El anuncio del presidente Cyril Ramaphosa sobre las fechas de entrada en vigor de varias disposiciones fundamentales de la Ley de Protección de Datos Personales 4 de 2013 (POPIA), con efecto a partir del 1 de julio de 2020, significa que las organizaciones han tenido que actuar rápidamente para garantizar que todas las formas de tratamiento de la información personal dentro de su negocio cumplan con la POPIA antes de que la Ley entre en vigor el 1 de julio de 2021. 

La importancia de la protección de datos ha cobrado actualidad en los últimos años a raíz de la creciente digitalización de nuestro mundo y de nuestra forma de hacer negocios. La POPIA es la primera ley integral de Sudáfrica que se ocupa principalmente de la protección de datos. Su objetivo es hacer efectivo el derecho constitucional a la intimidad introduciendo medidas que regulen la recogida, el tratamiento y el uso de la información personal por parte de organismos públicos y privados de forma justa, transparente y segura. 

En una época en la que la información personal se ha convertido en una mercancía, POPIA llega en un momento crítico para protegerla de la explotación y el abuso. Los riesgos de seguridad que rodean a la información personal se han vuelto aún más urgentes, ya que muchas personas se ven obligadas a trabajar desde casa debido a la pandemia del COVID-19, lo que aumenta el riesgo de violaciones de la seguridad para las empresas, así como la necesidad de cumplir con la POPIA.

El objetivo de POPIA es alinear a Sudáfrica con la legislación y las mejores prácticas de protección de datos a nivel mundial, y en muchos casos es compatible con el Reglamento General de Protección de Datos (GDPR) de Europa. Desde que POPIA se convirtió en ley en 2013, se han producido diversos avances, como el nombramiento del Regulador de la Información en 2016 y la publicación del Reglamento definitivo en 2018. 

POPIA identifica ocho condiciones para el tratamiento legal de la información personal, cada una de las cuales abarca consideraciones vitales para cualquier persona o empresa involucrada en el tratamiento de la información personal, que exponemos muy brevemente a continuación:

- Responsabilidad: un responsable debe aplicar y garantizar el cumplimiento de las condiciones para el tratamiento lícito de la información personal en virtud de la POPIA, y como tal será responsable de la información personal que procesa y responsable en caso de incumplimiento de las disposiciones de la Ley.

- Limitación del tratamiento: el tratamiento debe realizarse de forma limitada, lícita y razonable, de modo que no se vulnere el derecho a la intimidad del interesado. Así, como norma general (y a reserva de determinadas justificaciones del tratamiento establecidas en la Ley) se requiere el consentimiento del interesado para tratar su información personal, y ésta debe obtenerse directamente del interesado en la medida en que sea razonablemente posible.

- Especificación de la finalidad: esta condición tiene por objeto establecer el alcance del tratamiento de datos con una finalidad definida y lícita, exigiendo al responsable que identifique los fines para los que se tratará la información personal e informando al interesado de esos fines identificados. Esta condición prohíbe además la conservación de la información personal durante más tiempo del necesario para cumplir su finalidad, con ciertas exclusiones. 

- Limitación del tratamiento posterior: esta condición garantiza que el tratamiento de la información personal siga siendo coherente con la finalidad inicial para la que se recogieron los datos. 

- Calidad de la información: deben tomarse medidas razonables para garantizar que la información personal se mantenga actualizada, sea exacta y completa y no induzca a error. Por lo tanto, hay que tener en cuenta las fuentes de información personal y tomar medidas para garantizar la calidad y la exactitud de la información personal recibida. También deben tomarse medidas para garantizar que la información personal que se procesa se actualiza regularmente para mantener la calidad de dicha información.

- Apertura: esta condición requiere apertura y transparencia en cuanto a cómo y por qué se recoge y procesa la información personal. La POPIA establece ciertos requisitos de notificación que el interesado debe conocer en el momento de la recogida de información personal, que incluye, entre otras cosas, quién recogerá y procesará la información personal, el propósito para el que se recoge la información, las consecuencias de no proporcionar la información, así como la intención de transferir la información personal fuera de Sudáfrica y el nivel de protección de datos que se concederá a esa información personal mientras se procesa de forma transfronteriza. 

- Salvaguardias de seguridad: esta condición exige que la información personal se trate de forma confidencial, se almacene y procese de forma segura y se proteja contra el uso, el acceso, la divulgación y la pérdida no autorizados. Requiere que se implementen salvaguardas de seguridad en una empresa para asegurar la información personal y prevenir una violación de dicha información personal. La POPIA también contiene la obligación de notificar tanto al regulador de la información como a los interesados afectados cuando haya motivos razonables para creer que una persona no autorizada ha accedido a la información personal de un interesado o la ha adquirido. 

- Participación del interesado: el interesado debe tener la oportunidad de participar en el uso y el tratamiento de su información personal y de mantener el control sobre su propia información personal, entre otras cosas, facilitando su derecho a acceder a su propia información y otorgándole el derecho a solicitar la corrección o la eliminación de su información personal o a oponerse al tratamiento de su información personal. 

El incumplimiento de la POPIA, además de un gran riesgo de daño a la reputación, conllevará una fuerte sanción en forma de multas administrativas de hasta 10 millones de rands, o penas de prisión de hasta 10 años, o ambas, dependiendo de la gravedad de la infracción. Por lo tanto, es imperativo que las empresas pongan en marcha las medidas necesarias para cumplir con la POPIA y para mantener ese cumplimiento. 

Dado que muchas personas trabajan desde casa, hay que estudiar la necesidad de adoptar medidas de seguridad adecuadas. Cabe destacar que los empleados, mientras trabajan desde casa, siguen siendo personalmente responsables de mantener las obligaciones de privacidad de su empresa, como el cumplimiento de la POPIA. Las empresas han invertido sobre todo en la protección de la información que entra y sale de su negocio, pero esto no siempre se extiende a los empleados que trabajan a distancia. Los empresarios deben tratar de proteger sus empresas de las violaciones de la seguridad o del incumplimiento de las normas instalando herramientas adecuadas de supervisión o seguridad que pueden extenderse a los empleados que trabajan desde casa. La formación de los empleados sobre la importancia del cumplimiento de POPIA y las medidas de seguridad implementadas por la empresa es también un aspecto crucial para lograr el cumplimiento. 

Para muchas empresas, el cumplimiento de POPIA es un territorio desconocido, ya que introduce cambios normativos que tendrán un impacto sustancial en la forma en que una empresa utiliza y procesa la información personal a lo largo de todo el ciclo de vida de los datos, desde su recogida hasta su destrucción. La POPIA afecta a las prácticas empresariales, los procesos, las políticas, la documentación y los acuerdos de casi todos los sectores. Las complejidades y las implicaciones de gran alcance de POPIA demuestran la necesidad de un cumplimiento exhaustivo en todas las facetas de una empresa. 

Nuestro equipo comercial corporativo está bien situado para llevar a los clientes a través de todo el proceso de cumplimiento de la privacidad de los datos, proporcionando formación y concienciación, evaluaciones de las carencias en materia de privacidad de los datos, asesoramiento jurídico sobre las medidas de cumplimiento de la ley POPIA y planificación de la implementación, y redacción de documentos, políticas y acuerdos relacionados con la privacidad. Póngase en contacto con nuestro equipo comercial corporativo para obtener más información sobre cómo podemos guiarle y ayudarle a incorporar e implementar eficazmente POPIA en su negocio.