Se publica el primer borrador de la nueva Ley de Protección de Datos Personales de Vietnam (PDPL) para comentarios públicos

El 24 de septiembre de 2024, el gobierno vietnamita publicó el primer borrador de una nueva Ley de Protección de Datos Personales (PDPL) para su consideración por parte del público. El proyecto de ley tiene disposiciones más estrictas que el Decreto de Protección de Datos Personales y está previsto que entre en vigor a partir del 1 de enero de 2026.

El 24 de septiembre de 2024, el gobierno vietnamita publicó el primer borrador de una nueva Ley de Protección de Datos Personales (PDPL). Este proyecto de ley, que entrará en vigor el 1 de enero de 2026, marca otro paso adelante en los esfuerzos de Vietnam por construir un marco sólido para la protección de datos personales. El proyecto está actualmente abierto a consulta pública  hasta el 24 de noviembre de 2024, lo que permite a las partes interesadas enviar comentarios.

Lea también: 5 claves: Guía para entender la nueva Ley de Protección de Datos Personales de Chile

El borrador de la PDPL, elaborado por el Ministerio de Seguridad Pública (MPS), consta de 68 artículos repartidos en siete capítulos. El borrador de la PDPL es más completo que el Decreto Nº 13/2023/ND-CP sobre Protección de Datos Personales (PDPD) del año pasado y cubre una amplia gama de áreas, incluidos los servicios de marketing, la publicidad basada en el comportamiento, el procesamiento de macrodatos, la inteligencia artificial, la computación en la nube, el seguimiento y la contratación de empleados, los datos financieros y crediticios, la atención sanitaria, los seguros y más.

Se espera que la Asamblea Nacional adopte el proyecto de ley en mayo de 2025. No prevé un período de transición para su cumplimiento, excepto para las microempresas, las pymes y las empresas emergentes, que solo están exentas de designar un departamento de protección de datos durante los dos primeros años desde su creación. Sin embargo, estas empresas más pequeñas deben cumplir con todas las demás obligaciones de la ley en el mismo plazo que las empresas más grandes.

Principales objetivos y políticas

En marzo de 2024, el Ministerio de Seguridad Pública (MPS) presentó una propuesta a la Asamblea Nacional para elaborar un proyecto de Ley de Protección de Datos Personales. El MPS destacó que el proyecto tiene como objetivo mejorar el marco legal de Vietnam para la protección de datos personales, establecer una base jurídica clara para salvaguardar los datos personales, mejorar la capacidad de las organizaciones y los individuos nacionales para proteger los datos personales a fin de cumplir con los estándares internacionales y regionales, y fomentar el uso legal de los datos personales para apoyar el desarrollo económico y social.

Para lograr los objetivos antes mencionados, el proyecto de PDPL se ha elaborado de acuerdo con cuatro misiones clave:

  • Unificar la normativa legal sobre términos legales relacionados con los datos personales y la protección de datos personales;
  • Especificar los derechos y obligaciones de los interesados;
  • Mejorar la normativa sobre protección de datos personales durante el tratamiento de datos; y
  • Mejorar la normativa para garantizar las condiciones y medidas de protección de datos personales.

Características principales del proyecto de ley PDPL

  1. Ámbito de aplicación ampliado: el proyecto de ley de protección de datos personales se aplica a todas las agencias, organizaciones y personas vietnamitas que operan en el país y en el extranjero, así como a las entidades extranjeras que participan en el procesamiento de datos en Vietnam. Este amplio alcance garantiza que la ley cubra las actividades de procesamiento de datos dentro del país y para los titulares de datos vietnamitas en el extranjero.
  2. Requisitos estrictos de consentimiento: el consentimiento sigue siendo la base jurídica principal para el tratamiento de datos personales, con nuevas estipulaciones para las transferencias de datos transfronterizas. Los responsables y los encargados del tratamiento deben obtener el consentimiento afirmativo e informado de los interesados, en particular en el caso de datos personales sensibles, como historiales médicos, opiniones políticas y datos biométricos. El borrador de la PDPL especifica que el silencio o la falta de respuesta no pueden considerarse consentimiento, lo que refuerza la postura de Vietnam sobre la estricta privacidad de los datos.
  3. Definiciones de datos personales: El proyecto de ley introduce una distinción más clara entre “datos personales básicos” y “datos personales sensibles”. Las categorías de datos sensibles se han ampliado para incluir información sobre el uso de la tierra, datos de ubicación y registros crediticios. Además, se han introducido nuevas definiciones como “experto en protección de datos personales”, “calificación crediticia en materia de protección de datos personales” y “uso de datos personales para marketing”, lo que afina aún más las responsabilidades en materia de protección de datos.

