Guía Rápida para el Decreto de Protección de Datos Personales de Vietnam

En abril de este año se publicó el Decreto nº 13/2023/ND-CP, que establece directrices sobre la protección de datos personales en Vietnam. Los inversores extranjeros deben tener en cuenta esta nueva normativa.

Traducción: Patricia Aranguren Moliner

Vietnam, un país con un alto índice de adopción de Internet y una población prolífica en el uso de las redes sociales, necesita desde hace tiempo una normativa que proteja los datos personales.

Esta normativa ha llegado por fin en forma del Decreto n.º 13/2023/ND-CP, que describe los derechos y responsabilidades de las personas y organizaciones implicadas en la recogida y el tratamiento de datos, tanto si los facilitan como si los solicitan.

En este artículo examinamos el nuevo decreto y las disposiciones más pertinentes para las empresas extranjeras que recopilan datos en Vietnam.

Ámbito de aplicación del Decreto de Protección de Datos Personales de Vietnam

El Decreto sobre Protección de Datos Personales (PDPD) se aplica a todas las personas y entidades que operan en Vietnam y se dedican al suministro, recogida o utilización de datos para cualquier fin dentro del país. Esto incluye:

• Agencias, organizaciones y particulares vietnamitas;
• Agencias, organizaciones y particulares extranjeros en Vietnam;
• Agencias, organizaciones y particulares vietnamitas que operen en el extranjero; y
• Agencias, organizaciones y particulares extranjeros que participen directamente en actividades de tratamiento de datos personales en Vietnam o estén relacionados con ellas.

Principios básicos

El PDPD se rige por un conjunto de principios básicos que definen las medidas de protección de datos personales. A menos que otras leyes permitan eludir estas medidas, los principios rectores básicos del PDPD son los siguientes:

• Conocimiento: Los interesados deben ser informados de cuándo se recogen o tratan sus datos.
• Claridad en la recogida y finalidad de los datos: los interesados deben ser informados del motivo por el que se recogen sus datos y de cómo se van a utilizar. El tratamiento de datos sólo puede hacerse para los fines indicados.
• Pertinencia: Los datos recogidos y los motivos deben ser pertinentes para la finalidad declarada para la que se recogen los datos.
• Uso comercial: Los datos personales no pueden comprarse ni venderse de ninguna forma.
• Confidencialidad: Los datos personales deben protegerse y mantenerse confidenciales.
• Plazos: Los datos personales sólo deben almacenarse durante el periodo necesario para su tratamiento.

Derechos de los interesados

El artículo 9 del PDPD concede 11 derechos clave a los interesados, que se extraen de los principios básicos (mencionados anteriormente) y sólo pueden eludirse en cumplimiento de otras leyes. Los derechos clave son los siguientes:

Derecho a saber

Los receptores de las solicitudes de datos tienen derecho a saber que se están recogiendo sus datos. Esto significa que las empresas deben notificar a los consumidores que están recogiendo sus datos.

El consentimiento sólo se considera válido cuando el interesado es consciente de:

• El tipo de datos personales que se recogen;
• La finalidad para la que se recogen;
• La organización o persona autorizada a tratar sus datos personales; y
• Los derechos y obligaciones de la persona objeto de la solicitud de datos.

Derecho al consentimiento

En virtud del PDPD, los interesados tienen derecho a decidir si facilitan o no su información personal. Aunque la ley no especifica la forma del consentimiento, se consideran adecuados los términos y condiciones digitales acompañados de una casilla de verificación que indique el reconocimiento y la comprensión de los términos.

Derecho al acceso

Una vez recogidos los datos personales, el interesado tiene derecho a acceder a su información, revisarla y solicitar correcciones en caso necesario. Es responsabilidad de las empresas que recogen los datos garantizar que el proceso de solicitud de acceso o corrección sea cómodo y rápido..

