La Ley de Protección de Datos de 2012 (La Ley) [1] es una legislación promulgada por el Parlamento de la República de Ghana para proteger la privacidad y los datos personales de las personas . Regula el proceso que la información personal es adquirida, guardada, utilizada o divulgada por los controladores de datos y los procesadores de datos al exigir el cumplimiento de ciertos principios de protección de datos. El incumplimiento de las disposiciones de la Ley puede generar responsabilidad civil o sanciones penales, o ambas, según la naturaleza de la infracción. La ley también establece una Comisión de Protección de Datos, que tiene el mandato de velar por el cumplimiento de sus disposiciones, así como mantener el Registro de Protección de Datos.
Ley de protección de datos de 2012 | |
---|---|
Parlamento de Ghana | |
| |
Citación | Ley 843 |
Extensión territorial | República de Ghana |
Promulgado por | Parlamento de Ghana |
Aceptó | 10 de mayo de 2012 |
Firmado por | Presidente de la República de Ghana |
Eficaz | 16 de octubre de 2012 |
Administrado por | Comisión de Protección de Datos |
Palabras clave | |
Estado: legislación vigente |
Historia
La ley se presentó por primera vez en el Parlamento de Ghana en 2010, pero posteriormente fue retirada por el entonces ministro de Comunicaciones , Haruna Iddrisu , para ser revisada. [2] El Parlamento aprobó el proyecto de ley en 2012, [3] que luego recibió la aprobación presidencial el 10 de mayo de 2012. [4] La notificación de la Ley se publicó el 18 de mayo de 2012, [4] y de conformidad con la Sección 99, el La ley entró en vigor el 16 de octubre de 2012. [5]
Estructura
La Ley se compone de 99 artículos que se organizan bajo varios epígrafes, de la siguiente manera:
Bóveda | Secciones |
---|---|
Comisión de Protección de Datos | 1-10 |
Administración | 11-13 |
Finanzas de la Comisión | 14-16 |
Aplicación de principios de protección de datos | 17-34 |
Derechos de los interesados y otros | 35-36 |
Tratamiento de datos personales especiales | 37-45 |
Registro de protección de datos | 46-59 |
Exenciones | 60-74 |
Aplicación | 75-81 |
Registros obtenidos bajo el derecho de acceso del interesado | 82-83 |
Información proporcionada a la Comisión | 84-85 |
Disposiciones diversas y generales | 86-99 |
Términos clave
Los términos clave de la Ley se definen en la sección de interpretación, sección 96. A menos que el contexto requiera lo contrario, la sección 96 proporciona las siguientes definiciones para los términos notables:
" Controlador de datos " significa una persona que, ya sea sola, junto con otras personas o en común con otras personas o como un deber legal, determina los propósitos y la manera en que se procesan o se procesarán los datos personales
"Procesador de datos" en relación con los datos personales significa cualquier persona que no sea un empleado del controlador de datos que procesa los datos en nombre del controlador de datos
"Sujeto de datos" significa un individuo que es sujeto de datos personales
“Sujeto de datos extranjero” significa información del sujeto de datos regulada por las leyes de una jurisdicción extranjera enviada a Ghana desde una jurisdicción extranjera totalmente para su procesamiento
"Datos personales" significa datos sobre una persona que puede ser identificada, (a) a partir de los datos, o (b) a partir de los datos u otra información en posesión o que pueda llegar a estar en posesión del controlador de datos
"Procesamiento" significa una operación o actividad o conjunto de operaciones por medios automáticos o de otro tipo que se refieren a datos o datos personales y la (a) recopilación, organización, adaptación o alteración de la información o datos, (b) recuperación, consulta o uso de la información o los datos, (c) la divulgación de la información o los datos por transmisión, difusión u otros medios disponibles, o (d) alineación, combinación, bloqueo, borrado o destrucción de la información o los datos
"Destinatario" significa una persona a quien se divulgan los datos, incluido un empleado o agente del controlador de datos o el procesador de datos a quien se divulgan los datos en el curso del procesamiento de datos para el controlador de datos, pero no incluye una persona a quien la divulgación se realiza con respecto a una investigación en particular de conformidad con una promulgación
"Propósitos especiales" significa uno o más de los siguientes: (a) el propósito del periodismo , (b) cuando el propósito es de interés público , (c) propósitos artísticos, y (d) propósitos literarios
Aplicación de la ley
La ley es aplicable cuando
- el controlador de datos está establecido en Ghana y los datos se procesan en Ghana,
