimiento:

• En el primer caso de incumplimiento se podrá imponer una multa que no excederá de diez millones de rupias .
• Por incumplimientos posteriores, se podrá imponer una sanción adicional igual al doble del importe impuesto por el incumplimiento anterior.

La Autoridad considera varios factores al determinar las sanciones, incluida la naturaleza y duración de la infracción, el número de interesados ​​afectados y las medidas adoptadas para mitigar los daños.

Cronograma de implementación

La ley se está implementando en fases:

1. 17 de julio de 2023: entró en vigor la Parte V (que establece la Autoridad de Protección de Datos). ^[3]
2. 1 de diciembre de 2023: Entraron en vigor las Partes VI (Director General y personal de la Autoridad), VIII (Fondo de la Autoridad), IX (Varios) y X (Interpretación). ^[4]
3. 18 de marzo de 2025: Entrarán en vigor las Partes I (Preliminares), II (Derechos de los Titulares de los Datos), III (Responsables y Encargados del Tratamiento) y VII (Sanciones). ^[4]

Esta implementación por fases permite que las organizaciones y el gobierno tengan tiempo para prepararse para el cumplimiento total.

Impacto y trascendencia

La Ley de Protección de Datos Personales representa un paso importante en el marco de gobernanza digital de Sri Lanka. Armoniza el régimen de protección de datos de Sri Lanka con las normas internacionales, lo que podría facilitar los flujos de datos transfronterizos y el comercio digital. Se espera que la Ley mejore la confianza en las transacciones y los servicios digitales y promueva prácticas responsables de manejo de datos en los sectores público y privado.

Véase también

• Ley de seguridad en línea (Sri Lanka)
• Reglamento General de Protección de Datos
• Privacidad de la información
• Ley de privacidad

Referencias

1. "Ley de Protección de Datos Personales, Nº 9 de 2022" (PDF) . Parlamento de Sri Lanka . 19 de marzo de 2022.
2. "Se aprueba el proyecto de ley de protección de datos personales con modificaciones". News First . 9 de marzo de 2022.
3. "Boletín Oficial No. 2341/59" (PDF) . documents.gov.lk . 19 de julio de 2022.
4. "Gaceta No. 2366/08" (PDF) . documents.gov.lk . 29 de diciembre de 2023.