Ley de Privacidad de Nueva Zelanda de 2020: descripción general para empresas

La Ley de Privacidad de Nueva Zelanda de 2020 es la principal normativa de protección de datos en Nueva Zelanda. Regula el uso de información personal por parte de las empresas y establece un estándar de protección de datos similar a otras leyes de protección de datos en todo el mundo.

La Ley de Privacidad de Nueva Zelanda de 2020 promueve y protege la privacidad de los usuarios proporcionando un marco para que las organizaciones manejen la información personal de sus usuarios de manera responsable. Otorga varios derechos a las personas para proteger su información personal.

La ley también implementa varias regulaciones para las empresas que manejan información personal de ciudadanos de Nueva Zelanda.

En este artículo, brindaremos una descripción completa de la Ley de Privacidad de Nueva Zelanda y cómo afecta a su negocio.

Vamos a sumergirnos.

La Ley de Privacidad de Nueva Zelanda de 2020 deroga la Ley de Privacidad de 1993. Regula cómo las organizaciones manejan la información personal de los ciudadanos de Nueva Zelanda.

La ley tiene como objetivo establecer estándares de privacidad reconocidos internacionalmente para proteger la información personal de los ciudadanos de Nueva Zelanda con las Directrices de la OCDE y el Pacto Internacional de Derechos Civiles y Políticos (PIDCP).

La ley entró en vigor el 1 de diciembre de 2020 y está regulada por la Oficina del Comisionado de Privacidad de Nueva Zelanda.

Esta ley se aplica a personas o empresas en Nueva Zelanda que manejan información personal de ciudadanos neozelandeses independientemente de su ubicación, ya sea dentro o fuera de Nueva Zelanda.

• Informacion personal: La información personal se refiere a cualquier información relacionada con un individuo identificable, ya sea vivo o fallecido. Incluye información como nombre, dirección, número de teléfono, dirección de correo electrónico, fecha de nacimiento e información mantenida por el Registrador General en virtud de la Ley de Registro de Nacimientos, Defunciones, Matrimonios y Relaciones de 2021 o cualquier ley anterior.
• Agencia: Agencia se refiere a cualquier persona u organización a quien se aplica la Ley. Esto incluye agencias gubernamentales, empresas y otras organizaciones que recopilan información personal de ciudadanos de Nueva Zelanda.
• Individual: Individuo se refiere a cualquier persona viva natural.
• Identificador único: Identificador único es cualquier información relacionada con un individuo distinta del nombre del individuo que puede usarse para identificarlo de manera única.
• Recolectar: Recopilar se refiere al proceso de buscar u obtener activamente información personal. No incluye recibir información no solicitada.
• Información disponible públicamente: La información disponible públicamente se refiere a información personal que está presente en una publicación disponible públicamente.

La Ley de Privacidad de Nueva Zelanda de 2020 establece 13 principios de privacidad de la información para las empresas que manejan información personal de ciudadanos de Nueva Zelanda. Estos principios rigen cómo las empresas recopilan, usan, almacenan y comparten información personal.

1. Propósito de la Colección

Una organización puede recopilar información personal sólo para fines legales relacionados con su trabajo, y la recopilación es necesaria para ese fin. Si los fines legales no requieren que la organización conozca la identidad del individuo, no pueden solicitar información de identificación personal.

2. Fuente de información personal

Si una organización necesita recopilar información personal sobre un individuo, debe recopilar la información del individuo en cuestión. Sin embargo, existen ciertas excepciones a esta ley bajo circunstancias razonables, como sigue:

1. Si no afecta el interés del individuo,
2. Si afecta la finalidad lícita para la cual se requiere la información,
3. Si la persona permite que otra persona proporcione la información,
4. Si la información está disponible públicamente,
5. Si es necesario:

• para evitar perjuicios al mantenimiento de la ley
• para hacer cumplir la ley
• para proteger los ingresos públicos
• para procedimientos legales
• para evitar daños graves a la vida o la salud de alguien,

6. Si no es práctico seguir las regulaciones en esa situación,
7. Si la información no identifica a la persona o solo se utilizará para investigaciones o estadísticas que no revelen quién es la persona

3. Recopilación de información del sujeto

Una organización que recopile información personal de personas debe informarles:

• que están recopilando su información personal,
• el propósito de recopilar la información,
• quienes tienen acceso a la información,
• el nombre y dirección de la agencia que recopila y conserva la información,
• Si la ley exige la recopilación de información, informe de qué ley se trata y si proporcionar la información es opcional u obligatorio.
• las consecuencias de no proporcionar la información
• los derechos de la persona a acceder y corregir la información bajo los principios de privacidad de la información.

