En todo el mundo existen leyes de protección de datos que afectan a las empresas que recogen y procesan la información personal de los visitantes de sus sitios web.
En Sudáfrica, las personas están protegidas por la Ley de Protección de Datos Personales, también llamada POPIA o Ley POPI.
En esta guía explico a quién se aplica POPIA, qué exige a las empresas, las sanciones por infringir la ley y cómo simplificar el cumplimiento de POPIA.
- ¿Qué es la Ley de Protección de Datos Personales (POPIA) de Sudáfrica?
- Términos clave y definiciones de POPIA
- ¿Qué cubre la Ley de Protección de Datos Personales?
- Requisitos de la Ley de Protección de Datos Personales
- POPIA frente a las leyes mundiales de protección de datos: Similitudes y diferencias
- ¿Cómo afecta la POPIA a los consumidores?
- ¿Cómo afecta la POPIA a las empresas?
- ¿Quién debe cumplir la POPIA?
- ¿Cómo pueden prepararse las empresas para la POPIA?
- ¿Cómo se hace cumplir la POPIA?
- Multas y sanciones en virtud de la Ley de Protección de Datos Personales
- ¿Cómo ayuda Termly a cumplir la POPIA?
- ¿Existen otras leyes relacionadas con la privacidad en Sudáfrica?
- Resumen
¿Qué es la Ley de Protección de Datos Personales (POPIA) de Sudáfrica?
La Ley de Protección de Datos Personales, a veces denominada POPIA o Ley POPI, es la principal ley sudafricana de protección de datos de los consumidores.
Se trata de un amplio instrumento legislativo que protege los datos personales de los sudafricanos estableciendo requisitos y obligaciones para las entidades que recopilan, procesan y utilizan esa información.
Comparte muchas similitudes con el Reglamento General de Protección de Datos europeo (rgpd ), pero difiere en aspectos notables: por ejemplo, las sanciones por infringir POPIA podrían acarrear penas de cárcel.
¿Cuándo entró en vigor POPIA?
El Parlamento aprobó el POPIA en noviembre de 2013, pero no entró en vigor hasta el 1 de julio de 2020.
En un principio, la ley preveía un periodo de gracia de un año para que las empresas se prepararan para su cumplimiento, de modo que el grueso de la ley entró en vigor el 1 de julio de 2021.
Sin embargo, el requisito del artículo 58 de notificar al regulador de la información si el tratamiento de datos está sujeto a autorización previa entró en vigor el 1 de febrero de 2022.
Hoy, la ley está plenamente en vigor.
Términos clave y definiciones de POPIA
Para comprender plenamente cómo cumplir la POPIA, es importante familiarizarse con la definición que da la ley a determinados términos, que he incluido a continuación:
¿Qué cubre la Ley de Protección de Datos Personales?
POPIA cubre la información personal de los individuos en Sudáfrica y describe las condiciones para el tratamiento legal de esos datos.
También regula el flujo de información personal fuera de las fronteras sudafricanas.
Requisitos de la Ley de Protección de Datos Personales
POPIA establece varios requisitos legalespara la recogida y el tratamiento de información personal.
Motivos del tratamiento de datos personales
En virtud de la ley POPIA, sólo puede procesar información personal por los siguientes motivos, tal y como se indica en el capítulo 2, sección 11 de la ley:
- El interesado consiente el tratamiento.
- El tratamiento es necesario para llevar a cabo acciones para la ejecución de un contrato.
- El tratamiento cumple una obligación establecida por ley para la parte responsable.
- El tratamiento protege el interés legítimo del interesado.
- El tratamiento es necesario para perseguir los intereses legítimos del responsable.
Cuando sea necesario, las empresas acogidas a POPIA son responsables de demostrar que han obtenido el consentimiento adecuado de los interesados.
No obstante, los interesados pueden oponerse al tratamiento de los datos en cualquier momento por cualquiera de los motivos enumerados anteriormente, a menos que la ley lo exija, y los responsables deben atender las solicitudes.
