Como uno de los países con mayor desarrollo de Internet y velocidad de aplicaciones en el mundo, con casi el 80% de la población usándolo, los datos personales de 2/3 de la población de Vietnam se almacenan, publican, comparten y recopilan en el ciberespacio en muchas formas y niveles de detalle diferentes.

En 2022 y 2023, Vietnam procesó cinco casos penales relacionados con la compraventa de miles de GB de datos y miles de millones de información personal. Esto demuestra que es urgente mejorar la legislación sobre protección de datos personales basándose en la investigación y la referencia al derecho internacional.

Derecho internacional sobre protección de datos personales

El RGPD se considera un gran avance jurídico que crea el mecanismo de protección de información personal más estricto del mundo actual.

Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) . El RGPD se considera un gran avance jurídico que crea el mecanismo de protección de información personal más estricto del mundo actual y se aplica a todas las organizaciones y empresas que procesan datos personales de ciudadanos en la UE.

El RGPD aplica sanciones corporativas uniformes en todos los ámbitos. En concreto, la multa puede llegar hasta el 2% de la facturación o 10 millones de euros para las infracciones leves, y hasta el 4% de la facturación o 20 millones de euros para las infracciones graves. Además de las multas, las empresas que violen el RGPD también pueden estar sujetas a otras sanciones, como ser obligadas a dejar de procesar datos o eliminar datos que se hayan procesado en violación del RGPD.

La autoridad de protección de datos personales de la UE es la Autoridad de Supervisión de Protección de Datos de la UE (SEPD), un organismo independiente cuyos miembros incluyen abogados experimentados, expertos en TI y administradores.

Su función principal es supervisar el tratamiento de datos personales en los organismos e instituciones de la UE y asesorar sobre cuestiones relacionadas con los datos personales. El RGPD también exige la creación de una Autoridad de Protección de Datos Personales en cada Estado miembro, como una Comisión Nacional de Protección de Datos Personales (Francia, Irlanda, etc.) o una Inspección de Protección de Datos (Finlandia, Letonia, etc.).

Junto con el SEPD, la UE también creó el Comité Europeo de Protección de Datos (CEPD), que está compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros y representantes de la UE, y funciona como el principal organismo asesor independiente sobre cuestiones de protección de datos personales, responsable de la aplicación coherente del RGPD en toda la Unión.

El RGPD prevé sanciones altamente disuasorias, tanto materiales como inmateriales. Además, la autoridad de protección de datos personales de la UE se implementa según el modelo de Comisión/Comisionado, por lo que tiene poderes amplios e independientes para imponer sanciones si las organizaciones violan las regulaciones de protección de datos personales y puede evaluar y decidir de forma independiente sobre el procesamiento de datos personales.

La Ley de Protección de Información Personal (PIPL) de China, promulgada en 2021, se considera la primera ley integral de protección de información personal a nivel nacional en China. La PIPL adopta una visión relativamente unificada de los datos personales/información personal como información que identifica o identifica a un individuo específico y está dirigida a un grupo objetivo estrecho de individuos dentro del territorio de China (Artículo 4 Capítulo 1 PIPL). Al mismo tiempo, se establecen normas sobre cuestiones de datos personales sensibles para establecer regulaciones sobre los derechos y obligaciones de las partes respecto de grupos de datos más específicos.

Las sanciones por violaciones de los derechos de datos personales bajo la PIPL son muy severas, como la remediación forzosa, la confiscación de ingresos ilegales, la suspensión de servicios, la revocación de licencias operativas o comerciales y multas de hasta 50 millones de yuanes o el 5% de los ingresos anuales de una organización en el año fiscal anterior. Además, las infracciones también podrán registrarse en el "expediente de crédito" de la unidad de procesamiento en el marco del sistema nacional de crédito social.

Además, las unidades de procesamiento serán responsables de indemnizar los daños y perjuicios si vulneran los derechos e intereses de organizaciones e individuos. Las sanciones penales por este tipo de violaciones también están reguladas específicamente por la Ley Penal china, que estipula una responsabilidad penal más severa para los responsables de la confidencialidad de la información, agrega la forma de confiscación de propiedad y estipula la cadena perpetua como la pena de prisión más alta.

Ley de Protección de Datos Personales de Singapur (PDPA) aprobada en 2012 (enmendada en 2020). La ley de Singapur reconoce el derecho a la protección de datos personales, así como la necesidad de que las organizaciones recopilen, utilicen y divulguen información para fines apropiados en determinadas circunstancias.

La PDPA también prevé severas sanciones financieras por violaciones de datos. Los infractores individuales estarán sujetos a multas o prisión. La multa depende de la naturaleza y gravedad del acto, e incluye una multa de 2.000 a 100.000 SGD (equivalente a 1.600 millones de VND) o/y una pena de prisión de no más de 12 meses, si es grave, hasta 3 años1; Para las agencias y empresas que infrinjan la ley, se podrán aplicar multas de hasta el 10% de la facturación anual.

El organismo que desempeña un papel clave para garantizar la implementación de la PDPA es la Comisión de Protección de Datos Personales (PDPC). Se trata de un organismo especializado con gran poder y amplias capacidades de ejecución cuando tiene el derecho de solicitar a personas y organizaciones que proporcionen información y documentos relacionados con el procesamiento de datos personales, imponer sanciones económicas por las violaciones, así como manejarlas con otras medidas.

La creación de una agencia especializada, la Comisión de Protección de Datos Personales de Singapur, que trabaja de forma independiente y proactiva en la detección, el manejo de violaciones y la aplicación de sanciones, es también una de las condiciones para la aplicación efectiva de la protección de datos personales en Singapur.

