La Ley POPI, o POPIA, es la ley de protección de datos de Sudáfrica. La «Protection of Personal Information Act» equivale al GDPR de la UE. Responde a las preguntas de cómo, por qué y quién puede recoger, almacenar y distribuir datos sensibles. ¿Qué significa eso exactamente y cómo puede asegurarse de que su organización cumple con la normativa?
Profundicemos primero en qué es la POPIA antes de hablar de los pasos concretos que su organización debe dar para cumplir con la normativa.
¿Cuál es el alcance de POPIA?
Toda entidad, privada o pública, que esté domiciliada en Sudáfrica o que, sin estarlo, trate datos personales en Sudáfrica entra dentro del alcance de POPIA.
En primer lugar, veamos algunas definiciones.
«Información personal» se define de forma muy amplia en la POPIA e incluye:
- Cualquier tipo de identificación o información de contacto
- Datos biométricos
- Información demográfica (idioma, raza, estado civil, etc.)
- Información sobre educación
- Nombres de usuario y contraseñas
- Antecedentes financieros, laborales y penales
A diferencia del GDPR, POPIA protege no solo los datos de personas vivas, sino también los de otras empresas y organizaciones.
Por «tratamiento», POPIA entiende cualquier operación o actividad relacionada con la información personal. Esto, de nuevo, da lugar a un alcance muy amplio de acciones, como la recogida, recepción, registro, almacenamiento, distribución o destrucción de datos personales, por nombrar algunas.
Existen ciertas excepciones, como las de los organismos públicos que tratan información personal con fines de seguridad nacional u otras razones similares. Tampoco se aplica POPIA si se trata de información personal relativa a actividades domésticas habituales.
¿Cuál es el propósito de POPIA?
El propósito de la POPIA es proteger los datos personales del robo, el uso indebido y las acciones malintencionadas. Las normas de POPIA están diseñadas para «hacer efectivo el derecho constitucional a la privacidad».
En términos generales, la POPIA hace 3 cosas:
- Define 8 condiciones bajo las cuales cualquier persona u organización puede tratar legalmente información sensible.
- Describe las multas y sanciones por incumplimiento.
- Establece un Information Regulator que actúa como el organismo que promueve y hace cumplir la Ley POPI.
Breve resumen de las 8 condiciones de POPIA
El cumplimiento de las 8 condiciones es obligatorio tanto para entidades públicas como privadas bajo POPIA. Estas condiciones son:
- Responsabilidad (Accountability): Quien trate la información personal debe cumplir con las disposiciones de POPIA.
- Limitación del tratamiento: Solo se puede tratar información personal pertinente.
- Especificación del propósito: Debe definirse el propósito de la recogida de datos. Los datos no pueden conservarse más tiempo del necesario.
- Limitación del tratamiento posterior: Deben tenerse en cuenta las consecuencias de los medios de recogida y de la difusión de los datos personales.
- Calidad de la información: La información personal recopilada debe ser correcta y no engañosa.
- Transparencia: El propósito de la recogida de datos debe declararse con claridad y obtenerse un consentimiento explícito.
- Salvaguardas de seguridad: La información personal recopilada debe protegerse frente a la pérdida, daños y accesos ilícitos.
- Participación del titular de los datos: Cualquier persona puede solicitar ver qué información personal suya se almacena y solicitar la eliminación de los registros.
Cómo cumplir con POPIA
El periodo de gracia de un año para cumplir con POPIA finalizó el 30 de junio de 2021, por lo que su aplicación comenzó el 1 de julio de 2021.
Para estar del lado correcto de la ley, su organización deberá dar varios pasos para cumplir con las 8 condiciones de POPIA. Entre estos pasos se incluyen:
- Designar un Information Officer. El Officer será responsable de supervisar que la organización cumple con POPIA y se comunicará con el Information Regulator.
- Hacia fuera: publicar una política de privacidad en la que se expliquen todos los derechos y responsabilidades relacionados con el tratamiento de datos personales.
- Requisitos internos: educar a los empleados, implementar procesos, actualizar la tecnología, modificar los contratos con proveedores, asegurar la correcta notificación de las brechas de datos, etc.
Como ocurre con cualquier cumplimiento normativo, lo primero será realizar un análisis de brechas para identificar dónde se sitúa su organización en los distintos requisitos. La designación de un Information Officer también será un paso importante para situarse en condiciones de cumplir todos los requisitos de POPIA.
Recuerde que la protección de datos es un proceso continuo y requerirá una supervisión y gestión constantes.
Cómo Safetica protege sus datos para cumplir con POPIA
- Safetica cifra sus datos y los mantiene protegidos en caso de pérdida o robo del dispositivo.
- Safetica es una solución DLP que protege sus datos frente a las amenazas internas. Defina qué operaciones pueden ser arriesgadas y bloquéelas, o haga que Safetica le notifique a usted y a sus empleados sobre los posibles riesgos.
- Con Safetica resulta sencillo adoptar políticas de seguridad y definir los empleados autorizados que pueden trabajar con sus archivos sensibles. Puede establecer sus políticas de seguridad y supervisar si los datos sensibles de su empresa están siendo utilizados de forma indebida, permitiendo el acceso solo a personas autorizadas.
- Eduque a sus empleados de forma habitual. Safetica notifica a sus empleados en caso de operaciones arriesgadas para que sean más conscientes de la seguridad de los datos.
- Asegure su lugar de trabajo y adopte políticas sobre cómo trabajar con documentos sensibles. Safetica realiza auditorías de seguridad y le proporciona informes periódicos que le permiten ajustar sus políticas de seguridad.