- el procesador de datos no está establecido en Ghana, pero usa equipo, o usa los servicios de un procesador de datos que realiza negocios en Ghana, para procesar datos, o
- la información que se procesa tiene su origen en parte o en su totalidad en Ghana. (Sección 45 (1))
Sin embargo, los datos que se originan en el exterior y simplemente transitan por Ghana no están protegidos por la Ley (artículo 45 (4)). La ley se aplica al gobierno de Ghana y, para tal fin, cada departamento gubernamental es tratado como un controlador de datos. (Sección 91)
Principios de protección de datos
La Ley establece 8 principios que los procesadores de datos deben tener en cuenta al procesar los datos, a fin de proteger la privacidad de las personas. Estos principios son similares a las Directrices de la OCDE [6] y la Directiva de protección de datos de la Unión Europea. [7]
Los principios de protección de datos se enumeran en la Sección 17 de la siguiente manera:
- responsabilidad
- legalidad del procesamiento
- especificación de propósito
- compatibilidad del procesamiento posterior con el propósito de la recolección
- calidad de la información
- franqueza
- salvaguardas de seguridad de datos, y
- participación del interesado.
Responsabilidad
El principio de responsabilidad de la protección de datos se considera en general un principio fundamental de cumplimiento. [8] Requiere que el responsable del tratamiento sea responsable del cumplimiento de las medidas que dan efecto a los principios de protección de datos. [9]
La Ley requiere que una persona que procesa datos personales se asegure de que los datos se procesen sin infringir los derechos del interesado, y deben procesarse de manera legal y razonable (Sección 18 (1)). Cuando los datos a procesar involucran a un sujeto de datos extranjero, el controlador o procesador de datos debe asegurarse de que los datos personales se procesen de acuerdo con las leyes de protección de datos de la jurisdicción de origen (Sección 18 (2)).
Licitud del tratamiento
El tratamiento de datos es lícito cuando concurren las condiciones que justifican el tratamiento. [10]
La Ley tiene una disposición de minimidad, que requiere que los datos personales solo puedan ser procesados si el propósito para el cual serán procesados es necesario, relevante y no excesivo. (Sección 19)
También se requiere el consentimiento previo de un interesado antes de que se procesen los datos personales. (Sección 20) Sin embargo, este requisito está sujeto a excepciones. Por ejemplo, cuando el propósito para el que se procesan los datos personales es necesario para el propósito de un contrato en el que el interesado es parte; autorizado o requerido por la ley, para proteger un interés legítimo del interesado; necesarios para el correcto desempeño de una obligación legal o necesarios para perseguir el interés legítimo del responsable del tratamiento o de un tercero a quien se proporcionan los datos (artículo 20 (1)). También se requiere consentimiento para el procesamiento de datos personales especiales (Sección 37 (2) (b)). Un interesado también se opone al procesamiento de datos personales (sección 20 (2)), y el procesador de datos debe dejar de procesar los datos ante dicha objeción (sección 20 (3)).
En términos de retención de registros, la Ley prohíbe la retención de datos personales por un período más largo del necesario para lograr el propósito de la recopilación, a menos que la retención sea requerida por ley, sea razonablemente necesaria para un propósito legal relacionado con una función. o actividad, es necesario para fines contractuales, o el interesado ha dado su consentimiento para la retención. (Sección 24 (1)). Sin embargo, el requisito de retención no es aplicable a los datos personales que se guardan con fines históricos, estadísticos o de investigación (sección 24 (2)), excepto que dichos registros deben estar adecuadamente protegidos contra el acceso o utilizados para fines no autorizados (sección 24 (3)). Cuando una persona utiliza un registro de datos personales para tomar una decisión sobre el interesado, los datos solo deben conservarse durante un período requerido por la ley o un código de conducta, y cuando no exista tal ley o código de conducta, durante un período que brindará al interesado la oportunidad de solicitar acceso al registro. Una vez transcurrido el período de retención, los datos personales deben, sin embargo, ser eliminados o destruidos, de una manera que impida su reconstrucción de forma inteligible, o el registro de los datos personales debe ser desidentificado. (Secciones 24 (4), (5), (6)).