La información anterior debe proporcionarse antes de recopilar su información personal o inmediatamente después de recopilarla.

Las organizaciones no necesitan informar a las personas sobre la recopilación de datos en caso de las mismas condiciones mencionadas en el Principio de Privacidad de la Información 2 (Fuente de Información Personal)

4. Forma de recopilación de información personal

Una organización puede recopilar información personal de una manera que sea justa, legal y no interfiera con la privacidad de un individuo, especialmente cuando se recopila información personal de niños.

5. Almacenamiento y seguridad de la información personal

La organización que recopila información personal de personas debe garantizar que la información esté protegida con medidas de seguridad adecuadas para evitar pérdidas, acceso no autorizado, modificación o divulgación, así como otros usos indebidos.

También deben tomar medidas apropiadas para evitar el uso no autorizado o la divulgación de información que deba compartirse con terceros.

6. Acceso a Información Personal

Un individuo tiene derecho a saber si una organización tiene su información personal y el derecho a acceder a ella cuando lo solicite.

7. Corrección de Información Personal

Una persona cuya información personal sea recopilada por una organización tiene derecho a solicitar su corrección. La organización también tiene la responsabilidad de garantizar que la información sea precisa, actualizada, completa y no engañosa.

Al solicitar la corrección de la información, las personas pueden proporcionar una declaración de la corrección a la organización. Puede ser una solicitud de corrección o cualquier otra declaración relativa a la corrección.

Si la organización se niega a corregir la información, deberá adjuntar la declaración de corrección a la información e informar a los terceros con quienes ha compartido la información.

8. Precisión de la información personal

La organización que recopila información personal de personas debe garantizar que la información sea precisa y esté actualizada antes de usarla o compartirla.

9. Retención de información personal

Las organizaciones que recopilan información personal no deben conservar la información personal cuando ya no sea necesaria para el propósito legal para el que fue recopilada.

10. Uso de información personal

Las organizaciones no pueden utilizar información personal para fines distintos del propósito original para el cual fue recopilada. Si desea utilizar información personal para un propósito diferente, debe estar directamente relacionada con el propósito original o cumplir con las condiciones descritas en el Principio de Privacidad de la Información 2.

11. Divulgación de información personal

Una organización no debe compartir ni revelar información personal a menos que:

• la divulgación de información personal es uno de los propósitos para los que fue recopilada,
• se revela a los propios individuos,
• el individuo autoriza la divulgación de información personal,
• la información está disponible públicamente,
• se produce en las circunstancias mencionadas en el principio de privacidad de la información 2.

12. Divulgación de información personal fuera de Nueva Zelanda

Una organización puede compartir o divulgar información personal fuera de Nueva Zelanda solo si,

• el individuo en cuestión da su consentimiento para la divulgación de información personal
• la organización extranjera está sujeta a la ley
• la organización extranjera está sujeta a leyes de privacidad similares a la ley
• la organización extranjera está sujeta a esquemas vinculantes o leyes de privacidad de un país prescrito

13. Identificadores únicos

Los identificadores únicos son aquellos que se pueden utilizar para identificar de forma única a un individuo. Estos incluyen números de pasaporte, números de licencia de conducir y números de seguro social.

Una organización no puede asignar un identificador único a un individuo si otra organización ya le ha asignado ese identificador al individuo. Las organizaciones deben garantizar que solo se proporcionen identificadores únicos a personas cuya identidad sea clara. También deberían tomar las medidas necesarias para reducir el riesgo de uso indebido de los identificadores únicos.

La Ley de Privacidad de Nueva Zelanda otorga los siguientes derechos a los interesados ​​con respecto a su información personal en poder de las empresas.

• Derecho a ser informado: Las personas tienen derecho a saber cuándo una organización recopila su información personal, por qué la recopila, cómo la utilizará, quiénes tienen acceso a ella y durante cuánto tiempo se conservará.
• Derecho de acceso: Las personas tienen derecho a acceder a la información personal que una organización tiene sobre ellas. Pueden solicitar copias de su información personal recopilada por una organización.
• Derecho a la corrección: Las personas físicas tienen derecho a solicitar la corrección de los datos que obran en poder de una organización. Pueden presentar una declaración de corrección de su información personal y solicitar que las organizaciones corrijan, editen o modifiquen información inexacta o incompleta sobre ellos.
• Derecho a limitar el uso y divulgación de información: La Ley de Privacidad de Nueva Zelanda otorga a las personas el derecho de limitar el uso de su información personal por parte de las organizaciones. Tienen control granular de su información personal y pueden restringir el uso de información personal con fines publicitarios o de marketing.

