La Ley de Protección de Datos y Privacidad de Ruanda ahora alinea al país con los estándares internacionales de protección de datos, vitales para las economías digitales modernas impulsadas por el comercio electrónico, las transacciones financieras internacionales y diversos servicios en línea. ¿Estás listo para cumplir?
La Ley de Protección de Datos y Privacidad de Ruanda (Ley n.º 058/2021, de 13 de octubre de 2021) establece un marco jurídico integral que regula la recopilación, el procesamiento, la transferencia y la protección de datos personales. Uno de los principios de la Ley de Protección de Datos y Privacidad de Ruanda es el requisito de obtener el consentimiento claro e inequívoco de una persona para recopilar, almacenar y procesar sus datos personales, lo cual constituye un derecho fundamental.
Las empresas deben realizar una serie de trámites para cumplir con la ley en Ruanda. Entre ellos se incluyen:
Registro:
Registro ante la NCSA como responsable o encargado del tratamiento de datos en el plazo de 30 días laborables
Designar un DPO:
Designar un Delegado de Protección de Datos (DPD) si el tratamiento es a gran escala o implica datos sensibles
Mantener registros:
Mantener registros de procesamiento, realizar evaluaciones de impacto de protección de datos (EIPD) para actividades de alto riesgo e implementar medidas de seguridad.
Notificar sobre infracciones:
Notificar a la NCSA sobre las infracciones dentro de las 48 horas, así como a las personas afectadas en lo que respecta al riesgo a sus derechos.
Avisos de privacidad:
Publicación de avisos de privacidad que revelen el uso de datos, la retención, las transferencias al extranjero y los derechos del sujeto
Obtención del consentimiento, incluso para las cookies, para el procesamiento no esencial
Evaluación de la transferencia transfronteriza de datos
La ley se aplica a:
Todos los responsables o encargados del tratamiento de datos en Ruanda (públicos o privados).
Entidades extranjeras que procesen datos personales de ciudadanos ruandeses o transfieran datos fuera del país.
Esto incluye pymes, ONG, organismos públicos, startups tecnológicas, fintechs, plataformas de comercio electrónico y cualquier organización que gestione datos personales de ciudadanos ruandeses.
La DPPL de Ruanda otorga a los residentes un conjunto de derechos de privacidad de datos, que incluyen:
Solicitar acceso a su información personal
Solicitud para saber cómo se recopilan y utilizan los datos personales
Solicitar que se corrija información inexacta, incompleta o desactualizada
Solicitar el borrado de su información personal en determinadas circunstancias
Solicitud de exclusión del tratamiento de sus datos
Solicitar datos en un formato estructurado y de uso común
Solicitar que las decisiones no se tomen únicamente sobre la base del tratamiento automatizado
Las organizaciones deben obtener el consentimiento del consumidor antes de procesar datos
Aunque la ley no menciona explícitamente las cookies, su uso se considera tratamiento de datos personales (p. ej., identificadores en línea, elaboración de perfiles). El consentimiento debe ser:
Libre, específico, informado y explícito, abarcando distintas finalidades (p. ej., análisis o publicidad).
Revocable en cualquier momento.
La implementación de banners de cookies con controles granulares (categorías de aceptación/rechazo) y un centro de preferencias, en consonancia con los principios de consentimiento de la UE, se considera una buena práctica para las empresas que operan en Ruanda.
La ley establece sanciones administrativas y penales por incumplimiento:
Las sanciones administrativas (Artículo 53) incluyen:
Multas de entre 2 y 5 millones de RWF (aproximadamente entre 2000 y 5000 USD) o hasta el 1 % de la facturación anual global para empresas.
Los delitos penales (Artículos 56 a 61) incluyen:
Uso indebido intencional de datos, reidentificación no autorizada, información falsa y manejo indebido de datos sensibles: de 1 a 3 años de prisión y multas de entre 7 y 10 millones de RWF (o el 5 % de la facturación anual global para entidades).
Los tribunales también pueden imponer el cierre de empresas o revocar los certificados de registro.
El cumplimiento de la DPPL está a nuestro alcance mediante la implementación de una serie de prácticas recomendadas de privacidad de datos:
Realizar auditorías de datos y cookies:
Revisar las prácticas de datos actuales para identificar áreas de alineación con el DPPL
Actualizar las políticas de privacidad y cookies:
Revisar los avisos de privacidad para describir claramente las prácticas de datos, los derechos del consumidor y cómo ejercer esos derechos.
Implementar la gestión del consentimiento:
Gestione el uso y el consentimiento de las cookies con una plataforma integral de gestión del consentimiento como CookieHub
Educar a los empleados:
Brindar capacitación a los empleados sobre la importancia del cumplimiento de la DPPL
Implementar procesos de detección de infracciones:
Garantizar vías claras para notificar a los consumidores sobre violaciones de datos
Asignar un responsable de privacidad:
Agregue un responsable de privacidad a su organización para gestionar el cumplimiento
Una plataforma de gestión de consentimiento como CookieHub puede facilitar el consentimiento de cookies conforme a las normas mediante la gestión de preferencias granulares, el registro de las opciones del usuario, el bloqueo automático de scripts no esenciales hasta el consentimiento y la generación de registros de cumplimiento listos para auditoría.
La Ley de Protección de Datos y Privacidad (LPPD) de Ruanda rige la recopilación, el procesamiento, el almacenamiento y la divulgación de datos personales. Se aplica tanto a las entidades públicas como a las privadas que gestionan datos personales de personas en Ruanda, así como a las organizaciones fuera de Ruanda que procesan datos de residentes ruandeses. La ley garantiza que los datos personales se gestionen de forma legal, justa y transparente.
Los datos personales son cualquier información relativa a una persona física identificada o identificable. Esto incluye, entre otros, nombres, números de identificación, datos de ubicación, identificadores en línea o cualquier dato que pueda identificar directa o indirectamente a una persona.
Los datos sensibles se refieren a una categoría especial de datos personales que requiere mayor protección. Esto incluye información relacionada con el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, el estado de salud, los datos genéticos o biométricos, la orientación sexual o la afiliación sindical.
La autoridad reguladora responsable de supervisar la implementación y el cumplimiento de la DPPL en Ruanda es la Autoridad Nacional de Seguridad Cibernética (NCSA), en particular a través de su Oficina de Protección de Datos.
Pueden aplicarse exenciones a la DPPL en ciertos casos, como el tratamiento para actividades personales o domésticas, seguridad nacional, aplicación de la ley, interés público o fines de investigación y estadísticos, siempre que se cuente con las garantías adecuadas. Las exenciones específicas se definen en la ley y la normativa pertinente.
Puede acceder al texto completo de la DPPL y las directrices relacionadas a través del sitio web de la Autoridad Nacional de Seguridad Cibernética (NCSA) o consultar a profesionales legales especializados en protección de datos en Ruanda.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