Derecho a revocar el consentimiento

Cuando una persona ya no desea que una organización o entidad conserve sus datos, tiene derecho a retirar su consentimiento. Al igual que ocurre con los derechos de acceso, las empresas tienen la obligación de garantizar que el proceso de retirada sea rápido y sencillo.

Derecho a la eliminación de datos

Los interesados tienen derecho a solicitar la eliminación de sus datos personales en poder de una entidad. El proceso para solicitar la supresión de datos personales debe ser claro y fácilmente accesible.

Derecho a limitar el tratamiento de datos

Los interesados tienen derecho a limitar el tratamiento de sus datos personales. Las empresas deben atender las solicitudes de limitación del uso de datos personales en un plazo de 72 horas. El incumplimiento puede acarrear multas administrativas o consecuencias jurídicas, incluido el derecho a reclamar daños y perjuicios.

Derecho a reclamar, denunciar e iniciar acciones judiciales

En virtud de la PDPD, si los datos personales de una persona han sido recogidos y utilizados indebidamente, tiene derecho a presentar una denuncia, informar del incidente o iniciar un procedimiento judicial contra la parte infractora. Además, el PDPD garantiza el derecho a reclamar daños y perjuicios y una compensación económica por cualquier infracción cometida.

Obligaciones de los interesados

El artículo 10 de la Directiva sobre Protección de Datos establece una serie de obligaciones para las personas físicas en relación con la protección de sus datos personales. Entre ellas figuran:

1. Las personas deben esforzarse por proteger sus propios datos y pedir a las organizaciones y particulares que protejan sus datos personales.
2. Deben respetar y proteger los datos personales de otras personas.
3. También deben facilitar sus datos personales de forma completa y precisa en los casos en que den su consentimiento para que se recojan y traten.
4. Además, deben participar en la distribución de conocimientos sobre protección de datos personales.
5. Y, por último, deben cumplir las normas establecidas en la ley sobre protección de datos personales.

Transferencias de datos transfronterizas

Las empresas extranjeras deben tener en cuenta el artículo 25 del PDPD, que describe la transferencia de datos al extranjero.

Para transferir los datos de ciudadanos vietnamitas al extranjero, hay que rellenar un “dossier” y presentarlo al Ministerio de Seguridad Pública en un plazo de 60 días tras el tratamiento de los datos. El expediente debe incluir:

• La información de contacto y los datos del remitente y del destinatario;
• Los datos de contacto de un representante del remitente;
• Una descripción y explicación de los objetivos de la transferencia de los datos personales al extranjero;
• Una descripción del tipo de datos personales que se van a transferir al extranjero;
• Una descripción y explicación de cómo se cumplirá la normativa sobre protección de datos personales del presente Decreto en el proceso de transferencia;
• Una evaluación del impacto del tratamiento de datos personales en el extranjero, incluidas las consecuencias o daños potencialmente indeseables que puedan producirse, y las medidas para mitigar estos resultados;
• El consentimiento de la persona de la que se recogen los datos y pruebas de que conoce los medios de recurso disponibles en caso de que surja algún problema; y
• Un documento que describa las obligaciones y responsabilidades tanto del remitente como del destinatario del tratamiento de los datos.

El cumplimiento de este componente de las transferencias transfronterizas de datos puede resultar costoso y restrictivo para las empresas extranjeras, dependiendo de cómo se aplique.

Protección de datos personales en Vietnam

El PDPD representa un paso significativo hacia la mejora de la protección de datos en Vietnam. No obstante, el decreto es bastante amplio y contiene algunas cláusulas ambiguas. Además, algunas disposiciones de la legislación pueden resultar costosas y lentas para las empresas, dependiendo de cómo se apliquen.

A pesar de estas dificultades, el PDPD tendrá implicaciones de gran alcance y se espera que la mayoría de las empresas, nacionales o extranjeras, tengan que revisar sus prácticas de recogida y tratamiento de datos en Vietnam.

• Previous Article Chinese President Xi Jinping Visits Hanoi to Talk Trade and Investment
• Next Article Recap: Vietnam’s Economy in 2023