Pasos para garantizar los derechos humanos en la transformación digital

La protección de datos personales es la protección de los derechos humanos y las libertades fundamentales en relación con los datos.

El 17 de abril de 2023, el Gobierno emitió el Decreto No. 13/2023/ND-CP (Decreto) sobre protección de datos personales, vigente a partir del 1 de julio de 2023, que cumple con los requisitos para proteger los derechos de datos personales; prevenir actos de violación de datos personales, que afecten los derechos e intereses de personas y organizaciones.

Reflejos

El Decreto es un documento legal que regula la protección de datos personales y la responsabilidad de las agencias, organizaciones e individuos relevantes de proteger los datos personales.

En primer lugar, la protección de datos personales consiste en la protección de los derechos humanos y las libertades fundamentales relacionados con los datos. Las disposiciones del Decreto sobre protección de datos personales, en su aplicación, tienen como objetivo evitar la vulneración de los derechos y libertades personales de cada persona.

Al mismo tiempo, la seguridad de los datos personales es de particular importancia ya que si los datos son robados, pueden producirse pérdidas económicas y sociales, riesgos como: chantaje, fraude, apropiación de bienes, difamación, atentado al honor, a la dignidad, abuso sexual..., provocando consecuencias tanto materiales como espirituales, afectando directamente a los derechos e intereses legítimos de organismos, organizaciones, empresas e individuos.

En segundo lugar, promover y respetar los derechos de los titulares de datos personales. Estos derechos incluyen el derecho de acceso, el derecho a consentir o no el tratamiento de datos personales, el derecho a ser informado y el derecho a solicitar la supresión de datos.

Además, los titulares de los datos personales tienen derecho a protegerse de la vulneración de sus datos personales por parte de terceros. Tienen derecho a solicitar una indemnización por daños y perjuicios cuando se produzca una infracción de las disposiciones del Decreto que afecte a su derecho a la protección de datos personales. El Decreto también estipula claramente que la recopilación, transferencia, compraventa de datos personales sin el consentimiento del titular constituye una infracción de la ley.

Sin embargo, el derecho del titular a la protección de datos personales no es un derecho absoluto, sino que puede ser limitado en casos de emergencia para proteger la vida y la salud del individuo o de otros; situaciones de emergencia relativas a la defensa nacional, la seguridad nacional, el orden social y la seguridad; cumplimiento de obligaciones contractuales que hayan sido determinadas, o atender las actividades de los organismos estatales que hayan sido prescritas por leyes especializadas.

La disposición de excepciones tiene por objeto aplicar el principio de garantizar los derechos de las personas y las organizaciones pero sin infringir los intereses legítimos de otras personas, organizaciones o intereses nacionales para ejercer esos derechos.

En tercer lugar, promover la integración internacional en materia de protección de datos personales. El Decreto es compatible con las prácticas y normativas internacionales en materia de protección de datos personales. Muchos países desarrollados han legalizado la protección de datos personales, lo cual constituye la base para que Vietnam la estudie y consulte.

Además, las organizaciones internacionales de las que Vietnam es miembro o con las que coopera han emitido convenios, recomendaciones y normas sobre privacidad y protección de la información y los datos personales. Estas incluyen los principios de privacidad de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), el Convenio del Consejo de Europa sobre la protección de las personas con respecto al tratamiento automatizado de la información y los datos personales, las directrices de las Naciones Unidas sobre datos personales y archivos de información informatizados, el Marco de Privacidad de la Cooperación Económica Asia- Pacífico (APEC), las normas internacionales sobre privacidad y protección de la información y los datos personales (Resolución de Madrid), el Reglamento General de Protección de Datos (RGPD) de la UE...

Además, en el proceso de promover la cooperación entre nuestro país y otros países y territorios, más de 80 países han emitido documentos legales sobre protección de datos personales, muchos de los cuales incluyen disposiciones aplicables a organizaciones y personas vietnamitas. Por lo tanto, la normativa específica y detallada sobre protección de datos personales busca crear un entorno de igualdad y respeto al estado de derecho en Vietnam, incluso para personas y organizaciones extranjeras.

Los desafíos

Actualmente, aún existen desafíos importantes en la implementación del Decreto.

En primer lugar, el desafío en la gestión de los empleados de las empresas. Actualmente, muchas empresas construyen un modelo de empresa matriz y filiales con el mismo ecosistema de gestión, lo que facilita el acceso a la información de los empleados desde el sistema común.

Sin embargo, según la legislación vietnamita, cada empresa (incluidas las empresas matrices y las filiales) se considera una entidad jurídica separada e independiente, por lo que la transferencia de datos personales de empleados por parte de empresas del mismo ecosistema para servir al proceso de gestión interna de la empresa también puede considerarse una violación de la responsabilidad de la empresa de proteger los datos personales.

Por otra parte, en la actualidad, muchas empresas enfrentan dificultades para implementar el Decreto y aún no han completado el mecanismo y la normativa para gestionar y proteger los datos personales de los empleados de conformidad con el Decreto.

En segundo lugar, no se ajusta a la normativa legal que regula las operaciones de las entidades de crédito. Actualmente, las operaciones de las entidades de crédito están reguladas por normativas legales especializadas, como la Ley de Entidades de Crédito de 2010 (modificada y complementada en 2014); la Ley contra el Blanqueo de Capitales; el Decreto 117/2018/ND-CP sobre la confidencialidad y el suministro de información de los clientes de las entidades de crédito y sucursales bancarias extranjeras; y la Circular 09/2020/TT-NHNN del Banco Estatal, que regula la seguridad de los sistemas de información en las operaciones bancarias de nivel inferior al establecido por la Ley.

