Medidas para garantizar los derechos humanos en la transformación digital

La protección de datos personales es la protección de los derechos humanos y las libertades fundamentales en relación con los datos.

El 17 de abril de 2023, el Gobierno emitió el Decreto No. 13/2023/ND-CP (Decreto) sobre protección de datos personales, en vigor a partir del 1 de julio de 2023, cumpliendo con los requisitos para proteger los derechos de datos personales; Prevenir actos de vulneración de datos personales que afecten los derechos e intereses de personas y organizaciones.

Reflejos

El Decreto es un documento legal que regula la protección de datos personales y la responsabilidad de las agencias, organizaciones e individuos relevantes de proteger los datos personales.

En primer lugar, la protección de datos personales implica proteger los derechos humanos y las libertades fundamentales en relación con los datos. Las disposiciones del Decreto sobre protección de datos personales vigentes tienen como objetivo evitar que se violen los derechos y libertades personales de cada persona.

Al mismo tiempo, la seguridad de los datos personales es de especial importancia ya que si los datos son robados, pueden ocasionarse pérdidas económicas y sociales, riesgos como: chantaje, fraude, apropiación de bienes, difamación, atentado al honor, a la dignidad, abuso sexual..., provocando consecuencias tanto materiales como espirituales, afectando directamente a los derechos e intereses legítimos de organismos, organizaciones, empresas y particulares.

En segundo lugar, promover y respetar los derechos de los titulares de datos personales. Los derechos de los interesados ​​incluyen el derecho de acceso, el derecho a consentir u oponerse al tratamiento de datos personales, el derecho a ser informado y el derecho a solicitar la eliminación de datos…

Además, los interesados ​​también tienen derecho a protegerse frente a la vulneración de sus datos personales por parte de otros interesados. El titular tiene derecho a solicitar la indemnización por daños y perjuicios cuando se produzca una violación a las disposiciones del Decreto que produzca perjuicio al derecho a la protección de datos personales. El Decreto también estipula claramente que recopilar, transferir, comprar y vender datos personales sin el consentimiento del titular es una violación de la ley.

Sin embargo, el derecho del titular a la protección de sus datos personales no es un derecho absoluto, sino que puede limitarse en casos de emergencia para proteger la vida y la salud del propio individuo o de otras personas; estado de emergencia en materia de defensa nacional, seguridad nacional, orden social y seguridad; cumplir obligaciones contractuales según lo determinado, o servir a actividades de organismos estatales según lo prescriban leyes especializadas.

La disposición de excepciones tiene por objeto aplicar el principio de garantizar los derechos de las personas y las organizaciones sin infringir los intereses legítimos de otras personas, organizaciones o intereses nacionales para ejercer esos derechos.

En tercer lugar, promover la integración internacional en materia de protección de datos personales. El Decreto es compatible con las prácticas y regulaciones internacionales en materia de protección de datos personales. Muchos países desarrollados han legalizado la cuestión de la protección de datos personales, lo que constituye la base para que Vietnam investigue y consulte.

Además, las organizaciones internacionales de las que Vietnam es miembro o cooperan con nuestro país han emitido convenciones, recomendaciones y normas sobre privacidad y protección de información y datos personales. Estos incluyen los principios de privacidad de la Organización para la Cooperación y el Desarrollo Económicos (OCDE), el Convenio del Consejo de Europa sobre la protección de las personas con respecto al procesamiento automático de información y datos personales, las directrices de la ONU sobre datos personales y archivos de información informatizados, el Marco de Privacidad de Cooperación Económica Asia-Pacífico (APEC), los estándares internacionales sobre privacidad y protección de información y datos personales (Resolución de Madrid), el Reglamento General de Protección de Datos de la UE (GDPR)...

