Derecho internacional sobre protección de datos personales y sugerencias para Vietnam

Como uno de los países con mayor velocidad de desarrollo y aplicación de Internet en el mundo, con casi el 80% de su población usándolo, los datos personales de 2/3 de la población de Vietnam se almacenan, publican, comparten y recopilan en el ciberespacio en muchas formas diferentes. y niveles de detalle.

En 2022 y 2023, Vietnam procesó cinco casos penales en los que se compraron y vendieron miles de GB de datos y miles de millones de información personal. Esto demuestra que es urgente mejorar la ley de protección de datos personales basándose en investigaciones y referencias al derecho internacional.

Derecho internacional sobre protección de datos personales.

El RGPD se considera un importante paso legal hacia adelante, ya que crea el mecanismo de protección de información personal más estricto del mundo actual.

Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE). El RGPD se considera un importante paso legal, ya que crea el mecanismo de protección de información personal más estricto del mundo en la actualidad y es aplicable a todas las organizaciones y empresas que procesan datos personales de personas en la UE.

GDPR aplica sanciones uniformes por violaciones corporativas en todo el bloque. En concreto, la multa es de un máximo del 2% de los ingresos o 10 millones de euros para infracciones leves, y del 4% de los ingresos o 20 millones de euros para infracciones graves. Además de las multas, las empresas que violen el RGPD también pueden estar sujetas a otras sanciones, como verse obligadas a detener las actividades de procesamiento de datos o eliminar datos que hayan sido procesados ​​en violación del RGPD.

La autoridad de protección de datos personales de la UE es el Supervisor de Protección de Datos de la UE (SEPD), un organismo independiente formado por abogados, expertos en TI y administradores experimentados.

Esta agencia tiene la función principal de supervisar el tratamiento de datos personales en las agencias y organizaciones de la UE, así como asesorar en cuestiones relacionadas con los datos personales. El RGPD también exige el establecimiento de una Autoridad de Protección de Datos Personales en cada estado miembro, como una Comisión Nacional para la Protección de Datos Personales (Francia, Irlanda...) o un Defensor del Pueblo de Protección de Datos (Francia, Irlanda...) Finlandia, Letonia ...).

Junto con el SEPD, la UE también estableció el Consejo Europeo de Protección de Datos (EDPB), compuesto por representantes de las autoridades nacionales de protección de datos de los estados miembros y representantes de la UE con la función de ser un organismo asesor independiente y principal en materia de protección de datos personales. cuestiones, responsable de la aplicación coherente del RGPD en toda la unión.

El RGPD prevé sanciones muy disuasorias, tanto materiales como no físicas. Además, la agencia de protección de datos personales de la UE se implementa según el modelo Comisión/Comisario, por lo que tiene grandes poderes e independencia a la hora de aplicar sanciones si las organizaciones violan la normativa sobre protección de datos personales y tiene la capacidad de evaluar y decidir de forma independiente. sobre el tratamiento de datos personales.

Ley de protección de información personal de China (PIPL) promulgada en 2021 se considera la primera ley integral de protección de información personal a nivel nacional en China. PIPL ofrece una visión relativamente unificada sobre datos personales/información personal como información destinada a identificar o identificar a un individuo específico, dirigida a una audiencia reducida de personas dentro del territorio de China (Artículo 4 Capítulo 1 PIPL). Al mismo tiempo, la normativa en materia de datos personales sensibles establecerá normas sobre los derechos y obligaciones de las partes respecto de grupos de datos más específicos.

Las sanciones por violaciones de los derechos de datos personales según las regulaciones PIPL son muy estrictas, como remediación forzosa, confiscación de ingresos ilegales, suspensión de servicios, revocación de licencias de operación o negocios, una multa de hasta 50 millones de yuanes o el 5% de la multa. los ingresos anuales de una organización en el ejercicio financiero anterior. Además, las infracciones también pueden registrarse en el "expediente de crédito" del procesador en el marco del sistema nacional de crédito social.

Además, las unidades de procesamiento serán responsables de una compensación si violan los derechos e intereses de organizaciones e individuos. Las sanciones penales para este tipo de violaciones también están estipuladas específicamente en el Código Penal chino, que estipula una responsabilidad penal más severa para los responsables de la seguridad de la información, complementando además de la confiscación de bienes, la pena máxima es la cadena perpetua.

Ley de protección de datos personales de Singapur (PDPA) adoptado en 2012 (revisado en 2020). La ley de Singapur reconoce el derecho a proteger los datos personales, así como la necesidad de que las organizaciones recopilen, utilicen y divulguen información para fines apropiados a las circunstancias dadas.

La PDPA también prevé duras sanciones económicas por violaciones de datos. Los infractores estarán sujetos a multas o prisión. El nivel de la multa depende de la naturaleza y la gravedad del acto, con una multa que oscila entre 2.000 y 100.000 SGD (equivalente a 1,6 millones de VND) o/y una pena de prisión de no más de 12 meses; si es grave, puede ser de hasta 3 años1 ; Las agencias y empresas infractoras pueden recibir una multa de hasta el 10% de sus ingresos anuales.

La agencia que desempeña un papel importante para garantizar el cumplimiento de la PDPA es la Comisión de Protección de Datos Personales (PDPC). Se trata de una agencia especializada con grandes poderes y amplias capacidades de aplicación de la ley cuando tiene derecho a solicitar a personas y organizaciones que proporcionen información y documentos relacionados con el procesamiento de datos personales, e imponer sanciones económicas por infracciones, así como otras medidas. .

Con el establecimiento de una agencia especializada, la Comisión de Protección de Datos Personales de Singapur trabaja de manera independiente y proactiva para detectar y manejar violaciones, y la aplicación de sanciones es también una de las condiciones para que la protección de datos personales en Singapur se aplique de manera efectiva.