Un sujeto de datos también puede solicitar que un registro de datos personales sobre ese sujeto de datos en poder de un controlador de datos sea destruido o eliminado cuando el controlador de datos ya no tenga la autorización para retener esos datos. (Sección 33 (1) (b))
Especificación de propósito
La Ley requiere que un controlador de datos que recopila datos personales lo haga para un propósito específico que está explícitamente definido y es legal, y está relacionado con las funciones o la actividad de la persona. (Sección 22) El controlador de datos que recopila los datos también debe tomar las medidas necesarias para garantizar que el interesado sea consciente del propósito para el que se recopilan los datos. (Sección 23)
Compatibilidad de procesamiento posterior
La Ley requiere que cuando un controlador de datos tenga datos personales recopilados en relación con un propósito específico, cualquier procesamiento posterior de esos datos debe ser compatible con el propósito para el cual se obtuvieron inicialmente los datos personales. (Sección 25 (1))
Las circunstancias en las que el procesamiento cumple con el requisito de compatibilidad incluyen cuando los interesados dan su consentimiento para el procesamiento posterior de la información, los datos son de dominio público, el procesamiento adicional es necesario para combatir el crimen, para la legislación que se refiere a la protección de la recaudación de ingresos fiscales. , la conducción de los procedimientos judiciales, la protección de la seguridad nacional, la salud pública o la vida o la salud del interesado o de otra persona. (Sección 25 (3))
Calidad de la información
En virtud del artículo 26 de la Ley, un controlador de datos que procesa datos personales debe asegurarse de que los datos sean completos, precisos, actualizados y no engañosos, teniendo en cuenta el propósito para el que se recopilan o procesan esos datos.
Franqueza
El principio de apertura garantiza que las personas conozcan y puedan participar en la aplicación de sus derechos en virtud de un régimen de protección de datos. [11]
El artículo 27 (1) hace obligatorio que un responsable del tratamiento que pretenda procesar datos personales se registre en la Comisión de Protección de Datos. El controlador de datos que tiene la intención de recopilar datos también debe asegurarse de que el interesado sea consciente de la naturaleza de los datos que se recopilan, las personas responsables de la recopilación, el propósito de la recopilación y si el suministro de datos es obligatorio o discrecional. , entre otras cosas. (Sección 27 (2))
Cuando los datos se recopilan de un tercero, la Ley requiere que el interesado sea informado antes de que se recopilen los datos, o tan pronto como sea posible después. (Sección 27 (3))
La Ley establece circunstancias bajo las cuales el requisito de notificación está exento, e incluyen cuando es necesario para evitar comprometer la aplicación de la ley, proteger la seguridad nacional o cuando se relaciona con la preparación o desarrollo de procedimientos legales. Sección 27 (4))
Además, aunque no es obligatorio, un controlador de datos puede nombrar un supervisor de protección de datos, quien sería responsable de monitorear el cumplimiento de la Ley. (Sección 58 (1), (2)) El supervisor de protección de datos puede ser un empleado (Sección 58 (1)) y deben cumplir los criterios de calificación establecidos por la Comisión de Protección de Datos. (Sección 58 (7))
Salvaguardias de seguridad de datos
Según la Ley, un controlador de datos tiene el deber de prevenir la pérdida, daño o destrucción no autorizada de datos personales, así como el acceso ilegal o procesamiento no autorizado de datos personales. Por lo tanto, el controlador de datos debe adoptar los medios adecuados, razonables, técnicos y organizativos para tomar las medidas necesarias para garantizar la seguridad de los datos personales en su posesión o control. (Sección 28 (1))
El controlador de datos también debe tomar medidas razonables para identificar y prevenir cualquier riesgo razonablemente previsible, y garantizar que las salvaguardas establecidas se implementen de manera efectiva y se actualicen de manera continua. (Sección 28 (2))
El controlador de datos también debe observar las mejores prácticas generalmente aceptadas y las mejores prácticas específicas de la industria para proteger los datos (Sección 28 (3)), así como asegurarse de que los procesadores de datos cumplan con las medidas de seguridad. (Sección 30) Cuando el procesador de datos no esté domiciliado en Ghana, el controlador de datos debe asegurarse de que el procesador de datos cumpla con las leyes pertinentes de su país. (Sección 30 (4))
La Ley también requiere que el controlador de datos, tan pronto como sea razonablemente posible, notifique a la Comisión de Protección de Datos y al interesado de cualquier brecha de seguridad en su sistema, y tome medidas para garantizar que se restablezca la integridad del sistema (Sección 31). )
Participación del interesado
Un sujeto de datos puede, sujeto a probar la identidad del sujeto de datos, solicitar a un controlador de datos que confirme si el controlador de datos posee los datos personales de ese sujeto de datos, describa la naturaleza de los datos personales que posee y la identidad de cualquier tercero que tenga o haya previamente tuvo acceso a esos datos (Sección 32 (1)). Sin embargo, la solicitud debe realizarse de manera razonable, dentro de un tiempo razonable, después de pagar las tarifas prescritas y en una forma que sea generalmente comprensible (Sección 32 (2)).