Además, en el proceso de promover la cooperación entre nuestro país y otros países y territorios, más de 80 países han emitido documentos legales sobre protección de datos personales, muchos de los cuales tienen disposiciones aplicables a organizaciones e individuos vietnamitas. Por lo tanto, existen regulaciones específicas y detalladas sobre la protección de datos personales que tienen como objetivo crear un entorno igualitario y respetuoso de la ley en Vietnam, incluso para personas y organizaciones extranjeras.

Los desafíos

Actualmente, aún existen desafíos importantes en la implementación del Decreto.

En primer lugar, el desafío de la gestión laboral de las empresas. Hoy en día, muchas empresas construyen un modelo de empresa matriz y empresas subsidiarias que comparten el mismo ecosistema de gestión y se puede acceder fácilmente a la información de los empleados desde el sistema común.

Sin embargo, según la legislación vietnamita, cada empresa (incluidas las empresas matrices y las filiales) se considera una entidad jurídica separada e independiente, por lo que la transferencia de datos personales de empleados por parte de empresas del mismo ecosistema para servir al proceso de gestión interna de la empresa también puede considerarse una violación de la responsabilidad de la empresa de proteger los datos personales.

Por otra parte, en la actualidad, muchas empresas enfrentan dificultades para implementar el Decreto y aún no han completado el mecanismo y la reglamentación para gestionar y proteger los datos personales de los empleados de conformidad con el Decreto.

En segundo lugar, no es coherente con la normativa legal sobre el funcionamiento de las entidades de crédito. Actualmente, las operaciones de las entidades de crédito están reguladas por normas jurídicas especializadas como: Ley de Entidades de Crédito de 2010 (modificada y complementada en 2014); Ley contra el Lavado de Dinero; Decreto 117/2018/ND-CP sobre confidencialidad y suministro de información de clientes de entidades de crédito y sucursales bancarias extranjeras; Circular 09/2020/TT-NHNN del Banco del Estado que regula la seguridad de los sistemas de información en las actividades bancarias en el nivel inferior a la Ley.

Por otra parte, para las actividades bancarias, el tratamiento de datos afecta a los datos personales, tales como: Recoger, registrar, analizar, confirmar, almacenar, editar, hacer pública, combinar, acceder, recuperar, recordar, cifrar, descifrar, copiar, compartir, transmitir, proporcionar, transferir, borrar, destruir datos personales u otras acciones relacionadas son esenciales para prestar servicios a los clientes y gestionar los riesgos en las actividades bancarias, garantizando la seguridad y protección del sistema monetario, por lo que muchas actividades de tratamiento de datos personales de los clientes no pueden ni requieren el consentimiento de los mismos, mientras que la Cláusula 2, Artículo 3 y la Cláusula 1, Artículo 9 del Decreto estipulan que los sujetos tienen derecho a conocer sobre el tratamiento de sus datos personales, salvo en los casos en que otras Leyes dispongan lo contrario.

O en la cláusula 2, artículo 9 estipula que el titular tiene derecho a no consentir el tratamiento de sus datos personales; El interesado tiene derecho a la supresión, acceso, limitación del tratamiento y oposición al tratamiento de los datos, salvo en los casos en que otras leyes establezcan otra cosa en el artículo 9. Por tanto, resultará confuso e inadecuado aplicar el Decreto de forma rígida y sin una orientación unificada.

Además, la prestación de servicios y productos por parte de las entidades de crédito se lleva a cabo según muchos procesos en un solo producto, cada proceso en un producto incluye muchos pasos diferentes y está relacionado con la recopilación, evaluación, análisis y suministro de datos en archivos de clientes muy grandes, mientras que el Decreto requiere que la Parte que Controla y Procesa datos personales al realizar cualquier actividad de procesamiento de datos debe tener el consentimiento del sujeto de los datos (cliente) en todos los procedimientos de procesamiento (artículo 11); y deberá notificar al titular de los datos personales antes de realizar actividades de tratamiento de datos (artículo 13). Esto sigue siendo otro obstáculo para las operaciones de las entidades de crédito.

