- Global Voices en Español - https://es.globalvoices.org -

Proyecto de ley de protección de datos personales de Jordania: ¿es suficiente?

Categorías: Medio Oriente y Norte de África, Jordania, Derecho, Medios ciudadanos, Tecnología, GV Advox

El Parlamento jordano está revisando un proyecto de ley de protección de datos personales presentado por el Gobierno. La comisión jurídica de la asamblea podría modificar el proyecto, pero la versión actual ha suscitado inquietudes. Imagen de la sala de la asamblea ( licencia Creative Commons Attribution-Share Alike 4.0 International [1]).

El artículo se publicó [2] por primera vez en SMEX el 16 de febrero de 2022. Se reproduce una versión editada como parte de un acuerdo con Global Voices.

A medida que Jordania avanza hacia nuevas legislaciones que culminarán en leyes que consagren la seguridad digital, se plantean preguntas sobre si la Ley de Protección de Datos Personales se materializará y, lo que es más importante, si se aplicará de forma independiente.

El 30 de diciembre de 2021, el Consejo de Ministros jordano aprobó el proyecto de ley de protección de datos personales 2021 [3], que ha estado en deliberación desde 2013, y lo presentó a la Cámara de Representantes. Esta última lo remitió el 24 de enero a la Comisión Parlamentaria de Economía e Inversiones, con carácter de urgencia, para que llevara a cabo las deliberaciones constitucionales necesarias. El proyecto de ley pretende establecer un marco jurídico que establezca un equilibrio entre los derechos individuales a los mecanismos de protección de datos personales, por un lado, y los mandatos de procesamiento de información y almacenamiento en el ciberespacio, por otro.

«El proyecto de ley pretende establecer marcos reguladores sobre el almacenamiento, el tratamiento y la circulación de datos dentro de un conjunto claro de limitaciones y obligaciones que garanticen la confianza necesaria para participar en la economía digital y fomentar el comercio y los servicios electrónicos en el Reino», declaró a SMEX el director de políticas y estrategias del Ministerio de Economía Digital y Emprendimiento, el ingeniero Tawfiq Abu Baker.

Controvertido comité de supervisión

El proyecto de ley ha suscitado varias inquietudes, concretamente en relación con la estructura y el establecimiento propuestos de la autoridad de protección de datos. El artículo 4 [4] del proyecto de ley estipula que el comité de protección de datos estará presidido por el ministro de Economía Digital y Emprendimiento, lo que niega al comité, órgano supuestamente supervisor, su tan necesaria independencia.

En una entrevista con SMEX, el director ejecutivo de la Asociación Jordana de Código Abierto (JOSA), Issa Mahasneh, advirtió que «la estructura propuesta indica un claro conflicto de intereses. La autoridad ejecutiva está representada por el Ministerio y los miembros de los servicios de seguridad dentro del comité. Como principales recolectores de información, estas entidades no sólo organizarán y gestionarán eficazmente la protección de los datos, sino que también los procesarán».

Mahasneh pregunta además:

Can the data protection committee under the currently proposed structure investigate complaints related to privacy violations if,  for example, the perpetrators fall under the executive authority?

Según la estructura actualmente propuesta, ¿puede el comité de protección de datos investigar las denuncias relacionadas con la violación de la privacidad si, por ejemplo, los autores dependen de la autoridad ejecutiva?

Al mismo tiempo, la doctora Nahla Al-Momani, experta en legislación sobre medios y derechos y libertades digitales, declaró a SMEX: «Se está intentando aportar más diversidad a la autoridad y promover su independencia». Mencionó las mejores prácticas para nombrar al jefe de la comisión, incluida «la celebración de deliberaciones y el nombramiento de un presidente a través de una votación, a la vez que se logra un equilibrio dentro de la comisión mediante la participación de la sociedad civil, el Gobierno, los expertos y las instituciones independientes».

¿Pero aplicará el Gobierno las mejores prácticas? El ingeniero Tawfiq Abu Baker confirmó que el Gobierno «conoce las mejores prácticas de organización de datos».

Abu Baker atribuyó la falta de independencia de la autoridad a «los limitados recursos financieros y al plan del Parlamento jordano de integrar autoridades y ministerios».

Por eso, la Dirección de Protección de Datos Personales, creada por el Ministerio de Economía Digital y Emprendimiento, se ocupará de la legislación relativa a la protección de datos y recibirá informes y denuncias relacionadas con la violación de las disposiciones legales. Añadió que la Dirección «elaborará reglamentos y observará el nivel de madurez en el sector de datos».