Estos son algunos de los derechos clave de los interesados ​​descritos en la Ley de Privacidad de Nueva Zelanda de 2020.

La Oficina del Comisionado de Privacidad (OPC) supervisará la implementación de la Ley de Privacidad en Nueva Zelanda.

A continuación se detallan los deberes y responsabilidades del Comisionado de Privacidad según la Ley de Privacidad de Nueva Zelanda de 2020:

• Ejercer las facultades y llevar a cabo funciones y deberes conforme a la ley o cualesquiera otras leyes.
• Brindar asesoramiento a los ministros y autoridades interesadas sobre asuntos relacionados con la ley.
• Promover la comprensión de los principios de privacidad de la información.
• Elaborar declaraciones públicas sobre asuntos relacionados con la privacidad individual.
• Escuche la opinión pública sobre la privacidad.
• Consulte con empresas, agencias y autoridades interesadas sobre cuestiones de privacidad.
• Examinar las leyes y regulaciones que puedan afectar la privacidad individual.
• Supervisar el uso de identificadores únicos.
• Investigar sobre asuntos en los que se infringirá la privacidad individual.
• Investigar y monitorear las actividades de procesamiento de datos y los desarrollos tecnológicos que podrían afectar la privacidad individual.
• Asesorar a las personas en asuntos relacionados con la privacidad.
• Realizar auditorías de información personal para organizaciones.
• Informar al gobierno sobre asuntos que afecten la privacidad individual.
• Recopilar información para el desempeño de las funciones.

A continuación se presentan algunas pautas generales para que las empresas que manejan información personal de ciudadanos de Nueva Zelanda cumplan con la Ley de Privacidad de Nueva Zelanda de 2020:

entender la ley

Comprender el alcance y requisitos de la ley. Familiarícese con los 13 principios de privacidad de la información de la ley. Estos principios son el núcleo de la ley y enumeran las obligaciones clave para las empresas.

Crear una política de privacidad

La Ley de Privacidad de Nueva Zelanda de 2020 requiere que usted revele la recopilación y el uso de información personal a sus usuarios. Puede crear una página de política de privacidad en el sitio web de su empresa para informar a los usuarios que recopila su información personal, por qué se recopila, durante cuánto tiempo se conservará y quién tiene acceso a ella. También debe especificar los derechos de los interesados ​​con respecto a su información personal y cómo pueden ejercer sus derechos.

Asegúrese de que la página de política de privacidad sea clara, concisa y de fácil acceso en su sitio web. Consulte nuestra guía detallada sobre la plantilla de política de privacidad para aprender cómo crear una política de privacidad para su sitio web.

Obtener el consentimiento de los usuarios

La mayoría de las regulaciones de protección de datos en todo el mundo, incluida la Ley de Privacidad de Nueva Zelanda de 2020, exigen obtener el consentimiento previo de los usuarios antes de utilizar su información personal. Es fundamental contar con una base legal y una finalidad legítima para la recogida de datos personales de los usuarios.

Sea transparente sobre por qué recopila información personal y solicite el consentimiento de los usuarios de antemano. Infórmeles de las consecuencias si deciden no dar su consentimiento.

Como exige esta ley, el consentimiento debe ser informado y otorgado libremente con una clara acción afirmativa. Asimismo, permitir a los usuarios retirar o modificar su consentimiento en cualquier momento.

Si su sitio web utiliza cookies para seguimiento o análisis, debe implementar un banner de consentimiento de cookies para informar a los visitantes sobre el uso de cookies y solicitar su consentimiento.

Consulte nuestra guía sobre “Mejores prácticas de UI/UX para banners de consentimiento de cookies” para crear un banner de consentimiento de cookies eficaz para su sitio web.

Minimizar la recopilación de datos

Recopile únicamente la información necesaria de sus usuarios. Cuantos menos datos tengas, menos complejo será cumplir con el acto.

Además, no utilice información personal para fines distintos al propósito original para el que fue recopilada, a menos que el nuevo propósito esté directamente relacionado con el propósito original o esté autorizado por el usuario.

