Participantes en TED Global 2007 en Tanzania. Imagen: Erik Hersman [1] (Attribution 2.0 Generic CC BY 2.0)
El 1 de noviembre, el Parlamento tanzano aprobó la Ley de Protección de Datos Personales. En septiembre, el ministro de Tecnologías de la Información y la Comunicación de Tanzania, Nape Nnauye, anunció que el gabinete había aprobado una disposición sobre la Ley de Protección de Datos [2] y que el proyecto se presentaría al Parlamento para su debate [3]. El proyecto proponía promulgar la Ley de Protección de Datos Personales y preveía la creación de una Comisión de Protección de Datos Personales. También establecía una directiva para que los procesadores y encargados del tratamiento de datos nombraran a un responsable de la protección de datos personales, y también sanciones penales y multas para quienes incumplieran la legislación.
Una vez aprobada, la ley catapultó a Tanzania a las filas de sus homólogos de la Comunidad de África Oriental Kenia, Uganda y Ruanda, que cuentan con leyes de protección de datos [4]. Además, garantiza el derecho a la intimidad y la seguridad personal de las personas, consagrados en el capítulo 16 de la Constitución de Tanzania (República Unida de) (1977) [5].
Las declaraciones del ministro en septiembre suscitaron reacciones de diversas partes interesadas. Las partes interesadas acogieron la medida con satisfacción, aunque con cautela.
Un influenciador tanzano @yose_hoza [6] publicó:
Tunaipongeza serikali kwa kuleta muswada wa sheria ya ulinzi wa taarifa (Data protection bill) ambayo
1. Italinda taarifa za mtu
2. Itapunguza matukio ya udukuzi
3. Itachochea makampuni kuja kuwekeza nchini #DigitalRightsTz [7] #BeOnline [8] pic.twitter.com/dRzRZWN3Mr [9]— Holy (@yose_hoza) October 20, 2022 [10]
Felicitamos al Gobierno por presentar el proyecto de ley de protección de datos (Protección de datos) que:
1. Protegerá la información de uno
2. Reducirá la incidencia de piratería
3. Fomentará que las empresas vengan a invertir en el país (Tanzania).
Yose añadió: «Este proyecto de ley necesita mejoras y sugerencias de varias partes interesadas con el fin de aportar una ley mejor para la protección de la información personal (privacidad de datos)».
En declaraciones a un diario local [11] de Tanzania, Maxence Melo, fundador de Jamii Forums –popular plataforma tanzana de denuncia de irregularidades que defiende los derechos digitales–, consideró que se había hecho esperar, teniendo en cuenta que el sueño del proyecto de ley se remonta a 2014. Melo añadió que sería vital fomentar el domicilio de los datos, es decir, que los datos personales recopilados y procesados se almacenen en una región geográfica concreta de acuerdo con la legislación sobre datos o los requisitos normativos impuestos a dichos datos en la región en la que viven, como medida para garantizar que los datos cumplen las normas regionales e internacionales sobre privacidad de datos.
En un mensaje de Twitter, Carol Ndosi [12], destacada defensora de los derechos digitales en Tanzania, planteó:
Question – Ungekua una mamlaka ya kutengeneza
1. Sheria ya kulinda Right to Privacy yaani haki ya faragha
2. Data Protection – Ulinzi wa Taarifa..
ungehakikisha nini kinazingatiwa?
— Ndosi (@CarolNdosi) October 16, 2022 [13]
Pregunta – Si tuvieras el poder de hacer:
1. La ley para proteger el derecho a la privacidad, es decir, el derecho a la privacidad
2. Protección de Datos – Protección de la Información.
¿Qué te asegurarías que se considerara?
En respuesta, un tuitero comentó [14]: «Yo tendría un marco sobre el Derecho al olvido, entiendo que es un aspecto complicado pero podemos empezar a discutirlo ahora y construir un marco claro poco a poco».
Asuntos pendientes
Aunque la Ley de Protección de Datos ofrece esperanzas al salvaguardar la privacidad de los datos personales, no deja de suscitar serias preocupaciones en algunos ámbitos claves. Por ejemplo, la segunda parte de la ley prevé una autoridad de protección de datos, denominada Comisión de Protección de Datos. Sin embargo, la independencia e imparcialidad de esta comisión no están garantizadas, ya que los miembros de su junta directiva son elegidos a dedo por el presidente de la República Unida de Tanzania. Esto deja un resquicio para que la junta sea desarticulada a discreción del presidente, y sin la intervención de la Asamblea Nacional.
La quinta parte de la ley aborda la transferencia de datos, pero la cláusula es poco clara en el aspecto de consentimiento de los interesados a organismos que recogen, procesan, almacenan o utilizan datos personales fuera de las fronteras de Tanzania. Como no se ha concedido a los interesados el «poder del consentimiento», sus datos pueden ser objeto de un uso indebido.
La sexta parte de la ley es ambigua. La sección 34 (4), por ejemplo, otorga plenos derechos legales a un heredero aparente, lo que significa que podría consentir el tratamiento de información privada en nombre de cualquier otra parte que no pueda otorgar dicho consentimiento. Sin embargo, carece de un fundamento de interpretación jurídica, ya que no especifica claramente qué «parte», ya sea viva, incapacitada o fallecida. Esta sección puede ser propensa al abuso, ya que un heredero puede no cumplir el umbral legal para dar su consentimiento en nombre de otra persona por razones como ser menor de edad, coacción u otros tecnicismos.
El artículo 35 prohíbe el tratamiento de datos personales con fines de publicidad comercial directa. A pesar de la prohibición, sigue sin estar claro si los responsables del tratamiento de datos de la sección pueden comerciar con los datos personales de los interesados.
La ley también se queda corta en lo que respecta a la notificación de las violaciones de seguridad. El Reglamento de Protección de Datos debería establecer procedimientos para la gestión de las violaciones de la seguridad, con el fin de obligar a los responsables del tratamiento de datos a notificar con antelación a los interesados cualquier violación de la seguridad que afecte a su información personal, sus efectos y las medidas correctivas adoptadas. La obligación de notificar las violaciones de datos se vería reforzada en gran medida por una directiva que obligara a los procesadores y recopiladores de datos a notificar a los interesados afectados en un plazo estipulado tras tener conocimiento de las violaciones de datos.
Aunque Tanzania va por buen camino en lo que se refiere a la promulgación de una Ley de Protección de Datos, el Gobierno debe fomentar la participación pública en la elaboración de esta legislación, tal y como establece el artículo 21 de la Constitución. Así, permitirá conocer las opiniones del público e incorporarlas al proyecto de ley. También será posible elaborar una ley de protección de datos que se ajuste al umbral de privacidad previsto por los tanzanos, capaz de abordar las cuestiones clave identificadas y planteadas por los activistas de los derechos digitales, como ocurrió cuando el Gobierno puso en marcha el programa de identificación digital [15] y la iniciativa de registro biométrico de tarjetas SIM [16].
