Legislación y proyectos normativos - Kenia

Nueva ley de protección de datos

Data Protection Act, 2019

Ante la falta de un marco legal en el país sobre cómo deben manejar las entidades privadas y públicas los datos de los clientes y los ciudadanos, a finales de noviembre del 2019 se aprobó en Kenia la ley de protección de datos (Data Protection Act, 2019).

La norma, inspirada en los principios recogidos en el Reglamento General de Protección de Datos de la Unión Europea, tiene el objetivo de establecer los mecanismos legales e institucionales necesarios para regular la recopilación, el almacenamiento y el procesamiento de datos personales y así proteger la privacidad de las personas.

A continuación destacamos su principal contenido:

Tratamiento de datos personales

La ley se aplica al procesamiento de datos personales recogidos a través de medios automatizados o no automatizados por un controlador o procesador de datos que:

  • Esté establecido o sea residente habitual en Kenia y procese datos mientras está en el país,
  • O bien, sin cumplir lo anterior, procese datos personales de interesados ubicados en Kenia

Derechos de los interesados

 Se reconocen a los interesados, entre otros, los siguientes derechos:

  • Ser informados del uso para el que se procesan sus datos personales (derecho de información)
  • Acceder a los datos personales que tengan de ellos los controladores o procesadores de datos (derecho de acceso)
  • Objetar el procesamiento de todo o parte de su información personal, corregir los datos falsos o engañosos, y eliminarlos (derecho de rectificación y supresión)
  • Recibir los datos sobre ellos de forma estructurada y en un formato legible por máquina, así como a traspasarlos de un controlador o procesador a otro (derecho a la portabilidad de datos) 

Deber de notificar

 Antes de recopilar los datos personales, los controladores y procesadores de datos deberán informar al interesado: i) que se están recopilando sus datos y cuáles son; ii) con qué propósito lo hacen; iii) si tienen intención de transferirlos a terceros y, en su caso, a quiénes; iv) cuáles son sus derechos; v) las medidas de seguridad técnicas y organizativas tomadas para garantizar la integridad y confidencialidad de los datos; entre otros.

Consentimiento expreso

 Para poder recopilar, procesar, almacenar y usar los datos personales será necesario que los interesados presten su consentimiento de forma expresa, inequívoca, libre, específica e informada, mediante una declaración o una acción afirmativa clara; pudiendo retirarlo en cualquier momento.

No se podrán procesar datos personales de los niños, a menos que se cuente con el consentimiento de sus padres o tutores, o el procesamiento se realice de tal manera que proteja y promueva sus derechos y los mejores intereses para ellos (por ejemplo, organizaciones que trabajan para la defensa o protección de los niños). Los controladores y procesadores de datos deberán contar con los mecanismos apropiados para verificar su edad y el consentimiento para procesar sus datos.

Oficina del Comisionado de Protección de Datos

La norma crea la Oficina del Comisionado de Protección de Datos como organismo responsable de asegurar la aplicación de la nueva ley. Sus funciones son, entre otras, las siguientes:

  • Establecer y mantener un registro de controladores y procesadores de datos
  • Supervisar las operaciones de procesamiento de datos, ya sea de oficio o a solicitud de un interesado, y verificar si se realizan de conformidad con la ley
  • Recibir e investigar cualquier queja de cualquier persona respecto a la violación de sus derechos
  • Promover la cooperación internacional en asuntos relacionados con la protección de datos y garantizar que el país cumple con sus obligaciones de protección de datos bajo convenios y acuerdos internacionales
  • Realizar otras funciones que le sean prescritas por cualquier otra ley o según sea necesario para la promoción del objeto de esta ley

Registro de controladores y procesadores

Para poder tratar los datos personales, los controladores y procesadores de datos deberán estar válidamente registrados en la Oficina del Comisionado de Datos.

La ley especifica en su artículo 19 la información que deben incluir en la solicitud de registro, destacando especialmente el deber de indicar las medidas que tienen para indemnizar a los interesados en caso de uso ilegal de sus datos.

Notificación y comunicación de incumplimiento

Los controladores y procesadores de datos deben emplear medidas de seguridad adecuadas para evitar el acceso no autorizado, la divulgación o la pérdida de los datos personales recopilados por ellos. En caso de incumplimiento, están obligados a informarlo al Comisionado de Datos dentro de las 72 horas siguientes a producirse, y a los interesados ​​afectados, sin demora.

Transferencia internacional de datos

La ley prohíbe la transferencia de datos fuera de Kenia, a menos que existan garantías adecuadas de protección de datos, o se haya obtenido el consentimiento del interesado.