Recomendaciones para mejorar las leyes de protección de datos personales en Vietnam

Actualmente en Vietnam, hay 69 documentos legales directamente relacionados con el tema de la protección de datos personales estipulados en diferentes documentos, incluidos la Constitución, el Código (4), la Ley (39), la Ordenanza (1), el Decreto (2), la Circular/Circular Conjunta (4), la Decisión del Ministro (1).

Estos documentos abordan básicamente el tema de la protección de datos personales en la dirección de promover el principio de garantizar la privacidad del sujeto, sin embargo, existen diferentes regulaciones sobre la información relacionada con los datos personales, haciendo referencia a cuestiones de derechos y obligaciones de los sujetos, procesamiento de la información y métodos de protección de datos personales. Las leyes de Vietnam que regulan la protección de datos personales han logrado algunos resultados notables, especialmente el 17 de abril de 2023, cuando el Gobierno emitió el Decreto No. 12/2023/ND-CP sobre protección de datos personales; este es un documento separado que regula este tema en nuestro país. Estos documentos legales han creado un corredor legal para la protección de datos personales; Especificar los derechos de los titulares de los datos así como de las partes del procesamiento, prescribir sanciones por violaciones a la protección de datos personales e identificar al organismo especializado en protección de datos personales como el Departamento de Seguridad Cibernética y Prevención de Delitos de Alta Tecnología del Ministerio de Seguridad Pública...

Vietnam se enfrenta a muchos riesgos, desafíos y peligros provenientes del ciberespacio, especialmente la fuga y apropiación de información y datos personales, lo que causa muchos efectos nocivos para los ciudadanos y la sociedad.

Sin embargo, la implementación real de estos documentos también ha revelado muchas limitaciones, como que los documentos legales separados actuales solo tienen el nivel de Decreto, lo que no satisface la importancia de proteger los datos personales, muchos contenidos están actualmente regulados de manera general y poco claros, lo que genera una falta de orientación específica para cada caso específico, y las sanciones siguen siendo leves y no son lo suficientemente disuasorias...

Frente a esta situación, seguir mejorando la legislación sobre protección de datos personales en Vietnam ha sido y es un tema que necesita ser investigado con base en la experiencia de otros países. Específicamente:

En primer lugar, elaborar una Ley de Protección de Datos Personales . En el contexto de la revolución industrial 4.0, a escala regional y nacional, 80 países han emitido documentos legales separados para proteger los datos personales. Vietnam necesita investigar y promulgar pronto una ley general y especializada sobre datos, como la Ley de Privacidad de Datos, como la de la UE, China o Singapur, que identifique cuestiones y principios básicos para la protección de datos personales. La promulgación de una ley separada sobre datos personales será una base jurídica importante para la protección de los datos personales cuando actualmente los documentos legales relacionados con este tema en nuestro país no son consistentes tanto en el uso de la terminología como en las regulaciones de contenido.

En segundo lugar, modificar y complementar las sanciones por violaciones de datos personales de una manera más severa para que coincidan con la naturaleza y gravedad de la violación. Si bien las sanciones por violaciones de datos personales en nuestro país incluyen sanciones administrativas, civiles y penales, generalmente son bastante leves y no tienen un alto efecto disuasorio. El método principal en la actualidad sigue siendo aplicar sanciones por infracciones administrativas, sin embargo, la normativa está dispersa en muchos Decretos con multas bastante bajas, siendo las más altas: 100 millones de VND para individuos y 200 millones de VND para organizaciones.

Si bien los daños que pueden ocasionar las violaciones administrativas a los datos personales no son sólo materiales sino también al honor y a la dignidad. Además de las sanciones administrativas, las sanciones penales por violaciones de datos personales sólo se reflejan en las regulaciones sobre privacidad y los campos de tecnología de la información y seguridad de la red en el artículo 159 y el artículo 288 del Código Penal actual con penas de prisión relativamente bajas de no más de 7 años de prisión y multas de no más de 1 mil millones de VND. Esta multa, comparada con los 20 millones de euros de la UE, el millón de dólares de Singapur o la cadena perpetua de China, sigue siendo muy baja y no guarda relación con muchas infracciones.

Al mismo tiempo, es necesario regular muchos grupos de conductas que actualmente no están mencionadas en la ley, como el comercio de datos a gran escala, el establecimiento de sistemas para violar datos, las infracciones en el negocio de servicios de comercialización, etc.

En tercer lugar, sobre el modelo de la agencia de protección de datos personales en Vietnam . Actualmente, el Departamento de Seguridad Cibernética y Prevención de Delitos de Alta Tecnología del Ministerio de Seguridad Pública es el organismo especializado en protección de datos personales. En referencia a la normativa internacional, podemos considerar el establecimiento de una autoridad independiente de protección de datos personales encargada de hacer cumplir la Ley de Protección de Datos Personales, realizar inspecciones, exámenes, emitir directrices y hacer recomendaciones, y aplicar sanciones por violaciones si las hubiera.

Podemos referirnos a estos modelos en la UE o Singapur... para aplicar eficazmente las leyes de protección de datos personales, equilibrando la protección de los derechos personales y garantizando la seguridad de la red.

La protección de datos personales no es una cuestión sencilla, especialmente cuando se sitúa en el contexto de la integración, cuando se realizan actividades de seguimiento y recopilación de datos personales a gran escala y el sistema jurídico vietnamita que regula esta cuestión todavía está en proceso de construcción y perfeccionamiento.

Investigar el derecho internacional sobre esta cuestión en referencia a la situación práctica en Vietnam nos ayudará a construir pronto un marco jurídico para la protección integral de datos personales, compatible con el derecho internacional y su aplicación efectiva.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html