El 17 de abril de 2023, Vietnam aprobó su tan esperada primera ley integral de privacidad de datos, el Decreto No. 13/2023/ND sobre Protección de Datos Personales (Decreto). El decreto entra en vigor el 1 de julio de 2023, sin ningún período de transición. Todas las empresas vietnamitas y extranjeras ubicadas en Vietnam o que realicen actividades de procesamiento de datos en Vietnam deben cumplir con el decreto.
La promulgación del decreto sigue a una extensa y prolongada serie de consultas públicas y varias rondas de revisión del texto propuesto desde la publicación del primer borrador en febrero de 2021. El texto final del decreto promulgado actualmente solo está disponible en vietnamita.
¿A quién se aplica el decreto?
La ordenanza se aplica a: (i) cualquier agencia, organización o individuo vietnamita; (ii) cualquier agencia, organización o individuo extranjero en Vietnam; (3) cualquier agencia, organización o persona vietnamita que opere en el extranjero; y (iv) cualquier agencia, organización o persona extranjera que procese Datos personales en Vietnam.
¿Qué tipos de datos cubre el decreto?
El decreto distingue entre «datos personales esenciales» y «datos personales sensibles». Específicamente, los datos personales básicos de una persona incluyen: (i) nombre completo, segundo nombre, nombre de nacimiento y cualquier otro nombre de pila (si está disponible); (ii) la fecha de nacimiento y la fecha en que pueden estar fallecidos o desaparecidos; (3) género; (iv) lugar de nacimiento, lugar de registro de nacimiento, lugar de residencia permanente o temporal, ciudad y dirección de contacto; (5) nacionalidad; (6) foto; (7) número de teléfono, números de identificación nacional y número de tarjeta de seguro médico; (8) Estado social. (ix) detalles de la relación familiar (como sus padres y/o hijos); y (x) detalles de su cuenta digital y actividades en línea.
Por el contrario, los datos personales confidenciales son cualquier dato personal que, cuando se viola, afectará directamente los derechos e intereses legítimos de un individuo, incluidos: (1) sus opiniones políticas y religiosas; (2) estado de salud y registros médicos (excluyendo el tipo de sangre); (iii) origen racial o étnico; (iv) características genéticas heredadas o adquiridas; (v) rasgos físicos y características biológicas; (6) sexualidad, orientación sexual; (7) antecedentes penales; (viii) información en poder de instituciones de crédito, bancos extranjeros, proveedores de servicios de intermediación de pagos y otras organizaciones autorizadas; y (ix) Datos de ubicación identificados a través de los Servicios de ubicación.
¿Cuáles son los principios estipulados en el decreto?
El decreto se centra en ocho principios para el tratamiento de datos personales, a saber: (1) legalidad, (2) transparencia, (3) determinación de finalidad, (4) minimización de datos, (5) exactitud, (6) integridad, confidencialidad y seguridad y (4) limitaciones de almacenamiento y (8) responsabilidad.
¿Qué derechos tienen los interesados?
En virtud del decreto, los interesados tienen derecho, de conformidad con la ley aplicable, a: (1) saber cómo se procesan sus datos personales; (ii) consentir el tratamiento de sus datos; (iii) acceder a sus datos (donde el acceso debe otorgarse dentro de las 72 horas posteriores a la recepción de la solicitud) y corregir sus datos (cuando cualquier razón para la no corrección de los datos de conformidad con una solicitud debe informarse al interesado dentro de las 72 horas posteriores a la recepción de la solicitud). su solicitud); (4) retirar su consentimiento; (5) eliminar sus datos; (vi) restringir u objetar el procesamiento de datos (y su solicitud debe cumplirse a más tardar 72 horas después de la recepción de la solicitud); (7) Presentar querellas, interponer demandas y reclamar indemnizaciones por infracciones al decreto.
Para las solicitudes de acceso, deben estar escritas en vietnamita y deben contener la persona solicitante: (1) nombre completo, dirección residencial, número de identificación nacional y detalles de contacto; (2) los datos a proporcionar y el formato; y (3) las razones de la solicitud.
¿Existen requisitos específicos para que la aprobación y la notificación sean válidas?
Hay una serie de disposiciones únicas relevantes para la prestación del consentimiento por parte de los interesados. Por ejemplo, el consentimiento debe expresarse en un formato que pueda imprimirse o reproducirse por escrito, incluso en forma electrónica o verificable. Cualquier silencio o falta de respuesta por parte del interesado no constituye consentimiento. Sin embargo, el decreto reconoce explícitamente que el consentimiento parcial o condicional puede ser válido. Para cualquier tratamiento de datos personales sensibles, se deberá informar al interesado que sus datos a tratar son datos personales sensibles.
En el mismo sentido, el decreto establece que las notificaciones a los interesados deben cumplir con ciertos requisitos de contenido, tales como las consecuencias o daños que el interesado no puede prever, pero que son probables de ocurrir, así como los tiempos de inicio y finalización del tratamiento. .
¿Existen requisitos obligatorios de notificación de infracciones?
