¿Qué es POPIA – Ley de Privacidad de Datos de Sudáfrica?

Table of Contents

En julio de 2020, el Parlamento sudafricano promulgó la POPIA. Es la ley de privacidad de datos más reciente y destacada del país que rige los datos personales de los sudafricanos. Con una serie de nuevas leyes de privacidad de datos que entrarán en vigor en todo el mundo, como el GDPR y la CCPA, esta es la última incorporación, mejorando las regulaciones sudafricanas para reflejar las nuevas normas globales.

Todas las organizaciones que operan en Sudáfrica deben conocer y cumplir con los nuevos estándares. De lo contrario, corren el riesgo de incurrir en sanciones y consecuencias significativas.

¿Qué es POPIA?

La POPIA, o Ley de Protección de Datos Personales, se aprobó por primera vez en 2013. Sin embargo, después de siete años en un limbo legal, la Ley finalmente entró en vigor en julio de 2020, con un período de gracia de un año para ayudar a su cumplimiento. Peor aún, POPIA se redactó por primera vez en 2003 y pasó por numerosas iteraciones.

En su forma actual, la ley tiene como objetivo otorgar a los ciudadanos sudafricanos derechos sobre sus datos personales, incluido el derecho a corregir, acceder y eliminar cualquier información personal que una organización pueda poseer.

Además, no es necesario que las organizaciones estén ubicadas dentro de Sudáfrica para que la ley sea aplicable. De hecho, al igual que el GDPR, cualquier organización que posea datos personales de ciudadanos sudafricanos debe cumplir con POPIA.

¿Cuáles son los derechos de los interesados en virtud de la POPIA?

Al igual que otras leyes de privacidad de datos, POPIA consagra ciertos derechos inalienables para los interesados. Estos garantizan un mayor control de la recopilación, el uso y la divulgación de datos personales a las personas y aseguran una mayor transparencia por parte de las organizaciones.

De acuerdo con el Capítulo 2(5), la POPIA incluye el derecho (las declaraciones importantes se resaltan en negrita):

  1. a ser notificado de que:
    1. La información personal sobre él o ella se recopila según lo dispuesto en la sección 18; o
    2. Su información personal ha sido accedida o adquirida por una persona no autorizada según lo dispuesto en la sección 22;
  2. para establecer si una parte responsable posee información personal de ese sujeto de datos y solicitar acceso a su información personal según lo dispuesto en la sección 23;
  3. a solicitar, cuando sea necesario, la corrección, destrucción o eliminación de su información personal según lo dispuesto en la sección 24;
  4. a oponerse, por motivos razonables relacionados con su situación particular, al tratamiento de su información personal según lo dispuesto en el artículo 11(3)(a);
  5. oponerse al tratamiento de sus datos personales:
    1. en cualquier momento con fines de marketing directo en los términos de la sección 11(3)(b); o
    2. En los términos del artículo 69(3)(c);
  6. a que su información personal no sea tratada con fines de marketing directo por medio de comunicaciones electrónicas no solicitadas , salvo en los casos a que se refiere el artículo 69(1);
  7. a no ser objeto, en determinadas circunstancias, de una decisión que se base únicamente en el tratamiento automatizado de su información personal destinado a proporcionar un perfil de dicha persona según lo dispuesto en el artículo 71;
  8. presentar una queja ante el Regulador con respecto a la supuesta interferencia con la protección de la información personal de cualquier sujeto de datos o presentar una queja ante el Regulador con respecto a una determinación de un adjudicador según lo dispuesto en la sección 74; y
  9. a iniciar acciones civiles en relación con la supuesta injerencia en la protección de su información personal según lo dispuesto en el artículo 99.

En resumen, la Ley garantiza a los interesados el derecho a un consentimiento significativo para la recopilación, el uso o el acceso a sus datos. También podrán solicitar la destrucción o corrección de sus datos. Y, en circunstancias en las que se infringen sus derechos, tienen derecho a presentar una queja y demandar a la organización en cuestión.

¿Qué se consideran datos personales según la POPIA?

La mayoría de las leyes de privacidad de datos han adoptado una postura amplia a la hora de definir los datos personales. POPIA no es diferente. Aquí, incluye «cualquier tipo de información relacionada con una persona física, empresa o entidad legal similar identificable y viva».

Por ejemplo:
– Nombres, direcciones, correo electrónico o números de teléfono
– Marcadores de identidad: género, edad, etnia, orientación sexual, creencias políticas, etc.
– Datos de salud
– Identificadores en línea: cookies, direcciones IP, historial del navegador, datos de ubicación, etc.

Sanciones y aplicación en virtud de la POPIA

Según el RGPD, las sanciones económicas en las que se incurre pueden ser sustanciales. La POPIA incluye penas económicas más bajas, pero establece la posibilidad de encarcelamiento o sanciones para los culpables.

Los delitos y los incumplimientos son responsabilidad del Regulador de la Información, y es él quien administra las sanciones pecuniarias y penales.

El artículo 109 establece que la multa máxima por infracción es de 10 millones de ZAR (unos 490.000 euros). Mientras tanto, la sección 107 establece que ciertas violaciones pueden resultar en una sentencia de prisión de hasta 10 años.

Todas las quejas de los interesados deben presentarse primero ante el Regulador, quien luego se encarga de investigar el caso. Luego, el Regulador debe decidir si procede con la acción o desiste de nuevas sanciones.

Conclusión

Tras la entrada en vigor de la POPIA, una organización que opere en Sudáfrica debe garantizar su cumplimiento. Afortunadamente, aquellos que ya cumplen con el GDPR encontrarán poca diferencia entre los dos actos. De hecho, las ocho condiciones del RGPD para el tratamiento legal de datos se reflejan en POPIA.

En resumen, para garantizar que está de acuerdo con POPIA:

  1. Pida siempre un consentimiento informado y significativo.
  2. Proporcione una opción para que el consentimiento se rescinda en cualquier momento.
  3. Mantener informados a los interesados de cualquier cambio en el tratamiento de datos.
  4. Procese los datos únicamente de acuerdo con las condiciones establecidas y los derechos del interesado.

Siga estos cuatro sencillos pasos y estará la mayor parte del camino hacia el cumplimiento completo de POPIA. Para obtener más información sobre la Ley, consulte la legislación original aquí.

Fuentes:
https://popia.org/application-provisions/#S5
https://altadvisory.africa/popia/
https://popia.co.za/
https://www.payfast.co.za/blog/what-is-popia-and-how-does-it-affect-your-online-business/
https://www.tessian.com/blog/ultimate-guide-to-the-popia-south-africas-privacy-law/
https://popiachecklist.co.za/what-is-popia/
https://popia.org/directory/

Sales & Support