Recomendaciones para mejorar las leyes de protección de datos personales en Vietnam

Actualmente en Vietnam existen 69 documentos legales directamente relacionados con la cuestión de la protección de datos personales estipulados en diferentes documentos, entre ellos la Constitución, el Código (4), la Ley (39), la Ordenanza (1), el Decreto (2) y la Circular/Circular Conjunta. (4), Decisión del Ministro (1).

Estos documentos abordan básicamente la cuestión de la protección de datos personales en la dirección de promover el principio de garantizar la privacidad de la vida privada del sujeto, sin embargo, existen diferentes regulaciones sobre la información relacionada con los datos de las personas, que abordan cuestiones de derechos y obligaciones de los sujetos. procesamiento de información y métodos de protección de datos personales. Las leyes de Vietnam que regulan la protección de datos personales han logrado algunos resultados notables, especialmente el 17 de abril de 4, el Gobierno emitió el Decreto No. 2023/12/ND-CP sobre protección de datos personales; este es un documento separado que regula este tema en nuestro país. Estos documentos legales han creado un corredor legal en la protección de datos personales; Especificar los derechos de los interesados ​​y de las partes encargadas del procesamiento, estipular sanciones por violaciones de la protección de datos personales e identificar agencias especializadas en protección de datos personales. La persona es el Departamento de Seguridad Cibernética y Prevención de Delitos de Alta Tecnología dependiente del Ministerio. de Seguridad Pública...

Vietnam tiene que hacer frente a muchos riesgos, desafíos y peligros del ciberespacio, especialmente la filtración y apropiación de información y datos personales, lo que provoca muchos efectos nocivos para los ciudadanos y la sociedad.

Sin embargo, la implementación real de estos documentos también ha revelado muchas limitaciones, como que los documentos legales separados actuales solo están a nivel de Decreto, no cumpliendo con la importancia de proteger los datos personales. Muchos contenidos actualmente están regulados de manera general y poco clara, lo que provoca la aplicación al no tener instrucciones específicas para cada caso concreto, y las sanciones siguen siendo leves e insuficientes para disuadir...

Ante esta situación, continuar mejorando la ley sobre protección de datos personales en Vietnam ha sido un tema que necesita atención e investigación basada en referencias a la experiencia de otros países. Específicamente:

Primero, desarrollar una Ley de protección de datos personales. En el contexto de la revolución industrial 4.0, a escala regional y nacional, 80 países han emitido sus propios documentos legales de protección de datos personales. Vietnam necesita investigar y promulgar pronto una ley general y especializada sobre datos, como la Ley de Privacidad de Datos, como la UE, China o Singapur, que defina las cuestiones y principios básicos de la protección de datos individuales. La promulgación de una ley separada sobre datos personales será una base legal importante para la protección de datos personales cuando actualmente no existen documentos legales relacionados con este tema en nuestro país consistentes incluso en el uso de la terminología así como en las regulaciones de contenido.

En segundo lugar, modificar y complementar las sanciones para manejar las violaciones de datos personales de una manera más agravante que sea proporcional a la naturaleza y el alcance de la violación. Si bien en nuestro país se han prescrito sanciones por violaciones de datos personales, tanto administrativas como civiles y penales, en general son bastante leves y no tienen un alto poder disuasorio. El método principal hoy en día sigue siendo aplicar sanciones por infracciones administrativas, pero las normas se encuentran dispersas en muchos decretos con multas bastante bajas, siendo las más altas: 100 millones de VND para los individuos y 200 millones de VND para los individuos de la organización.

Mientras que los daños que pueden causar las violaciones administrativas de datos personales no son sólo daños materiales sino también al honor y la dignidad. Además de las sanciones administrativas, las sanciones penales por violaciones de datos personales sólo se muestran en las normas sobre privacidad y en el campo de las tecnologías de la información y seguridad de las redes en el artículo 159, el artículo 288 del actual Código Penal tiene una pena de prisión relativamente baja de no más de 7 años de prisión y una multa de no más de mil millones de VND. Esta multa, en comparación con los 1 millones de euros de la UE, el millón de SGD de Singapur o la cadena perpetua de China, sigue siendo muy baja y no se corresponde con muchas violaciones.

Al mismo tiempo, es necesario regular más grupos de comportamientos que actualmente no están mencionados en la ley, como el comercio de datos a gran escala, la creación de sistemas para violar datos, violaciones en el negocio de servicios de marketing...

En tercer lugar, sobre el modelo de agencia de protección de datos personales en Vietnam.. Actualmente, el Departamento de Seguridad Cibernética y Prevención y Control de Delitos de Alta Tecnología dependiente del Ministerio de Seguridad Pública es un organismo especializado en protección de datos personales. Con referencia a las regulaciones internacionales, podemos considerar la creación de una agencia independiente de protección de datos personales responsable de implementar la Ley de Protección de Datos Personales, realizar inspecciones, pruebas y emitir instrucciones. Proporcionar orientación y recomendaciones, así como aplicar sanciones por violaciones, si las hubiera.

Podemos referirnos a estos modelos en la UE o Singapur... para una aplicación de la ley altamente efectiva para proteger los datos personales, equilibrando la protección de los derechos individuales y garantizando la seguridad de la red.

La protección de datos personales no es una cuestión sencilla, especialmente cuando se sitúa en el contexto de la integración, cuando las actividades de vigilancia y recopilación de datos personales se llevan a cabo a gran escala y el sistema legal vietnamita que regula esta cuestión aún está vigente. proceso de desarrollo y finalización.

Investigar el derecho internacional sobre este tema con referencia a la situación práctica en Vietnam nos ayudará a construir pronto un marco legal para la protección integral de datos personales, compatible con el derecho internacional y su implementación efectiva.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html