El Centro Financiero Internacional de Dubái, también conocido por sus siglas en inglés como DIFC, promulgó una nueva ley sobre la protección de datos personales que busca un mejor control sobre la circulación de los mismos.
La ley DIFC nº 5 del 2020 sería la sustituta de la anterior Ley del DIFC nº 1 del año 2007, y representa una mejora en los estándares de seguridad. Asimismo, establece más medidas para los encargados de estos procesos, y refuerza la protección de los derechos de los usuarios.
A continuación se conocerá cuáles son las obligaciones creadas bajo esta ley, y cómo actuar en caso de que violaciones a sus estipulaciones sean acontecidas.
Protección contra las infracciones de los datos personales
De acuerdo a lo indicado en esta ley, todos aquellos responsables y encargados de la seguridad de la información necesitan estar actualizados sobre interrogantes fundamentales en el área. Como son los casos de los puntos débiles en las estructuras, las medidas de seguridad físicas, la capacitación al personal y la política de gestión en caso de incidentes.
Debido a ello, los responsables y encargados están en la obligación de preparar un plan de respuesta, para así garantizar que los riesgos sean mínimos. También esto ayuda a conocer cómo actuar cuando ocurran eventos de esta índole. Sin olvidar que este plan debe ajustarse a los requisitos impuestos por el DIFC.
Pensando en ello, es fundamental educar a todo el personal con información específica sobre los parámetros impuestos por esta ley. Especialmente, en el apartado sobre la infracción en los datos personales.
Dichas infracciones pueden presentarse de maneras infinitas, como por ejemplo, el envío involuntario de correos electrónicos o actos de piratería informática mucho más sofisticados.
Notificación al Comisario de Protección de Datos del DIFC
Por igual, esta ley impone que en caso de ocurrir una violación de esta índole, tan pronto como sea posible se deberá informar de ello al Comisario de Protección de Datos del DIFC.
Las demoras injustificadas no están permitidas cuando la confidencialidad y la seguridad de los implicados está en riesgo. Además esta notificación debe incluir datos como:
- Descripción de la naturaleza de la infracción: En esta sección se incluye el número de afectados, sus categorías e identidades.
- Datos de contacto de los afectados: También debe aportarse junto con el nombre del perjudicado, cualquier dato de contacto disponible.
- Explicación de las consecuencias: Tiene que describirse cómo esta violación afectará a las personas.
- Medidas adoptadas: Y para finalizar, aquellas medidas que se han adoptado o que se adoptarán para solventar esta infracción.
Notificación a los interesados
Es una obligación que al presentarse una violación de datos de alto riesgo, los encargados comuniquen a los interesados de esto. Esta acción debe ocurrir en la brevedad posible, además este mensaje debe ser claro y sencillo de entender.
Por lo que se espera que una de estas notificaciones incluya información como la naturaleza de la infracción, los datos de contacto del responsable del caso, los riesgos a los que es vulnerable y las medidas adoptadas o a adoptar.
Comparación con el GDPR
Es interesante explorar las similitudes existentes entre la posición del DIFC y el Reglamento General de Protección de Datos de Europa (GDPR), sobre el cual se tomó inspiración. Sin embargo, existen diferencias muy marcadas que ayudan a diferenciar mejor uno del otro, estas son:
Las notificaciones al Comisionado
Una de las principales diferencias está en que en la Ley de Protección de Datos del DIFC se exige notificar “lo más pronto posible” a los comisionados. Mientras que en el GDPR se estipula un plazo de estricto de notificación de 72 horas.
Las notificaciones a los interesados
En ambos se ordena informar sobre las violaciones de seguridad a los interesados. Pero en la DIFC esta exigencia se presenta cuando el riesgo sea uno alto para la seguridad de los datos personales. En cambio para el GDPR cuando se presente un riesgo alto para los derechos y las libertades de las personas físicas.
Las multas
Con respecto a las multas, según el GDPR pueden superar los 20 millones de euros o también hasta el 4% del volumen de los negocios globales de una entidad. No obstante, para el cálculo de las multas impuestas por el DIFC, no se habla de este tipo de porcentaje.
Con la ley del DIFC se imponen multas que podrían llegar hasta 50 mil dólares cuando no se notifica a los involucrados sobre dichas infracciones.