Cláusulas polémicas del texto legal

Además del dilema en torno a la autoridad de tratamiento de datos, la redacción del proyecto de ley sigue siendo polémica, ya que usa un lenguaje amplio y genérico. Por ejemplo, el artículo 15, relativo a las excepciones, no solo permite el tratamiento de datos personales sin el consentimiento expreso y documentado del interesado, sino que también autoriza el acceso a la información a varios organismos, como el «Poder Judicial» y el «fiscal».

Estas lagunas «allanan el camino para el trato ilegal de datos sin el consentimiento del interesado y conceden a varias entidades el acceso a esta información. Es una violación de los derechos fundamentales y socava el espíritu y la finalidad de la ley, y priva a los ciudadanos de su derecho a ser olvidados si así lo desean», según Al-Momani.

Abu Baker argumentó que a veces las «instituciones interesadas» pueden necesitar acceder a los datos personales pero no tener tiempo para esperar el permiso, algo a lo que la ley se refiere en muchos de sus artículos, y dice que a veces «una autoridad pública competente» necesita acceder para realizar «tareas encomendadas por la ley», con fines médicos o relacionados con la delincuencia.

El artículo 16 de la ley consagra el derecho del interesado a oponerse a las decisiones de tratamiento que puedan afectarle económica o moralmente, por lo que el responsable debe responder a su solicitud. Según el artículo 17, ese responsable debe también informar a la persona cuyos datos desea tratar, por escrito o por vía electrónica, antes de iniciar el tratamiento. También debe especificar el periodo durante el cual se tratarán los datos personales, y prever que esta duración no se prolongue sin el consentimiento del interesado.

Más intervención personal en los datos

El proyecto de ley de protección de datos personales de 2021 se dirige a todos los organismos, instituciones, empresas y partes que recogen archivos o registros electrónicos o no electrónicos o datos personales, dentro o fuera del Reino. Toda persona física tiene derecho a la protección de sus datos, que no se pueden recopilar, procesar5, revelar, divulgar o difundir sin el consentimiento previo del interesado. Las disposiciones de esta ley se aplican a los datos recogidos o procesados antes de su entrada en vigor.

«La ley ofrece una gran ventaja, y es la necesidad de obtener el consentimiento previo de los ciudadanos antes de usar sus datos», dijo Al-Momani. El artículo 8 [4] destaca que el consentimiento debe ser «explícito y por escrito, y se concederá para un tiempo y una finalidad determinados». La ley también estipula que a los ciudadanos se les debe informar de antemano del destino de sus datos y de los motivos de su recopilación. Asimismo, tipifica como delito dar a los datos un trato distinto a los previstos.

En el artículo 20, el proyecto de ley también garantiza a los ciudadanos el derecho al olvido y a permanecer en el anonimato, y permite a cualquier persona acceder a sus datos personales, verlos o borrarlos, y exigir que se modifiquen en caso de información errónea o incoherente con sus directivas o sus afiliaciones religiosas, políticas o de otro tipo. Y lo que es más importante, la ley también tipifica como delito el hecho de no borrar los datos almacenados tras la petición de un ciudadano, confirmó Al-Momani.

Según Abu Baker, la ley abarca todos los datos personales relativos a una persona física, que ayuden a su identificación directa o indirecta, independientemente de su fuente o forma. Esto incluye los datos asociados a la persona o a su situación familiar o ubicación, además de la información sensible que revele directa o indirectamente su origen, raza, opiniones, afiliaciones políticas o creencias religiosas. La ley también aborda los datos relativos a la situación financiera, la salud, el estado físico, mental o genético, las huellas dactilares biométricas, los antecedentes penales o cualquier información o dato que el consejo considere sensible si su divulgación o uso indebido pudiera causar un perjuicio a la persona afectada.

«La protección de datos es una necesidad urgente, no un lujo», subrayó Mahasneh. Pidió que se abordaran aspectos específicos que el proyecto de ley deja de lado, sobre todo a la luz de los esfuerzos del Gobierno por digitalizar los servicios y los trámites y pasar a un sistema de identidad nacional inteligente, que incluya los datos biométricos de cada ciudadano. El proyecto de identidad inteligente incluye identificadores biométricos como el «identificador del iris y la huella dactilar del titular de la identidad». En una fase posterior, el documento nacional de identidad contendrá información adicional sobre el seguro médico del titular, el número de seguridad social, etc.», añadió Mahasneh. «Por lo tanto, es necesario brindar una protección adicional a los datos biométricos e imponer sanciones más severas a ese respecto».