Podría interesarle: X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA

Evaluaciones de impacto de la protección de datos (EIPD) y evaluaciones de impacto de transferencia (EIT): el borrador de la PDPL exige que las organizaciones realicen evaluaciones de impacto de la protección de datos y evaluaciones de impacto de transferencia, que deben actualizarse cada seis meses o ante cualquier cambio sustancial. Esto garantiza que el procesamiento de datos personales se controle de forma continua y cumpla con el cambiante panorama regulatorio.

Obligaciones de las empresas: El proyecto de ley impone a las empresas obligaciones estrictas en materia de cumplimiento de la normativa de protección de datos. Por ejemplo, las empresas deben designar un departamento de protección de datos para el tratamiento de datos básicos y sensibles. Este departamento puede ser subcontratado a proveedores de servicios externos, lo que permite una mayor flexibilidad para las empresas. El proyecto de ley también establece que las empresas deben tener al menos un experto en protección de datos personales en estos departamentos, al tiempo que establece requisitos detallados para la contratación de este personal.

Otros contenidos: X de Elon Musk dejará de usar datos personales de los usuarios en la UE para entrenar a su IA

Exención para las MIPYMES: Las microempresas, las PYMES y las empresas emergentes solo están exentas del requisito de contar con un departamento de protección de datos durante los primeros dos años, y todas las demás obligaciones deben cumplirse dentro del mismo plazo que las organizaciones más grandes. Sin embargo , las microempresas , las PYMES y las empresas emergentes que participan directamente en actividades de procesamiento de datos personales no están sujetas a la exención.

Notificaciones de violaciones de datos: las empresas tendrán un plazo de 72 horas para notificar a las autoridades cualquier incidente de violación de datos, una norma heredada de la PDPD. Este requisito de respuesta rápida refleja las mejores prácticas internacionales, lo que garantiza una acción oportuna en caso de violaciones de la seguridad de los datos.

Nuevos mecanismos de certificación: el proyecto introduce la certificación de protección de datos personales, creando de hecho un sistema de calificación crediticia para las empresas en función de su cumplimiento. Las empresas pueden obtener calificaciones como “alta credibilidad” o “confianza” en función de sus prácticas de protección de datos personales, lo que podría mejorar la confianza de los consumidores y la reputación en el mercado.

Prohibición de venta de datos personales en cualquier forma

El proyecto de PDPL establece claramente ocho principios de protección de datos personales, uno de los cuales es que los datos personales no pueden comprarse ni venderse en ninguna forma.

Según el proyecto de ley, los datos personales son información en forma de símbolos, letras, números, imágenes, sonidos o formas similares en el entorno electrónico que se asocian a una persona determinada o que permiten identificarla. Estos datos se dividen en dos tipos:

  • Datos personales básicos, que incluyen nombre completo, fecha/mes/año de nacimiento, género, lugar de nacimiento, nacionalidad, imagen personal, número de teléfono, número de identificación, estado civil, etc.; y
  • Datos personales sensibles, que son informaciones cuya violación afectará directamente los derechos e intereses legítimos de organizaciones e individuos, y están estrechamente relacionados con la privacidad de las personas.

Detener las actividades de marketing cuando lo solicite el titular de los datos

El proyecto de ley reserva un artículo separado para regular la protección de datos personales en los servicios de marketing.

En consecuencia, las organizaciones y personas que prestan servicios de marketing solo pueden utilizar los datos personales de los clientes recopilados a través de sus actividades comerciales para servicios de marketing. La recopilación y el uso de datos personales deben garantizar los derechos del titular de los datos.