Consentimiento
El consentimiento en virtud de POPIA tiene una definición específica de inclusión voluntaria que coincide estrechamente con la definición del término en rgpd .
Los usuarios deben ser voluntarios activos mediante una "expresión de voluntad informada", y el acuerdo debe tener una finalidad específica en relación con el tratamiento de su información personal.
Condiciones para el tratamiento lícito
POPIA establece ocho condiciones para el tratamiento lícito de datos, que le resumo a continuación.
Los responsables deben cumplir las ocho condiciones de tratamiento mencionadas cuando recojan y utilicen información personal de interesados sudafricanos.
Notificación de violaciones de la seguridad
Una de las condiciones del tratamiento lícito según la POPIA exige que las partes responsables informen a los interesados y al Regulador de la Información si una parte no autorizada accede en algún momento a la información.
Como se explica en el capítulo 3, sección 22 de la ley, esta notificación debe producirse tan pronto como sea razonablemente posible, con pocas excepciones.
La notificación debe hacerse por escrito y comunicarse de una de las siguientes maneras:
- Envío por correo a la última dirección conocida del interesado
- Enviado por correo electrónico
- Colocados en un lugar destacado del sitio web del responsable
- Publicado en las noticias
- Otro método indicado por el regulador de la información
Además, la notificación debe incluir:
- Una descripción de las consecuencias de la violación de la seguridad
- Las medidas que adoptará la empresa para hacer frente al compromiso.
- Cómo planea la parte responsable mitigar que vuelva a producirse un delito de este tipo
- La identidad de la parte no autorizada, si se conoce
Transferencias internacionales de datos
POPIA describe los requisitos para las transferencias internacionales de datos en el Capítulo 9, Sección 72, que establece que las partes responsables no pueden transferir datos personales a un país extranjero a menos que:
- El tercero destinatario está sujeto a una ley, norma corporativa vinculante u otro acuerdo que defienda los principios de POPIA.
- El interesado consiente la transferencia de datos.
- La transferencia de los datos es necesaria para la ejecución o celebración de un contrato.
- La transferencia de datos beneficia al interesado, y no es factible obtener su consentimiento, o si lo fuera, probablemente daría su consentimiento.
POPIA frente a las leyes mundiales de protección de datos: Similitudes y diferencias
Sudáfrica es uno de los varios países y regiones que cuentan con una ley integral de protección de datos de los consumidores, y comparte algunas similitudes con los siguientes textos legislativos:
- La Ley de Protección de la Intimidad de los Consumidores de California (CCPA)
- Reglamento General de Protección de Datos (rgpd)
- Ley General de Protección de Datos de Brasil (LGPD)
- Ley de Protección de Datos Personales de Argentina (APDP de Argentina)
- Ley tailandesa de protección de datos personales (Thailand PDPA)
- Ley canadiense de Protección de Datos Personales y Documentos Electrónicos (PIPEDA)
- Ley australiana de Protección de la Intimidad de 1988 (Ley de Protección de la Intimidad)
- Ley de Privacidad de Nueva Zelanda 2020
Puede comparar POPIA con otras leyes mundiales sobre privacidad en la tabla que he elaborado a continuación.
| Ley de protección de datos | Requiere consentimiento expreso*. | Obliga a publicar una política de privacidad | Describe las obligaciones contractuales con terceros | Responsabiliza a las empresas de la seguridad de los datos | Tiene requisitos específicos para las transferencias internacionales de datos | Exige directrices adicionales para las categorías de información sensible (especial) |
| POPIA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| CCPA | ✓ | ✓ | ✓ | ✓ | ||
| RGPD | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| LGPD | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Argentina PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Tailandia PDPA | ✓ | ✓ | ✓ | ✓ | ✓ | |
| PIPEDA | ✓ | ✓ | ✓ | |||
| Ley de Protección de la Intimidad de 1988 | ✓ | ✓ | ✓ | ✓ | ||
| Ley de Privacidad 2020 | ✓ | ✓ | ✓ | ✓ | ✓ |
*Con algunas excepciones para algunas leyes.