Designe un responsable de privacidad

Designe un responsable de privacidad para su empresa para supervisar las actividades de procesamiento de datos y garantizar el cumplimiento de la ley. El responsable de privacidad también debe atender cualquier consulta de los usuarios relacionada con su privacidad. Además, deben trabajar con el Comisionado de Privacidad para cualquier investigación relacionada con la agencia.

Implementar medidas de seguridad

Debe asegurarse de que la información personal recopilada de sus usuarios esté segura y protegida. Implementar medidas de seguridad adecuadas para evitar el acceso no autorizado a los datos del usuario por parte de terceros.

Mecanismo de respuesta a la filtración de datos

Debe tener un mecanismo de respuesta activo a la violación de datos para su organización. Implementar un plan de respuesta adecuado en caso de una violación de datos. Además, informe a las autoridades interesadas sobre la violación de datos y las medidas que ha tomado dentro de los 20 días hábiles. Si es necesario, considere informar a las personas afectadas cuyos datos se han visto comprometidos.

Si no notifica la violación de datos al Comisionado de Privacidad, puede enfrentar multas de hasta $10,000 NZD.

Revisión y actualizaciones periódicas

Realice auditorías periódicas de sus actividades de procesamiento de datos para identificar y mitigar cualquier riesgo potencial. Las leyes y regulaciones pueden cambiar con el tiempo, por lo que debe asegurarse de estar actualizado con las últimas regulaciones. Considere nombrar un responsable de protección de datos para gestionar las actividades de procesamiento de datos y abordar cuestiones relacionadas con la privacidad de su empresa.

Estas son algunas pautas generales para que su empresa cumpla con la Ley de Privacidad de Nueva Zelanda de 2020. Sin embargo, le recomendamos encarecidamente que busque asesoramiento profesional para garantizar el pleno cumplimiento de la ley.

Una organización que no cumpla con las regulaciones de la Ley de Privacidad de Nueva Zelanda puede enfrentar multas de hasta $10,000 NZD.

Además, las personas que a sabiendas proporcionen información falsa o engañosa al Comisionado o a cualquier persona autorizada o que a sabiendas destruyan documentos que contengan información personal luego de una solicitud de esa información también pueden estar sujetas a multas de hasta $10,000 NZD al ser condenadas.

Aparte de estos, el Comisionado de Privacidad puede emitir un aviso de cumplimiento si encuentra una violación de esta ley o una violación del código de conducta o de los principios de privacidad de la información descritos en la ley.

¿Cuándo entró en vigor la Ley de Privacidad de Nueva Zelanda?

La Ley de Privacidad de Nueva Zelanda de 2020 entró en vigor el 1 de diciembre de 2020. Reemplazó a la anterior Ley de Privacidad de 1993.

¿Cuáles son las consecuencias de no notificar una filtración de datos?

Si una organización no notifica una violación de datos al Comisionado de Privacidad sin excusas razonables, se le impondrá una multa de hasta 10.000 dólares neozelandeses.

¿Necesito nombrar un delegado de protección de datos (DPO)?

Sí. La Ley de Privacidad de Nueva Zelanda de 2020 exige que las organizaciones nombren responsables de privacidad para supervisar las actividades de procesamiento de datos, garantizar el cumplimiento de la ley y abordar cualquier consulta de los usuarios relacionada con la privacidad.

Además, otras leyes de privacidad, como el RGPD, pueden requerir el nombramiento de un responsable de protección de datos, especialmente si su organización opera a nivel internacional y maneja información personal de usuarios fuera de Nueva Zelanda.

¿Dónde puedo encontrar más información sobre la Ley de Privacidad de Nueva Zelanda?

Consulte el texto oficial. aquí para obtener más información sobre la Ley de Privacidad de Nueva Zelanda de 2020.

La Ley de Privacidad de Nueva Zelanda de 2020 es una regulación integral de protección de datos que impone 13 principios para proteger la información personal de los ciudadanos de Nueva Zelanda. La ley se introdujo para reemplazar la Ley de Privacidad de 1993 y establecer un marco más seguro para abordar las preocupaciones de privacidad de la era digital actual.

Esperamos que este artículo le haya ayudado a comprender la Ley de Privacidad de Nueva Zelanda de 2020 y cómo cumplirla. Si lo encuentra útil, háganoslo saber en los comentarios.

Descargo de responsabilidad: Este artículo está destinado únicamente a fines informativos y no representa asesoramiento legal. No tenemos intención de obtener ningún tipo de relación abogado-cliente. Si buscas asesoramiento jurídico, te recomendamos contactar con un profesional.