Aprobada en 1995, la Ordenanza de Datos Personales (Privacidad) de Hong Kong (PDPO) es una de las leyes de protección de datos más establecidas de Asia.
Creado en respuesta a un informe de la Comisión de Reforma Legislativa de 1994, que sugería que Hong Kong estableciera una ley de privacidad actualizada en línea con las directrices de la OCDE, PDPO se introdujo para proporcionar a Hong Kong los niveles de privacidad de datos necesarios para mantener la prominencia de la región como un centro de comercio internacional.
Desde su creación, la PDPO ha sufrido una serie de modificaciones significativas en un intento por servir al panorama digital en expansión. En 2012, se introdujeron disposiciones de marketing directo para abordar las preocupaciones públicas con respecto a la privacidad en línea, y en 2021, se agregaron una serie de enmiendas importantes para combatir las prácticas de doxxing: la divulgación de los datos privados de un individuo en línea.
Bajo la enmienda doxxing, cualquier persona que divulgue o conspire para divulgar los datos personales de otra persona sin el consentimiento expreso de esa persona, ya sea por negligencia o con la intención específica de causar daño, ha cometido un delito punible con multas o prisión. Con estos poderes que le dan al Comisionado de Privacidad la capacidad de llevar a cabo investigaciones criminales, la PDPO ha tomado medidas drásticas contra las prácticas de abuso de privacidad.
Principios de protección de datos
En el corazón de la ley se encuentra un conjunto de Principios de Protección de Datos (DPP), que proporcionan a las personas y organizaciones un marco que describe cómo se pueden recopilar, manejar, divulgar y utilizar los datos personales. La Oficina del Comisionado de Privacidad para Datos Personales (PCPD) es responsable de hacer cumplir los principios de PDPO en Hong Kong, así como de actuar como guía de cumplimiento.
La definición clave aplicable a la ley es la siguiente;
Datos personales
Esto se define como cualquier dato pertinente a un individuo vivo que pueda usarse para identificar a ese individuo. Estos datos deben existir en una forma que permita el acceso y el procesamiento prácticos.
Sujeto de datos
La persona que es el sujeto de los datos personales.
Usuario de datos
Cualquier persona o entidad que gestione el control, la recopilación, la tenencia, el procesamiento o el uso de datos personales, ya sea solo o en colaboración con otras personas o entidades.
Procesador de datos
Cualquier individuo, organización o entidad que procese datos personales en nombre de otro usuario de datos en lugar de procesar datos para sus propios fines. Aunque los procesadores de datos no se rigen técnicamente por la PDPO, los usuarios de datos deben garantizar que sus procesadores de datos cumplan con las regulaciones de PDPO, ya sea por contrato o por algún otro método.
Consentimiento
A menos que los datos personales recopilados se utilicen para marketing directo o algún proceso recientemente definido, no se requiere consentimiento. En el caso de que lo sea, el consentimiento se define como la expresión voluntaria de aprobación.
Derechos de PDPO
Los principios de protección de datos de la PDPO otorgan a los interesados el derecho a acceder y solicitar la modificación de su información personal.
En el caso de que un Usuario de Datos se niegue a otorgar al Interesado acceso individual a su información personal, se deben dar razones válidas para el rechazo. Además de esto, los Sujetos de datos tienen derecho a ser informados por los Usuarios de datos si se mantiene cualquier información personal sobre ellos.
Si bien la PDPO no otorga a los Sujetos de datos ningún derecho definitivo para borrar información, los Sujetos de datos pueden solicitar que se elimine la información que se conserva sobre ellos si se considera que ya no es necesaria para el procesamiento.
Desde el punto de vista de un usuario de datos, la ordenanza les prohíbe conservar datos personales durante más tiempo del que se considera absolutamente necesario. Como resultado, los Interesados tienen derecho a retirarse de las campañas de marketing directo.
Cumplimiento de PDPO
La gobernanza de PDPO se aplica a cualquier organización del sector público o privado que recopile, procese, mantenga o use datos personales. Aunque las regulaciones de PDPO cubren el procesamiento de datos sin importar dónde se encuentre ese procesamiento, las reglas solo se aplican a los Usuarios de datos que tienen su sede en Hong Kong.
Dicho esto, hay una serie de exenciones a las regulaciones de PDPO. Es posible que las resoluciones no se apliquen a usted si…
- El procesamiento de datos es de interés público o legal.
- Los datos son para uso doméstico o recreativo.
- Los datos son para fines laborales.
Aunque la PDPO no describe específicamente los mecanismos específicos por los cuales las personas y las organizaciones deben administrar su privacidad de datos, sugieren que cualquier entidad involucrada en el procesamiento de datos introduzca sistemas que resulten en el cumplimiento de PDPO. Con este fin, recomiendan el empleo de delegados de protección de datos y la evaluación periódica de los sistemas de privacidad.
Los Principios de protección de datos de la ordenanza alientan a los usuarios de datos a mantener la transparencia con respecto a sus prácticas de datos, qué datos personales poseen y por qué. También están obligados a tomar todas las medidas necesarias para garantizar que los datos personales que poseen estén protegidos contra el acceso, procesamiento, pérdida o uso no autorizados.
En el caso de una violación de datos, no existe un requisito legal bajo PDPO para que los Usuarios de datos hagan pública esta violación, sin embargo, se recomienda encarecidamente que el PCPD y cualquier sujeto de datos involucrado en la violación sean informados.
Sanciones por incumplimiento
Aunque el incumplimiento de la PDPO no es un delito en sí mismo, las disposiciones específicas establecidas en la ordenanza conllevan multas severas y penas de prisión si no se cumplen.
Algunas de las disposiciones y sanciones más pertinentes son las siguientes:
- En el caso de que el Comisionado de Privacidad emita un aviso de cumplimiento, el incumplimiento de este aviso puede resultar en multas de hasta HK $ 50,000 y dos años de prisión. Cualquier condena posterior puede dar lugar a una multa de 100.000 dólares de Hong Kong y a una pena de prisión adicional.
- Datos Los usuarios que no eliminen datos innecesarios pueden ser castigados con una multa de hasta HK $ 10,000.
- Los sujetos de datos tienen derecho a buscar una compensación de los usuarios de datos en caso de que los sujetos sufran como resultado del incumplimiento de PDPO.
Consulte esta lista completa que describe todas las sanciones de PCPD.
Para asegurarse de que su sitio web recopila datos de acuerdo con las regulaciones de PDPO, póngase en contacto con CookieHub. Una solución de datos eficiente, CookieHub proporciona todas las herramientas necesarias para garantizar el cumplimiento regional sin importar dónde se encuentre.