Además, las entidades de crédito deberán adecuar sus sistemas de tecnología de información y demás documentos sublegales relacionados con las operaciones de las entidades de crédito; Los documentos contractuales y de acuerdo deben revisarse para cumplir con el Decreto, lo que crea no pocas dificultades para las operaciones bancarias.

En tercer lugar, una parte de la población no comprende ni es consciente de la importancia de proteger sus datos personales, por lo que comparte fácilmente información personal en plataformas de redes sociales, permitiendo involuntariamente que personas malintencionadas se aprovechen de ella con malos fines.

Algunas personas no ven claramente el valor de la protección de datos personales como garantía de la privacidad personal y también tienen miedo de proporcionar información personal, lo que dificulta a las autoridades llevar a cabo la gestión estatal de la protección de datos personales, así como la investigación y el tratamiento de las violaciones de la ley de protección de datos personales.

Además, la situación de compra y venta de datos personales, el riesgo de fuga de información, crea consecuencias importantes, que afectan a las cuestiones socioeconómicas. El fraude y la publicidad spam a través de llamadas y mensajes de texto siguen siendo complicados y afectan la vida de las personas.

La seguridad de los datos personales es de particular importancia porque, si son robados, pueden ocasionarse pérdidas económicas y sociales, afectando directamente los derechos e intereses legítimos de agencias, organizaciones, empresas e individuos. (Fuente: Shutterstock)

Puesta en práctica del Decreto

Vietnam es uno de los países con mayor desarrollo de Internet y velocidad de aplicaciones del mundo con más de 70 millones de usuarios. Los datos personales de más de 2/3 de la población de nuestro país se han almacenado, publicado, compartido y recopilado en el entorno digital y el ciberespacio en diferentes formas y niveles de detalle.

El Decreto constituye un gran avance para garantizar los derechos humanos en la transformación digital, superar las deficiencias e insuficiencias en la práctica de garantizar, proteger y asegurar los datos personales y aumentar la responsabilidad de las agencias, organizaciones e individuos nacionales y extranjeros directamente involucrados o relacionados con las actividades de procesamiento de datos personales en Vietnam.

Para que el Decreto sea realmente eficaz en la práctica, es necesario centrarse en las siguientes cuestiones:

Una de ellas es aumentar la responsabilidad de las empresas en la protección de los derechos de los trabajadores. Al contratar mano de obra, las empresas deben recopilar y almacenar información de los empleados. Para cumplir con el propósito de la gestión laboral, los empleadores y las empresas reciben y gestionan una gran cantidad de información personal de los empleados, pero si son descuidados en la gestión y el procesamiento de la información, esto dará lugar a consecuencias impredecibles.

Las empresas deben estudiar cuidadosamente y evaluar exhaustivamente los impactos del Decreto, revisar y actualizar rápidamente los procedimientos e instrucciones para el manejo de datos personales de acuerdo con las nuevas regulaciones; Considerar establecer mecanismos y elaborar normas de gobernanza con base en las disposiciones del Decreto; Mantener y cumplir dichos mecanismos y regulaciones durante toda la operación.

En segundo lugar, eliminar las dificultades para las actividades crediticias de las entidades de crédito . El Banco Estatal debe coordinarse estrechamente con los ministerios pertinentes, especialmente el Ministerio de Seguridad Pública, para proporcionar una orientación unificada sobre la protección de datos personales en el sector crediticio, garantizando tanto la promoción de la responsabilidad operativa de las instituciones de crédito en la protección de los datos de los clientes como el cumplimiento de los requisitos y tareas especializados.

En tercer lugar, para que el Decreto entre realmente en vigor, es necesario hacer un buen trabajo de propaganda y educación para popularizar la ley. En particular, es necesario resaltar la necesidad de expedir un Decreto con el más alto propósito de respetar y proteger los derechos civiles y los derechos humanos. Y, sobre todo, el propio interesado debe comprender plenamente y aumentar su conciencia y responsabilidad en la protección de los datos personales.