Sí. Si una organización descubre una violación a alguna de las disposiciones del decreto, debe notificar al Ministerio de Seguridad Pública y al Departamento de Seguridad Cibernética y Prevención de Delitos de Alta Tecnología (AO5) dentro de las 72 horas posteriores a la ocurrencia de la violación, utilizando el formulario especificado No. 03 que se adjunta al decreto. Debe haber una explicación que acompañe cualquier notificación tardía. La notificación debe incluir: (i) una descripción de la naturaleza de la violación, incluidos su tiempo, ubicación, naturaleza, partes involucradas y los tipos y la cantidad de datos personales afectados; (ii) los datos de contacto del Delegado de Protección de Datos; (3) las posibles consecuencias del incumplimiento; y (iv) tomar cualquier medida correctiva. Esta notificación se puede hacer por etapas.
¿Existen requisitos para realizar una evaluación de impacto?
Sí, y esto debe incluir: (i) información y datos de contacto del controlador y el procesador (si están disponibles); (ii) los nombres completos y datos de contacto de los delegados de protección de datos del responsable y del encargado del tratamiento; (iii) las finalidades del tratamiento de los datos; (iv) los tipos de datos que se procesan; (5) destinatarios de los datos, incluidos los que se encuentran fuera de Vietnam; (vi) cualquier transferencia saliente de datos desde Vietnam; (vii) el período de tiempo durante el cual se procesan los datos y cuándo se eliminan; (viii) una descripción de las medidas de seguridad implantadas para proteger los datos; y (ix) evaluar los beneficios del procesamiento de datos, cualquier riesgo o daño, y las medidas tomadas para mitigar dichos riesgos o daños.
Dichas evaluaciones deberán estar disponibles para inspección y evaluación por parte del Ministerio de Seguridad Pública y se deberá enviar una copia original a AO5 en la forma especificada en el Formulario N° 04 del anexo del decreto dentro de los 60 días siguientes a la fecha del procesamiento de los datos. Estos organismos también deberán ser notificados de los cambios mediante el Formulario N° 05 del anexo del decreto.
¿Cuáles son los requisitos o restricciones para la transferencia de datos personales de Vietnam al extranjero?
Se realizará una Evaluación del impacto de la transferencia para las transferencias salientes de Datos personales desde Vietnam, que incluirá: (i) los datos de contacto completos de cada uno de los exportadores, importadores y cualquier otra parte involucrada en la transferencia; (ii) Transferir objetivos. (iii) los tipos de datos personales que se transfieren; (iv) las medidas de seguridad implantadas para proteger los datos; (v) una evaluación del impacto de dicho procesamiento y cualquier medida tomada para mitigar cualquier riesgo o daño; y (vi) el consentimiento de los interesados y cualquier mecanismo de retroalimentación o queja disponible para ellos. El decreto también requiere un documento legalmente vinculante que describa las responsabilidades del exportador y el importador con respecto a la transferencia de datos de Vietnam al extranjero.
Estos documentos deberán presentarse en original ante el AO5 mediante el Formulario N° 06 del Anexo del Decreto dentro de los 60 días siguientes a la fecha del procesamiento de los datos. El emisor también deberá notificar al mismo Departamento del Ministerio por carta tan pronto como se realice la transferencia de datos.
El Ministerio de Seguridad Pública tiene facultades para detener las transferencias de datos personales fuera de Vietnam cuando: (1) los datos se utilicen para actividades que violen los intereses y la seguridad nacional de Vietnam; (ii) incumplimiento de los requisitos de conversión contenidos en la ordenanza; o (iii) para evitar cualquier divulgación accidental o pérdida de datos personales de ciudadanos vietnamitas.
Otras provisiones destacables
Existen disposiciones especiales para el procesamiento de datos relacionados con el marketing y la publicidad. En concreto, estas actividades requieren el consentimiento del interesado, siempre que éste conozca cuáles son los productos, contenidos, método, formato y frecuencia de dicha publicidad o marketing.
El decreto estipula que Vietnam desarrolle un mecanismo de cooperación internacional para facilitar la aplicación efectiva de las leyes de protección de datos personales y participar en la asistencia legal mutua para proteger los datos personales de otros países, incluida la posible asistencia en investigaciones e intercambio de información con otras autoridades.
Parece haber ciertos deberes impuestos por el decreto a los interesados, como tener que proteger sus datos personales, respetar los datos de los demás y participar en la prevención y lucha contra cualquier incumplimiento del decreto.
¿Cuáles son las consecuencias de violar el decreto?
Si una organización viola la ordenanza, puede estar sujeta a medidas disciplinarias, sanciones administrativas o sanciones penales, según los reglamentos que emita la ordenanza.
¿Qué significa esto para tu negocio?
Baste decir que, dado que esta es la primera ley de privacidad integral de la República que se aplicará a todos los tipos de procesamiento de datos personales en Vietnam, la ordenanza sin duda tendrá implicaciones significativas y de gran alcance para las empresas con operaciones o presencia comercial en Vietnam. Lo que es particularmente importante es que la fecha de implementación del 1 de julio de 2023, sin ningún período de gracia, no da mucho tiempo a las empresas afectadas para prepararse para el cumplimiento. Las evaluaciones de impacto rigurosas y los documentos de transferencia transfronteriza exigidos por el decreto son especialmente importantes, ya que es probable que lleve mucho tiempo prepararlos. Por lo tanto, es muy recomendable que si usted es una empresa afectada por esta nueva ley, debe actuar adecuadamente en cumplimiento de la ordenanza antes de la fecha límite del 1 de julio. Si necesita ayuda o soporte, comuníquese con el autor de esta publicación de blog o con su socio de relación de SPB.
«Orgulloso experto en Twitter. Especialista en viajes. Comunicador. Amante de los zombis certificado. Jugador de por vida».