Un sujeto de datos también puede solicitar a un controlador de datos que corrija o elimine datos personales sobre el sujeto de datos que están en poder del controlador de datos y que son inexactos, irrelevantes, excesivos, desactualizados, incompletos o engañosos (Sección 33 (1)) . Al recibir la solicitud, el controlador de datos debe cumplir con la solicitud o proporcionar al interesado pruebas creíbles que respalden los datos. (Sección 33 (2)).
Datos personales especiales
Según la sección 96, "datos personales especiales" significa datos personales que consisten en información relacionada con (a) la raza, color, origen étnico o tribal del sujeto de datos; (b) la opinión política del interesado; (c) las creencias religiosas u otras creencias de naturaleza similar del interesado; (d) la condición física, médica, de salud mental o mental o el ADN del interesado; (e) la orientación sexual del interesado; (f) la comisión o presunta comisión de un delito por parte del individuo; o (g) procedimientos por un delito cometido o presuntamente cometido por el individuo, la disposición de tales procedimientos o la sentencia de cualquier tribunal en el procedimiento;
La ley prohíbe el procesamiento de datos relacionados con niños bajo control parental, o con creencias religiosas o filosóficas, origen étnico, raza, afiliación sindical, opiniones políticas, salud, vida sexual o comportamiento delictivo de un individuo Artículo 37 (1) .
Sin embargo, los datos personales especiales pueden procesarse cuando sea necesario o el interesado haya dado su consentimiento para el procesamiento (artículo 37 (2)). El procesamiento de datos personales es necesario cuando se trata de ejercer un derecho o cumplir una obligación conferida o impuesta por la ley a un empleador (artículo 37 (3)). Los datos personales especiales relacionados con los interesados también pueden procesarse cuando sea necesario para la protección del interés vital del interesado, cuando sea imposible que el interesado dé su consentimiento o no pueda esperarse razonablemente que el responsable del tratamiento obtenga el consentimiento. , o el consentimiento del interesado ha sido denegado injustificadamente. (Sección 37 (4))
Se presume que el tratamiento de datos personales especiales es necesario cuando sea necesario para procedimientos judiciales, asesoramiento legal y con fines médicos, cuando sea realizado por un profesional sanitario y esté sujeto a un deber de confidencialidad entre el paciente y el profesional sanitario. (Sección 37 (6))
La prohibición de procesar datos personales especiales relacionados con creencias religiosas o filosóficas no se aplica cuando el procesamiento lo lleva a cabo una organización religiosa de la que el interesado es miembro o una institución fundada en principios religiosos o filosóficos con respecto a las personas asociadas. con esa institución y es necesario para lograr los objetivos de la institución (Sección 38 (1)).
Derechos de los interesados
Según la Ley, un interesado tiene derecho a que se corrijan sus datos personales (artículo 33), a acceder a sus datos personales (artículo 35); para evitar el procesamiento de datos personales que le cause o pueda causarle daño o angustia injustificados (artículo 39); para evitar el procesamiento de datos personales con fines de marketing directo (sección 40); exigir al responsable del tratamiento que no tome una decisión que le afecte significativamente únicamente en el tratamiento por medios automáticos (artículo 41); eximir los datos manuales (artículo 42), ser compensado por el incumplimiento de las disposiciones de la Ley por parte del responsable del tratamiento, previa prueba de daños (artículo 43); y rectificar los datos inexactos (artículo 44)
La Comisión de Protección de Datos
La Ley establece una Comisión de Protección de Datos con dos objetivos principales,
- Proteger la privacidad de los datos individuales y personales regulando el procesamiento de la información personal, y
- Proporcionar el proceso para obtener, retener, usar o divulgar información personal. (sección 2)
Las funciones del DPC son:
- Implementar y monitorear el cumplimiento de las disposiciones de la Ley,
- Realizar las gestiones administrativas que considere oportunas para el desempeño de sus funciones.