¿Cómo afecta la POPIA a los consumidores?
La POPIA afecta a los consumidores al concederles diversos derechos y control sobre la forma en que las entidades cubiertas recogen y utilizan su información personal.
Según el capítulo 2, sección 5 de la ley, los interesados tienen derecho a:
- Ser notificados de que se está recopilando su información personal.
- Ser notificado si una persona no autorizada accede a su información.
- Acceder a su información personal.
- Solicitar la rectificación, destrucción o supresión de sus datos.
- Oponerse al tratamiento de sus datos personales por motivos razonables.
- Oponerse al tratamiento de datos personales con fines de mercadotecnia directa.
- No ser objeto de una toma de decisiones basada en el tratamiento automatizado de sus datos.
Además, los interesados tienen derecho a presentar una denuncia ante el Regulador de la Información si consideran que una entidad cubierta vulnera sus derechos y pueden emprender acciones civiles.
¿A quién se aplica la POPIA?
Según la definición de persona que figura en el artículo 1 de la Ley de Protección de Datos Personales, la Ley se aplica tanto a las personas físicas como jurídicas de Sudáfrica.
En otras palabras, protege la información personal de individuos y organizaciones capaces de demandar o ser demandados ante un tribunal.
¿Cómo afecta la POPIA a las empresas?
Además de las obligaciones contractuales, las transferencias internacionales de datos y la base jurídica para el tratamiento de datos mencionadas anteriormente, la Ley de Protección de Datos de Carácter Personal influye en la política de privacidad de las empresas y en las políticas de protección de datos. política de cookies.
¿Cómo afecta la POPIA a mi política de privacidad?
Según el artículo 18 de la POPIA, los responsables deben tomar "medidas razonablemente prácticas"para garantizar que sus consumidores son conscientes de sus actividades de tratamiento de datos.
Una forma sencilla de cumplir estas normas es proporcionar a los interesados una política de privacidad conforme a POPIA en la que se les informe de lo siguiente:
- La información recogida y de qué fuente procede, si no es de los propios sujetos.
- Nombre y dirección del responsable.
- Finalidad de la recogida de la información.
- Si el suministro de información personal es voluntario o no para el interesado.
- Cualquier ley que autorice o exija la recogida de la información.
- Si el responsable pretende transferir la información internacionalmente.
Además, debe enumerar los destinatarios o la categoría de destinatarios de los datos, la naturaleza de la categoría de la información y la existencia de todos los derechos de los interesados.
¿Cómo afecta la POPIA a mi política de cookies?
POPIA afecta significativamente a las políticas de cookies y al uso general de las cookies de Internet.
Dado que los interesados tienen derecho a saber si se recopilan sus datos, y que las cookies pueden recoger información personal, los sitios web deben presentar a los usuarios una información clara y precisa política de cookies.
La ley sudafricana sobre privacidad de datos también exige a los propietarios de sitios web que obtengan el permiso de los usuarios para colocar cookies en sus navegadores, por lo que las empresas deben utilizar un banner de consentimiento u otro mecanismo para obtener un acuerdo de aceptación.
¿Quién debe cumplir la POPIA?
Su empresa debe cumplir con POPIA si procesa información personal y está ubicada en Sudáfrica o si está ubicada en otro lugar pero hace uso de medios automatizados o no automatizados en el país, como se indica en el Capítulo 2, Sección 3.
A diferencia de otras leyes sobre privacidad, POPIA sí se aplica a las entidades sin ánimo de lucro.
¿Quién está exento de la POPIA?
Los datos recogidos y tratados para actividades personales o domésticas están exentos de la POPIA, al igual que determinados organismos públicos relacionados con la seguridad nacional.
¿Cómo pueden prepararse las empresas para la POPIA?
