Entra oficialmente en vigor el decreto sobre protección de datos personales

El Decreto n.º 13/2023/ND-CP es el primer documento legal en Vietnam que utiliza oficialmente el concepto de datos personales y regula la obligación de protegerlos para las entidades que recopilan y procesan datos personales. (Foto ilustrativa: Reuters)

Hoy (1 de julio) entró en vigor oficialmente el Decreto No. 13/2023/ND-CP del Gobierno sobre protección de datos personales, creando un corredor legal para proteger eficazmente los datos personales en Vietnam, minimizando los riesgos y las consecuencias de las infracciones de datos personales.

El Decreto fue emitido por el Gobierno el 17 de abril de 2023 con muchas regulaciones estrictas sobre la protección de datos y la responsabilidad de proteger los datos personales de las agencias, organizaciones e individuos relevantes.

¿Qué incluyen los datos personales?

El Decreto establece claramente que los datos personales son informaciones en forma de símbolos, letras, números, imágenes, sonidos o formas similares en el entorno electrónico que se asocian a una persona determinada o que ayudan a identificar a una persona determinada.

Los datos personales incluyen datos personales básicos y datos personales sensibles.

Los datos personales básicos incluyen: apellido, segundo nombre y nombre de nacimiento, otros nombres (si los hay); fecha de nacimiento; fecha de muerte o desaparición; género; lugar de nacimiento, lugar de registro de nacimiento, residencia permanente, residencia temporal, residencia actual, ciudad de origen, dirección de contacto; nacionalidad; imagen personal; número de teléfono, número de documento de identidad, número de identificación personal, número de pasaporte, número de licencia de conducir, número de matrícula, número de código tributario personal, número de seguro social, número de tarjeta de seguro médico ; estado civil; información sobre relaciones familiares (padres, hijos); información sobre cuentas digitales personales; datos personales que reflejan actividades e historial de actividades en el ciberespacio...

Los datos personales sensibles están estrechamente relacionados con la privacidad de las personas, cuya vulneración afectará directamente sus derechos e intereses legítimos. Por ejemplo, opiniones políticas y religiosas; estado de salud; origen racial y étnico; características genéticas; características biológicas únicas; vida sexual; datos de ubicación; datos sobre delitos y actos delictivos recopilados y almacenados por las fuerzas del orden; información de clientes de entidades crediticias...

Actos prohibidos

La protección de datos personales es la actividad de prevenir, detectar, detener y tratar las violaciones relacionadas con los datos personales de acuerdo con las disposiciones de la ley.

El artículo 8 del Decreto estipula los actos prohibidos, entre ellos: el procesamiento de datos personales en contravención de las disposiciones de la ley sobre protección de datos personales; el procesamiento de datos personales para crear información y datos contra la República Socialista de Vietnam; el procesamiento de datos personales para crear información y datos que afecten la seguridad nacional, el orden social y la seguridad, y los derechos e intereses legítimos de otras organizaciones e individuos.

El Decreto también prohíbe los actos de obstrucción a las actividades de protección de datos personales de las autoridades competentes, así como aprovechar las actividades de protección de datos personales para violar la ley.

Casos de tratamiento de datos personales sin el consentimiento del interesado

El artículo 17 del Decreto estipula los casos de procesamiento de datos personales sin el consentimiento del titular de los datos, incluidos: casos de emergencia, cuando es necesario procesar inmediatamente datos personales relevantes para proteger la vida y la salud del titular de los datos o de otras personas; y la divulgación de datos personales de conformidad con las disposiciones de la ley.

Junto con esto, está el caso del procesamiento de datos por los organismos estatales competentes en un estado de excepción con respecto a la defensa nacional, la seguridad nacional, el orden social y la seguridad, grandes desastres, epidemias peligrosas; cuando hay una amenaza a la seguridad nacional y la defensa, pero no hasta el punto de declarar un estado de emergencia; prevención y combate de disturbios, terrorismo, prevención y combate de delitos y violaciones de la ley de acuerdo con las disposiciones de la ley.

Además, el responsable y el encargado del tratamiento de datos personales también podrán tratar datos personales sin el consentimiento del titular de los datos para cumplir con las obligaciones contractuales del titular de los datos con las agencias, organizaciones e individuos pertinentes según lo prescrito por la ley; así como en el caso de atender las actividades de las agencias estatales según lo prescrito por leyes especializadas.

Se debe verificar la edad de los niños antes de procesar sus datos personales.

El Decreto establece que el tratamiento de datos personales de los niños se realiza siempre de conformidad con el principio de protección de los derechos y en el interés superior del niño.

En consecuencia, el tratamiento de datos personales de niños deberá contar con el consentimiento del niño en los casos en que éste tenga 7 años o más y cuente con el consentimiento del padre o tutor según lo prescrito, excepto en el caso especificado en el artículo 17.

Los responsables del tratamiento de datos personales, los encargados del tratamiento de datos personales, los responsables y encargados del tratamiento de datos personales y los terceros deben verificar la edad de los niños antes de procesar sus datos personales.

El Decreto también prevé una serie de casos en los que las partes deben dejar de procesar datos personales de los niños, eliminar irreversiblemente o destruir dichos datos personales (excepto que la ley disponga lo contrario).

En concreto, en los casos en que el tratamiento de datos no sea para la finalidad prevista o haya cumplido la finalidad del tratamiento de datos personales con el consentimiento del interesado; el padre o tutor del niño retira el consentimiento para el tratamiento de los datos personales del niño; o a petición de una autoridad competente cuando existan pruebas suficientes para demostrar que el tratamiento de datos personales afecta a los derechos e intereses legítimos del niño.