- Investigar y determinar de manera justa cualquier queja presentada en virtud de la Ley, y
- Mantener y mantener el Registro de Protección de Datos
(seccion 3)
La DPC está gobernada por una junta de 11 miembros nombrada por el presidente de Ghana, y la ley prevé cierta representación institucional específica. (Sección 4) Los miembros de la junta pueden ocupar sus cargos por un período que no exceda los tres años y no pueden ser nombrados por más de dos períodos. (Sección 5 (1)) Las asignaciones para los miembros de la Junta son aprobadas por el Ministro responsable de Comunicaciones en consulta con el Ministro responsable de Finanzas. (Sección 9) La junta tomó posesión oficialmente el 1 de noviembre de 2012, [12] actualmente está presidida por el Prof. Juez Samuel Kofi Date-Bah , un juez retirado de la Corte Suprema de Ghana. [13] El DPC se lanzó oficialmente el 18 de noviembre de 2014. [14]
La Ley también ordena al Presidente que designe un Director Ejecutivo (sección 11) que será responsable de la administración diaria de la DPC, así como de la implementación de las decisiones de la Junta. (Sección 12). La Sra. Teki Akuetteh Falconer es la actual Directora Ejecutiva. [13]
Según la Ley, las fuentes de los fondos de la DPC incluyen dinero aprobado por el parlamento, donaciones y subvenciones, dinero que se acumula para la DPC en el desempeño de sus funciones y cualquier dinero que apruebe el Ministro responsable de Finanzas. (Sección 14)
El DPC también tiene el poder de entregar avisos de cumplimiento a los controladores de datos, exigiéndoles que se abstengan de contravenir los principios de protección de datos. (Sección 75) La notificación de ejecución puede ser cancelada o modificada por el DPC, por iniciativa propia o por solicitud de un destinatario de la notificación. (Sección 76)
El registro de protección de datos
La ley prevé el establecimiento de un registro de protección de datos que debe mantener el DPC y en el que los responsables del tratamiento deben registrarse obligatoriamente. (Sección 46) Las solicitudes de registro como controlador de datos deben hacerse por escrito y la Ley establece ciertos detalles, como el nombre comercial y la dirección del solicitante, una descripción de los datos personales que se recopilarán y una descripción del propósito del tratamiento de datos personales. (Artículo 47 (1)) Proporcionar información falsa a sabiendas equivale a un delito punible con una multa o prisión. (Sección 47 (2)) Además, se debe hacer una entrada separada en el registro para cada propósito separado para el cual el controlador de datos desea procesar los datos. (Sección 47 (3))
El DPC tiene derecho a rechazar la concesión de una solicitud cuando los datos proporcionados para su inclusión en una entrada en el registro sean insuficientes, el responsable del tratamiento no haya podido proporcionar las garantías adecuadas para la protección de la privacidad del interesado, y en opinión de la DPC, el solicitante no merece la concesión del registro. (Sección 47 (1)) Al rechazar una solicitud de registro, el DPC debe informar al solicitante de las razones del rechazo y, en tal caso, el solicitante puede solicitar al Tribunal Superior una revisión judicial de la decisión. (Sección 47 (2))
El registro como responsable del tratamiento está sujeto a renovación cada dos años (artículo 50). El DPC también tiene el poder de cancelar un registro por una buena causa. (Sección 52) Es un delito procesar datos personales sin registrarse. (Sección 56)
La ley también prevé el acceso del público al registro, previo pago de la tasa prescrita. (Sección 54)
Exenciones generales
La Ley establece varias exenciones para diferentes propósitos, como sigue: El procesamiento de datos personales está exento de las disposiciones de la Ley cuando se relaciona con la seguridad nacional (artículo 60) y en relación con la delincuencia y los impuestos (artículo 61); la divulgación de datos personales relacionados con la salud, la educación y el trabajo social; (artículo 61); está prohibido, a menos que lo exija la ley.