El tratamiento de los datos personales de los clientes para servicios de marketing debe recibir el consentimiento del cliente, sobre la base de que el cliente conoce claramente el contenido, el método, la forma y la frecuencia de la introducción del producto.

Normativa de protección de datos personales en las actividades financieras, bancarias, crediticias y de información crediticia

El proyecto de ley de la PDPL estipula que las empresas financieras, bancarias y crediticias deben:

  • No comprar, vender o transferir ilegalmente información crediticia entre instituciones financieras, crediticias y de información crediticia.
  • No transmitir ni compartir datos financieros y crediticios no cifrados de los titulares de los datos entre dichas instituciones.
  • Cumplir íntegramente con la normativa sobre protección de datos personales sensibles, así como con los estándares de seguridad de pagos y créditos prescritos por la ley.
  • Obtener el consentimiento explícito de los interesados ​​antes de utilizar su información crediticia para calificar el crédito o evaluar su solvencia.
  • Asegúrese de que las evaluaciones crediticias de los interesados ​​resulten únicamente en resultados binarios, como “Aprobado o reprobado”, “Sí o No” o escalas basadas en datos recopilados directamente de los clientes.
  • Identificar y declarar claramente las etapas que requieren la aplicación de medidas de desidentificación de datos personales.
  • Notificar rápidamente a los interesados ​​en caso de violaciones de información de cuentas financieras o pérdida de datos.

Desafíos y consideraciones de cumplimiento

A pesar de las nuevas disposiciones, quedan por resolver algunos desafíos. Por ejemplo, todavía no está claro cómo interactuará la PDPL con la PDPD existente. ¿La PDPL reemplazará a la PDPD o coexistirá con ella? Además, si bien la ley refuerza el procesamiento de datos basado en el consentimiento, no reconoce el “interés legítimo” como base legal, lo que contrasta con estándares globales como el RGPD.

Para las empresas que operan en Vietnam, este proyecto de ley requerirá ajustes significativos. Las empresas deben prepararse para mejorar sus operaciones de procesamiento de datos, en particular en lo que respecta a las evaluaciones de impacto sobre la protección de datos, las transferencias transfronterizas y el estricto régimen de consentimiento. Además, sectores como el marketing, la publicidad basada en el comportamiento, la atención médica y la inteligencia artificial deberán adaptar sus prácticas para seguir cumpliendo con los requisitos más estrictos en torno al procesamiento de datos personales sensibles.

Conclusión

El proyecto de ley de protección de datos personales refleja la ambición de Vietnam de establecer un marco integral de protección de datos personales que se ajuste a los estándares globales. Si bien las empresas deberán afrontar nuevos desafíos de cumplimiento, también tienen la oportunidad de brindar aportes durante el período de consulta. Dado que la ley de protección de datos personales está prevista para su posible promulgación en mayo de 2025 y su entrada en vigor a partir del 1 de enero de 2026, las empresas deben actuar con rapidez para evaluar su preparación y alinearse con el nuevo paradigma de protección de datos de Vietnam.

FUENTE: Cyrill, Melissa. »Vietnam’s First Draft of New Personal Data Protection Law (PDPL) Released for Public Comments» 26/09/2024. Vietnam-briefing.com. (https://www.vietnam-briefing.com/news/vietnams-first-draft-of-new-personal-data-protection-law-pdpl-released-for-public-comments.html/).

Facebook
Twitter
LinkedIn

¡No te pierdas nada!

Inscríbete ahora y sé el primero en recibir todas las novedades y actualizaciones exclusivas de nuestra página

Utilizamos cookies propias y de terceros, únicamente se limitan a recoger información técnica para identificar la sesión con la finalidad de obtener información estadística, facilitar el acceso seguro y eficiente de la página web, con el fin de darle mejor servicio en la página. Si continúas navegando este sitio asumiremos que estás de acuerdo.
×

Hola!

Recibe información gratuita y personalizada

× ¡Recibe info personalizada!