Aprobada en 1995, la Ordenanza de Datos Personales (Privacidad) de Hong Kong (PDPO, por sus siglas en inglés) es una de las leyes de protección de datos más consolidadas de Asia.
Creada en respuesta a un informe de la Comisión de Reforma Legal de 1994, que sugería que Hong Kong debía establecer una legislación de privacidad actualizada conforme a las directrices de la OCDE, la PDPO fue introducida para proporcionar al territorio los niveles de privacidad necesarios para mantener su prestigio como centro comercial internacional.
Desde su promulgación, la PDPO ha experimentado varias modificaciones importantes para adaptarse al panorama digital en expansión. En 2012, se introdujeron disposiciones sobre marketing directo para abordar las preocupaciones públicas sobre la privacidad en línea, y en 2021, se incorporaron enmiendas significativas para combatir el “doxxing” —la publicación de datos privados de una persona en línea.
Bajo esta enmienda contra el doxxing, cualquier persona que revele o conspire para revelar los datos personales de otro individuo sin su consentimiento explícito —ya sea por negligencia o con la intención de causar daño— comete un delito sancionable con multas o prisión. Estas facultades otorgan al Comisionado de Privacidad la capacidad de llevar a cabo investigaciones penales, lo que ha permitido a la PDPO tomar medidas más severas contra los abusos a la privacidad.
En el núcleo de la ley se encuentran los Principios de Protección de Datos (DPP, por sus siglas en inglés), que ofrecen a individuos y organizaciones un marco sobre cómo se deben recopilar, gestionar, divulgar y utilizar los datos personales. La Oficina del Comisionado de Privacidad para Datos Personales (PCPD) es responsable de hacer cumplir los principios de la PDPO en Hong Kong, además de actuar como guía de cumplimiento.
Las definiciones clave aplicables a esta ley son las siguientes:
Cualquier información relativa a una persona viva que permita su identificación. Estos datos deben estar en una forma que permita su acceso y tratamiento práctico.
La persona a la que se refieren los datos personales.
Cualquier individuo o entidad que controla, recopila, mantiene, procesa o utiliza datos personales —ya sea solo o junto con otros.
Cualquier individuo, organización o entidad que trata datos personales en nombre de un usuario de datos, y no para sus propios fines. Aunque los encargados del tratamiento no están directamente regulados por la PDPO, los usuarios de datos deben asegurarse de que sus encargados cumplan con las regulaciones, mediante contrato u otro medio.
A menos que los datos recopilados se utilicen para marketing directo u otro uso específicamente definido, no se requiere consentimiento. En los casos en que sí se necesite, el consentimiento debe ser una expresión voluntaria de aprobación.
Los principios de protección de datos de la PDPO otorgan a los titulares de los datos el derecho a acceder y solicitar la modificación de su información personal.
Si un usuario de datos se niega a proporcionar acceso a la información personal, debe ofrecer una justificación válida. Además, los titulares de los datos tienen derecho a ser informados si algún usuario de datos conserva información sobre ellos.
Aunque la PDPO no otorga un derecho explícito de supresión, los titulares pueden solicitar la eliminación de datos si ya no son necesarios para el tratamiento.
Desde la perspectiva del usuario de datos, la ley prohíbe conservar datos personales por más tiempo del estrictamente necesario. Por tanto, los titulares tienen derecho a excluirse de campañas de marketing directo.
La regulación de la PDPO aplica a toda organización del sector público o privado que recopile, procese, mantenga o utilice datos personales. Aunque estas reglas se aplican sin importar la ubicación del procesamiento, solo afectan a los usuarios de datos con sede en Hong Kong.
Sin embargo, existen excepciones a la PDPO. La normativa puede no aplicarse si:
El tratamiento de datos responde a intereses públicos o legales.
Los datos se usan con fines domésticos o recreativos.
Los datos son necesarios para actividades laborales.
Aunque la PDPO no detalla mecanismos específicos para la gestión de la privacidad, recomienda que las entidades establezcan sistemas que aseguren el cumplimiento. Entre sus recomendaciones están la designación de oficiales de protección de datos y evaluaciones periódicas de los sistemas de privacidad.
Los Principios de Protección de Datos de la ordenanza fomentan la transparencia en las prácticas de tratamiento de datos, así como la protección contra accesos no autorizados, pérdidas o usos indebidos.
En caso de una violación de seguridad, no existe una obligación legal bajo la PDPO de hacer pública dicha violación, aunque se recomienda notificar tanto al PCPD como a los titulares de los datos afectados.
Obwohl die Nichteinhaltung der PDPO an sich keine Straftat darstellt, sehen die in der Verordnung festgelegten spezifischen Bestimmungen schwere Geld- und Freiheitsstrafen vor, wenn sie nicht eingehalten werden.
Einige der relevantesten Bestimmungen und Strafen lauten wie folgt:
Für den Fall, dass der Datenschutzbeauftragte einen Vollstreckungsbescheid erlässt, kann die Nichtbefolgung dieses Bescheids zu Geldstrafen von bis zu 50.000 HK$ und zwei Jahren Gefängnis führen. Jede spätere Verurteilung kann zu einer Geldstrafe von 100.000 HK$ und einer weiteren Freiheitsstrafe führen.
Datennutzer, die unnötige Daten nicht löschen, können mit einer Geldstrafe von bis zu 10.000 HK$ bestraft werden.
Die betroffenen Personen haben das Recht, von den Datennutzern eine Entschädigung zu verlangen, falls die betroffenen Personen unter der Nichteinhaltung des PDPO leiden.
Sehen Sie sich diese umfassende Liste an, in der alle PCPD-Strafen aufgeführt sind.
Um sicherzustellen, dass Ihre Website Daten in Übereinstimmung mit den PDPO-Vorschriften sammelt, wenden Sie sich an CookieHub. CookieHub ist eine effiziente Datenlösung und bietet alle Tools, die erforderlich sind, um die regionale Compliance zu gewährleisten, unabhängig davon, wo Sie ansässig sind.
Aunque el incumplimiento general de la PDPO no constituye por sí solo un delito, ciertas disposiciones específicas sí conllevan sanciones severas, incluyendo multas y prisión.
Algunas de las disposiciones y sanciones más relevantes incluyen:
Si el Comisionado de Privacidad emite una orden de ejecución y esta no se cumple, la multa puede alcanzar los HK$50,000 y hasta dos años de prisión. Las reincidencias pueden conllevar multas de HK$100,000 y penas de prisión adicionales.
Los usuarios de datos que no eliminen información innecesaria pueden ser sancionados con multas de hasta HK$10,000.
Los titulares de los datos tienen derecho a reclamar compensación si sufren perjuicios como consecuencia del incumplimiento de la PDPO.
Consulta esta lista completa de sanciones del PCPD para más detalles.
Para garantizar que tu sitio web recopile datos conforme a las regulaciones de la PDPO, contacta con CookieHub. Una solución eficiente de gestión de datos, CookieHub ofrece todas las herramientas necesarias para asegurar el cumplimiento regional sin importar dónde te encuentres.
CookieHub escanea automáticamente tu sitio web para detectar cookies, asegurando que todos los cookies se gestionan fácilmente.