Las disposiciones de la ley tampoco son aplicables para la protección de los miembros del público contra disposiciones específicas de pérdida o negligencia (artículo 63).
El procesamiento de datos personales está prohibido a menos que el procesamiento se realice con el propósito de un material literario o artístico y el controlador de datos crea razonablemente que la publicación sería de interés público y que el cumplimiento de la disposición es incompatible con los fines especiales. (Sección 64)
Las disposiciones sobre no divulgación no se aplican cuando la divulgación es requerida por cualquier ley o por un tribunal. (Sección 66) La ley no se aplica cuando los datos se procesan solo con el propósito de administrar los asuntos domésticos de una persona. (Sección 67)
Los principios de protección de datos no se aplican a los datos personales si consisten en referencias dadas de manera confidencial, con fines educativos, designación para una oficina o la prestación de un servicio por parte del interesado. (Sección 68)
Las disposiciones sobre información del sujeto de la Ley no se aplican a los datos personales, donde es probable que perjudique la eficacia de combate de las Fuerzas Armadas (artículo 69); cuando se procesa para evaluar la idoneidad de una persona para el nombramiento judicial o para conferir un honor nacional (artículo 70) o si consiste en información con respecto a un reclamo de privilegio profesional o confidencialidad. (Sección 74)
Los datos personales están exentos de las disposiciones de la Ley cuando se relacionan con las calificaciones de los exámenes procesados por el controlador de datos y están en relación con los resultados de la persona (artículo 72) o consisten en información registrada por un candidato con fines académicos (artículo 73)
Otras disposiciones
La ley prohíbe la compra de datos personales, la divulgación consciente o imprudente de datos personales, y la infracción de esta disposición constituye un delito. (Sección 88)
La ley también tipifica como delito la venta, la oferta de venta y la publicidad de la venta de datos personales. (Sección 89)
El Ministro responsable de las comunicaciones puede, en consulta con la DPC, dictar reglamentos para la aplicación efectiva de la ley.
Referencias
- ^ Ley de protección de datos de 2012 (Ley 843)
- ^ Acquaye, Nana Appiah (20 de julio de 2011). "Proyecto de Ley de Protección de Datos Retirada" . Biztech Africa . Consultado el 4 de marzo de 2015 .
- ^ "Proyecto de ley de protección de datos aprobado" . Ghanaweb . Consultado el 4 de marzo de 2015 .
- ^ a b Ley de protección de datos, 2012
- ^ "Ley de Protección de Datos" . Comisión de Protección de Datos . Consultado el 4 de marzo de 2015 .
- ^ "Directrices de la OCDE sobre la protección de la privacidad y los flujos transfronterizos de datos personales" . Consultado el 4 de marzo de 2015 .
- ^ "Directiva 95/46 / CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 sobre la protección de las personas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos" . Consultado el 4 de marzo de 2015 .
- ^ Alhadeff, Joseph, Brendan Van Alsenoy y Jos Dumortier. El principio de responsabilidad en la regulación de la protección de datos: origen, desarrollo y dirección futura]. "Guagnin, Daniel, et al. Gestión de la privacidad a través de la responsabilidad. Palgrave Macmillan, 2012. 50-82
- ^ Roos, Anneliese (marzo de 2006). "Principios básicos de la ley de protección de datos". La Revista de Derecho Internacional y Comparado de África Meridional . 39 (1): 126.
- ^ Roos 2006 , p. 108.
- ^ Roos 2006 , p. 118.
- ^ "Inaugurada la Junta de Gobierno de la Comisión de Protección de Datos" . Agencia de Noticias de Ghana. 1 de noviembre de 2012 . Consultado el 4 de marzo de 2015 .
- ^ a b "Órgano de Gobierno" . Sitio web oficial de la Comisión de Protección de Datos . Consultado el 4 de marzo de 2015 .
- ^ Mensah, Mary; Salomón, Erasmo. "Puesta en marcha de la Comisión de Protección de Datos" . Gráfico en línea . Consultado el 4 de marzo de 2015 .
enlaces externos
- Comisión de Protección de Datos