Por otro lado, para las actividades bancarias, el procesamiento de datos afecta a los datos personales, tales como: Recopilar, registrar, analizar, confirmar, almacenar, editar, publicar, combinar, acceder, recuperar, recordar, cifrar, descifrar, copiar, compartir, transmitir, proporcionar, transferir, eliminar, destruir datos personales u otras acciones relacionadas son esenciales para brindar servicios a los clientes y gestionar los riesgos en las actividades bancarias, garantizando la seguridad y protección del sistema monetario, por lo que muchas actividades de procesamiento de datos personales de clientes no pueden ni requieren el consentimiento de los clientes, mientras que la Cláusula 2, Artículo 3 y la Cláusula 1, Artículo 9 del Decreto estipulan que los sujetos tienen derecho a saber sobre el procesamiento de sus datos personales, excepto en los casos en que otras Leyes establezcan lo contrario.

O en la cláusula 2, el artículo 9 estipula que el sujeto tiene derecho a no consentir el procesamiento de sus datos personales; el sujeto tiene derecho a eliminar, acceder, solicitar la restricción del procesamiento de datos y oponerse al procesamiento de datos, excepto en los casos en que otras leyes tienen otras disposiciones en el artículo 9. Por lo tanto, será confuso e inapropiado si el Decreto se aplica rígidamente y sin una guía unificada.

Además, la prestación de servicios y productos por parte de las entidades de crédito se realiza mediante numerosos procesos en un mismo producto. Cada proceso incluye numerosas etapas y está relacionado con la recopilación, evaluación, análisis y suministro de datos en archivos de clientes de gran tamaño. El Decreto exige que el responsable y el encargado del tratamiento de datos personales obtengan el consentimiento del titular de los datos (cliente) en todos los procedimientos de tratamiento de datos al realizar cualquier actividad de tratamiento (artículo 11); y que, antes de realizar cualquier actividad de tratamiento de datos, se le notifique al titular de los datos personales (artículo 13). Esto sigue siendo otro obstáculo para las operaciones de las entidades de crédito.

Además, las entidades crediticias deben adecuar sus sistemas de tecnología de información y otros documentos sub-legales relacionados con las operaciones de las entidades crediticias; los modelos de contratos y acuerdos deben revisarse para cumplir con el Decreto, lo que crea dificultades significativas para las operaciones bancarias.

En tercer lugar, una parte de la población no comprende ni es consciente de la importancia de proteger sus datos personales, por lo que comparte fácilmente información personal en plataformas de redes sociales, permitiendo involuntariamente que personas malintencionadas la aprovechen con malos fines.

Algunas personas no ven claramente el valor de la protección de datos personales como garantía de la privacidad personal y también tienen miedo de proporcionar información personal, lo que dificulta que las autoridades lleven a cabo la gestión estatal de la protección de datos personales, así como la investigación y el tratamiento de las violaciones de la ley sobre protección de datos personales.

Además, la compraventa de datos personales y el riesgo de fuga de información tienen graves consecuencias que afectan a la economía. El fraude y el spam mediante llamadas y mensajes siguen siendo complejos y afectan la vida de las personas.

La seguridad de los datos personales es de especial importancia, ya que el robo de datos puede causar pérdidas económicas y sociales, afectando directamente los derechos e intereses legítimos de agencias, organizaciones, empresas y particulares. (Fuente: Shutterstock)

Poniendo en práctica el Decreto

Vietnam es uno de los países con mayor desarrollo de internet y mayor velocidad de aplicaciones del mundo, con más de 70 millones de usuarios. Los datos personales de más de dos tercios de la población de nuestro país se han almacenado, publicado, compartido y recopilado en el entorno digital, el ciberespacio, con diferentes formatos y niveles de detalle.

El Decreto supone un gran avance para garantizar los derechos humanos en la transformación digital, superar las deficiencias e insuficiencias en la práctica de garantizar, proteger y asegurar los datos personales y aumentar la responsabilidad de las agencias, organizaciones e individuos nacionales y extranjeros directamente involucrados o relacionados con las actividades de procesamiento de datos personales en Vietnam.

Para que el Decreto sea realmente eficaz en la práctica, es necesario centrarse en las siguientes cuestiones:

En primer lugar, aumentar la responsabilidad de las empresas en la protección de los derechos de los trabajadores. Al contratar mano de obra, las empresas deben recopilar y almacenar información de los empleados. Para cumplir con los objetivos de la gestión laboral, los empleadores y las empresas reciben y gestionan gran cantidad de información personal de los empleados. Sin embargo, si la gestión y el procesamiento de la información son descuidados, esto tendrá consecuencias impredecibles.

Las empresas deben estudiar y evaluar cuidadosamente los impactos generales del Decreto, revisar y actualizar rápidamente los procedimientos e instrucciones para el manejo de datos personales de acuerdo con las nuevas regulaciones; considerar establecer mecanismos y desarrollar regulaciones de gobernanza basadas en las disposiciones del Decreto; mantener y cumplir con esos mecanismos y regulaciones durante todo el proceso operativo.

En segundo lugar, eliminar las dificultades para las actividades crediticias de las entidades crediticias . El Banco Estatal debe coordinarse estrechamente con los ministerios pertinentes, en particular con el Ministerio de Seguridad Pública, para brindar una guía unificada sobre la protección de datos personales en el sector crediticio, garantizando la promoción de la responsabilidad operativa de las entidades crediticias en la protección de los datos de los clientes y el cumplimiento de los requisitos y tareas específicos.

En tercer lugar, para que el Decreto entre en vigor, es necesario realizar una buena labor de difusión y educación sobre la ley. En particular, es necesario destacar la necesidad de promulgarlo con el objetivo primordial de respetar y proteger los derechos civiles y humanos. Y, sobre todo, el titular de los datos personales debe comprender y concienciar plenamente sobre su responsabilidad en la protección de sus datos personales.