Para prepararse a cumplir la Ley de Protección de Datos Personales, las empresas deben actualizar su política de privacidad para cumplir todos los requisitos de notificación que establece la ley.
También es necesario publicar un política de cookies preciso y utilizar un banner de cookies para que sus usuarios sudafricanos puedan ejercer su derecho a oponerse al tratamiento.
También puede vincular a su sitio web un formulario de Solicitud de Acceso del Sujeto a los Datos (DSAR) para ayudar a las personas a ejercer fácilmente sus derechos.
¿Cómo se hace cumplir la POPIA?
El Regulador de la Información hace cumplir todos los aspectos de la POPIA y realiza investigaciones cuando una empresa presuntamente infringe la ley.
Multas y sanciones en virtud de la Ley de Protección de Datos Personales
Dependiendo de la gravedad de la infracción, violar la POPIA puede acarrear una multa de hasta 10 millones de rands (536.000 dólares), hasta 10 años de cárcel, o ambas cosas.
Las infracciones leves conllevan multas menores de hasta 1 millón de rands (53.000 dólares) o un año de prisión.
¿Cómo ayuda Termly a cumplir la POPIA?
Termly puede ayudarle a simplificar el cumplimiento de la POPIA porque nuestro Generador de política de privacidad incluye las cláusulas necesarias para cumplir los requisitos de notificación establecidos por la ley.
Este cuestionario, validado por nuestro equipo jurídico y nuestros expertos en protección de datos, plantea preguntas básicas sobre su empresa y sus actividades de tratamiento de datos.
Elabora una política única basada en tus respuestas que puedes incrustar en tu sitio web o aplicación y actualizar en cualquier momento directamente en tu panel de control de Termly .
También proporcionamos una plataforma gestión del consentimiento (CMP) configurable para cumplir los requisitos de exclusión voluntaria de POPIA relativos a la publicidad dirigida.
¿Existen otras leyes relacionadas con la privacidad en Sudáfrica?
En Sudáfrica existen algunas otras leyes relacionadas con la privacidad, además de la POPIA, entre las que se incluyen las siguientes:
- Ley del Centro de InteligenciaFinanciera (FICA): Obliga a las instituciones financieras a conservar los registros financieros y las transacciones con sus clientes durante un máximo de cinco años para luchar contra el blanqueo de capitales.
- Ley de Inteligencia Estratégica Nacional(NSIA): Regula qué agencias pueden participar en la recopilación encubierta de inteligencia y esboza las directrices para su funcionamiento.
Además, otras leyes específicas de la industria y el sector complementan la POPIA, como la Ley de Protección del Consumidor(CPA) y la Ley Nacional de Salud(NHA).
Resumen
Si su empresa entra en el ámbito de aplicación de la Ley de Protección de Datos Personales de Sudáfrica, asegúrese de tomar las medidas necesarias para cumplir todas las obligaciones que establece la ley.
Publique una política de privacidad conforme en su sitio web para cumplir todos los requisitos de notificación, y utilice un banner consentimiento de cookies que enlace con su política de cookies actualizado.
Cumpla todas las obligaciones contractuales si trabaja con terceros procesadores, y recuerde aplicar las medidas de seguridad adecuadas para mantener a salvo la información personal.
Simplifique el cumplimiento de POPIA utilizando Termly's Generador de política de privacidad y la plataformagestión del consentimiento .
Más sobre el autor
Escrito por Anokhy Desai CIPP/US, CIPT, CIPM
Anokhy es abogada especializada en privacidad con experiencia previa en privacidad y ciberseguridad en los sectores público y privado. Como antigua Westin Fellow en la IAPP, publicó varios artículos, libros blancos e infografías, y dirigió, coordinó y moderó seminarios web y paneles, todos ellos sobre privacidad y tecnología de la privacidad en Estados Unidos. Anokhy obtuvo su máster en la Universidad Carnegie Mellon y su doctorado en Derecho en la Universidad de Pittsburgh. Más sobre el autor
