En Ley de Protección de la Información Personal de Sudáfrica (POPIA) Se centra en los derechos de protección de datos de los titulares de datos en Sudáfrica y ofrece a los ciudadanos sudafricanos un mayor control sobre sus datos personales. La POPIA también exige que toda organización que procese información personal en Sudáfrica la proteja.
¿Qué es POPIA?
La versión final de POPIA de Sudáfrica —que entrará en vigor el 1 de julio de 2021— es la última ley importante de privacidad de datos del mundo que sigue de cerca el modelo de la UE. GDPR.
La ley otorga a los ciudadanos —o titulares de los datos— derechos exigibles. derechos sobre sus datos personales, establece ocho requisitos mínimos para el procesamiento de datos (por ejemplo, la introducción del consentimiento como base jurídica requerida), crea una definición amplia de información personal para la protección integral del usuario final y forma un Regulador de Información (SAIR) para hacer cumplir y supervisar las disposiciones.
Datos personales y datos personales sensibles
La POPIA se aplica a cualquier empresa u organización. procesamiento de información personal en Sudáfrica, que reside en el país o que no reside en el país pero utiliza medios de procesamiento automatizados o no automatizados dentro de Sudáfrica.
La POPIA define información personal En sentido amplio, se entiende como tal cualquier información relativa no sólo a una persona viva, sino también a una empresa o entidad jurídica.
Los datos personales, tanto en el marco de la POPIA como del RGPD, incluyen datos que identifican a una persona específica o datos que la hacen reconocible. Si bien la POPIA también incluye una definición similar de datos personales e información personal especial (o datos sensibles En el RGPD, la ley sudafricana establece algunos requisitos estrictos que tipifican como delitos los datos sensibles y vulnerables.
Tratamiento de datos
La POPIA define el procesamiento de datos como la recopilación, recepción, registro, organización, almacenamiento, fusión, vinculación, etc., de información personal. La POPIA permite a las empresas y organizaciones procesar datos si se considera que responde al interés legítimo del usuario, lo que puede generar ambigüedad, posibles abusos y dificultades de cumplimiento.
La POPIA también crea ocho condiciones para tratamiento lícito de datos, donde el consentimiento del titular de los datos es fundamental. Corresponde a los sitios web, empresas y organizaciones («partes responsables») demostrar que su tratamiento es lícito o que se han obtenido los consentimientos correctos de los usuarios. La POPIA define el consentimiento como cualquier expresión de elección voluntaria, específica e informada.
Transferencia y compartición de datos
Las transferencias de información personal desde dentro hacia fuera de Sudáfrica están prohibidas por la POPIA, con las siguientes excepciones:
- Se permiten transferencias transfronterizas a un tercero que esté sujeto a obligaciones legales o corporativas. protección de datos reglas sustancialmente similares a las suyas.
- Ciertos tipos de transferencia están exentos de las condiciones, como cuando un individuo ha consentido la transferencia o cuando la transferencia es necesaria para cumplir un contrato.
Derechos de datos
POPIA crea nueve derechos procesables para los ciudadanos sudafricanos (sujetos de datos), incluidos, entre otros, el derecho de acceso, el derecho de corrección y el derecho de eliminación.
Al igual que con el RGPD, los ciudadanos pueden solicitar confirmación de si procesan su información personal de forma gratuita. A diferencia del RGPD, la POPIA permite a las organizaciones cobrar una tarifa por proporcionar a las personas una copia de la información que una empresa conserva sobre ellas. Las organizaciones que opten por hacerlo deben presentar previamente un presupuesto por escrito del coste.
La POPIA también exige que las organizaciones respondan a cualquier solicitud de este tipo. Solicitud de DSAR dentro de un plazo razonable. El RGPD, por otro lado, es más específico y establece que, en circunstancias normales, las organizaciones deben responder a una solicitud de acceso del interesado (DSAR) sin demora, y a más tardar en el plazo de un mes.
¡Multas, sanciones y cárcel, Dios mío!
Las ramificaciones financieras de una violación de POPIA tienen una multa máxima de $10 millones de ZAR (rands sudafricanos), que es mucho menor que una Multa del RGPD Máximo de 20 millones de euros o 41 TP3T de facturación global anual. Sin embargo, las autoridades europeas competentes pueden considerar el grado de cooperación que muestra una organización durante sus investigaciones.
Como una capa adicional a la legislación sudafricana, las personas pueden ser consideradas penalmente responsables y sentenciadas a prisión por hasta 10 años en los casos más graves.
En comparación con la POPIA, las sanciones del RGPD se centran más directamente en el incumplimiento. Se aplican al incumplimiento y a una serie de otros delitos, como obstaculizar, obstruir o influir ilícitamente en los agentes encargados de hacer cumplir la ley que no comparecen bajo juramento a las audiencias judiciales.
Con BigID, las empresas pueden evitar estas sanciones y adelantarse a los desafíos de cumplimiento de POPIA:
- Descubrir datos:Identificar datos personales y clasificar datos sensibles.
- Contextualizar los datos: Correlacionar relaciones entre datos aportando contexto a los datos personales y sensibles.
- Datos de etiquetas y rotuladores para fines legales: Asegúrese de que los datos se procesen de acuerdo con las normas de privacidad.
- Minimizar los datos duplicados o confidenciales:Habilite la minimización de datos con identificación duplicada y aplique reglas de retención basadas en un propósito legal.
- Gestionar el riesgo de los datos:Descubrir, clasificar y mapear datos para aplicar controles para la reducción del riesgo de infracciones.
- Automatizar el cumplimiento de los derechos de datos:Automatizar el cumplimiento manual de solicitudes de acceso y eliminación de datos individuales.
- Informe sobre qué datos tienen:Habilite flujos de trabajo de corrección y valide si se están capturando datos confidenciales.
- Detectar transferencias de datos transfronterizas que no cumplen con las políticas:Realice un seguimiento de las violaciones de acceso, uso y transferencia de datos en toda la organización para tomar medidas inmediatas.
Cualquier organización que procese datos personales de residentes sudafricanos debe asegurarse de que estén en conformidad con POPIA y prestar mucha atención a cualquier consejo que publiquen los reguladores en los próximos meses.
Vea cómo BigID puede ayudar Usted garantiza el cumplimiento de su organización con la POPIA.