La Ley de Protección de Datos Personales, Nº 9 de 2022 (abreviada PDPA ) es una ley integral de protección de datos promulgada para regular el procesamiento de datos personales en Sri Lanka . [1] La Ley tiene como objetivo proteger la privacidad de las personas, establecer derechos para los titulares de los datos e imponer obligaciones a los controladores y procesadores de datos.
Fondo
La ley fue aprobada por el Parlamento de Sri Lanka en 2022 [2] para abordar la creciente necesidad de protección de datos en la era digital. Está diseñada para salvaguardar los datos personales y, al mismo tiempo, permitir actividades legítimas de procesamiento de datos.
Características principales
Ámbito de aplicación
La Ley se aplica al tratamiento de datos personales:
- Totalmente o parcialmente dentro de Sri Lanka
- Por controladores o procesadores domiciliados o establecidos en Sri Lanka
- Relacionado con la oferta de bienes o servicios a los interesados en Sri Lanka
- Implicación del seguimiento del comportamiento de los interesados en Sri Lanka
Autoridad de Protección de Datos
La Ley establece la Autoridad de Protección de Datos de Sri Lanka como el principal organismo regulador responsable de hacer cumplir la ley y promover las prácticas de protección de datos.
Derechos de los interesados
La Ley otorga varios derechos a los interesados, entre ellos:
- Derecho de acceso a los datos personales
- Derecho de rectificación de datos inexactos
- Derecho de supresión ("derecho al olvido")
- Derecho a oponerse al tratamiento
- Derecho a retirar el consentimiento
- Derecho a revisar la toma de decisiones automatizada
Obligaciones de los responsables y encargados del tratamiento de datos
Las obligaciones clave incluyen:
- Garantizar el tratamiento lícito de los datos personales
- Implementación de programas de gestión de protección de datos
- Realización de evaluaciones de impacto de la protección de datos en determinados casos
- Designación de Delegados de Protección de Datos en circunstancias específicas
- Notificación a la Autoridad y a las personas afectadas de violaciones de datos personales
Transferencias transfronterizas de datos
La Ley regula la transferencia de datos personales fuera de Sri Lanka, exigiendo medidas de protección adecuadas o el cumplimiento de condiciones específicas.
Categorías especiales de datos personales
La Ley proporciona protecciones adicionales para datos personales sensibles, incluidos datos que revelen el origen racial o étnico, opiniones políticas, creencias religiosas, datos de salud y datos biométricos.
Sanciones
La Ley faculta a la Autoridad a imponer sanciones por incumplimiento:
- En el primer caso de incumplimiento se podrá imponer una multa que no excederá de diez millones de rupias .
- Por incumplimientos posteriores, se podrá imponer una sanción adicional igual al doble del importe impuesto por el incumplimiento anterior.
La Autoridad considera varios factores al determinar las sanciones, incluida la naturaleza y duración de la infracción, el número de interesados afectados y las medidas adoptadas para mitigar los daños.
Cronograma de implementación
La ley se está implementando en fases:
- 17 de julio de 2023: entró en vigor la Parte V (que establece la Autoridad de Protección de Datos). [3]
- 1 de diciembre de 2023: Entraron en vigor las Partes VI (Director General y personal de la Autoridad), VIII (Fondo de la Autoridad), IX (Varios) y X (Interpretación). [4]
- 18 de marzo de 2025: Entrarán en vigor las Partes I (Preliminares), II (Derechos de los Titulares de los Datos), III (Responsables y Encargados del Tratamiento) y VII (Sanciones). [4]
Esta implementación por fases permite que las organizaciones y el gobierno tengan tiempo para prepararse para el cumplimiento total.
Impacto y trascendencia
La Ley de Protección de Datos Personales representa un paso importante en el marco de gobernanza digital de Sri Lanka. Armoniza el régimen de protección de datos de Sri Lanka con las normas internacionales, lo que podría facilitar los flujos de datos transfronterizos y el comercio digital. Se espera que la Ley mejore la confianza en las transacciones y los servicios digitales y promueva prácticas responsables de manejo de datos en los sectores público y privado.
Véase también
Referencias
- ^ "Ley de Protección de Datos Personales, Nº 9 de 2022" (PDF) . Parlamento de Sri Lanka . 19 de marzo de 2022.
- ^ "Se aprueba el proyecto de ley de protección de datos personales con modificaciones". News First . 9 de marzo de 2022.
- ^ "Boletín Oficial No. 2341/59" (PDF) . documents.gov.lk . 19 de julio de 2022.
- ^ ab "Gaceta No. 2366/08" (PDF) . documents.gov.lk . 29 de diciembre de 2023.