Ley de Protección de Datos Personales (PDP) de Indonesia

Garantizar la precisión en el procesamiento de datos, proteger los datos contra el uso indebido, pérdida o daño y demostrar el cumplimiento.

PROGRAMA UNA DEMO SOLICITUD DE PRECIOS

¿Qué es la Ley PDP y cuándo entra en vigor?

La Ley de Protección de Datos Personales de Indonesia, o Ley PDP, es el enfoque de Indonesia para regular las actividades de tratamiento de datos personales en todo tipo de empresas e industrias, independientemente de si son privadas o públicas. Está en gran medida inspirado en el Reglamento General de Protección de Datos ("RGPD") de la Unión Europea y está previsto que entre en vigor en octubre de 2024; la ley (Ley nº 27 de 2022) regula la recopilación, uso, divulgación y tratamiento de datos personales.

La primera regulación integral sobre protección de datos en el país, la creación de la ley se impulsó en respuesta a brechas de datos que demostraron fallos en las leyes existentes, el aumento del uso y la recopilación de datos personales y tendencias mundiales a lo largo de los años hacia regulaciones de privacidad de datos más estrictas y sólidas.

Firmada en 2022, la nueva regulación de privacidad de Indonesia —la Ley nº 27 de 2022 sobre Protección de Datos Personales (Ley PDP)— se encuentra actualmente en un periodo de transición de dos años. Las organizaciones deben cumplir con sus actividades de procesamiento de datos al tratar datos pertenecientes a personas residentes en Indonesia e incluso fuera de Indonesia si sus acciones tienen consecuencias legales en el país.

¿A quién se aplica la ley de PDP?

La ley está diseñada para regular la protección de los datos personales en todos los sectores. Se aplica a negocios con sede en el interior. y fuera de Indonesia; siempre que una persona, empresa, entidad u organización internacional procese datos personales o datos sensibles pertenecientes a un ciudadano indonesio, o si esto pueda implicar repercusiones legales dentro del territorio de Indonesia, se aplicará la Ley PDP.

Existen excepciones parciales, incluyendo en seguridad nacional y defensa, fuerzas del orden y algunos casos de servicios financieros.

¿Qué son los datos personales según la Ley PDP?

La Ley PDP establece dos categorías principales de datos personales, incluyendo datos personales generales y datos personales específicos o sensibles . Los datos personales generales se refieren a datos relacionados con individuos identificados o identificables, por separado o en combinación con otra información, directa o indirectamente, a través de un sistema electrónico o no electrónico. Esto puede incluir datos potencialmente de menor riesgo que se encuentran en documentos de identificación y otros registros generales. Los datos específicos o sensibles suelen ser más arriesgados si se ponen en peligro.

Ejemplos generales comunes incluyen:

  • Nombre completo del individuo
  • Género
  • Nacionalidad
  • Religión
  • Estado civil

Ejemplos específicos o sensibles de datos personales:

  • Información sanitaria e médica
  • Datos biométricos y genéticos
  • Antecedentes penales
  • Datos infantiles
  • Datos financieros personales
  • Cualquier otro dato considerado sensible por ley

¿Cuáles son los requisitos de la Ley PDP?

La Ley de PDP establece varias responsabilidades para las organizaciones, entre ellas:

Las organizaciones deben procesar datos personales únicamente conforme a una base legal: Las organizaciones deben procesar datos personales según un conjunto enumerado de principios de tratamiento, incluyendo que las organizaciones deben notificar a los sujetos de los datos los fines para los cuales procesan los datos personales.

Las organizaciones deben procesar los datos personales de manera limitada, específica, transparente y legal, y deben proteger la seguridad de los datos personales frente a accesos no autorizados, divulgaciones no autorizadas, alteraciones no autorizadas, uso indebido, destrucción y pérdida.

Las organizaciones deben ser capaces de determinar el nivel de seguridad de los datos personales y garantizar que existan mecanismos adecuados de seguridad y protección. Los responsables de los tratamientos de datos están obligados a mantener la confidencialidad de los datos personales recopilados mientras supervisan a todas las partes implicadas en el procesamiento de datos personales bajo su mando, como los procesadores de datos. 

Las organizaciones deben tomar las medidas necesarias para prevenir el acceso ilegal a los datos personales utilizando un sistema de seguridad para los datos personales tratados y/o procesando datos personales mediante un sistema electrónico de manera fiable, segura y responsable.

Las empresas que transfieren regularmente datos personales internacionalmente deben asegurarse de que los estándares de protección de datos del país receptor sean equivalentes —o implementar salvaguardas legalmente vinculantes para proteger los datos— a los exigidos por la Ley PDP para cumplir también con la normativa.

Las organizaciones están obligadas a nombrar a un Responsable de Protección de Datos según la Ley PDP si procesan datos personales como parte de sus actividades principales o si gestionan grandes volúmenes de datos personales sensibles o relacionados con condenas y delitos penales. Los DPOs se encargarán de la mayoría de los aspectos del cumplimiento de la Ley PDP.

¿Cuáles son las sanciones por no cumplir con la ley PDP?

La Ley PDP impone sanciones estrictas por incumplimiento, subrayando la importancia de cumplir con los estándares de protección de datos. Las sanciones pueden ser tanto administrativas como penales, dependiendo de la gravedad de la infracción: 

Multas administrativas

Las organizaciones que no cumplan con las disposiciones de la Ley PDP pueden enfrentarse a multas administrativas de hasta el 2% de sus ingresos anuales. Esta multa puede aplicarse a una amplia gama de infracciones, incluyendo la falta de consentimiento adecuado, no notificar las brechas de datos o el mal manejo de datos personales. 

Sanciones penales

Las violaciones graves, como el procesamiento ilegal de datos personales o las violaciones intencionadas de datos, pueden conllevar sanciones penales. Las personas declaradas culpables de tales delitos pueden enfrentarse a penas de prisión de hasta seis años y multas de hasta 6.000 millones de IDR (aproximadamente 400.000 USD). El acceso no autorizado a datos personales o la transferencia de datos sin el consentimiento adecuado puede conllevar penas de prisión de hasta cinco años y multas de hasta 5.000 millones de IDR (aproximadamente 330.000 dólares estadounidenses).

Compensación por daños

Además de multas y sanciones, las organizaciones también pueden estar obligadas a compensar a las personas que hayan sufrido daños debido a una brecha de datos o un uso indebido de sus datos personales.

¿Qué deben hacer las organizaciones para cumplir con la ley PDP?

Si no lo han hecho ya, las organizaciones que procesan datos personales en Indonesia deberían empezar a prepararse para cumplir con la Ley PDP desde hoy. Algunas medidas que las organizaciones pueden tomar incluyen:

Revisar qué flujos de datos están actualmente en marcha. ¿Se clasifican los datos como se están recogiendo y procesando?

Revisión de procesos relacionados con la realización de evaluaciones de impacto en la protección de datos. ¿Tu empresa tiene un Responsable de Protección de Datos (DPO)?  En algunos casos, no nombrar a un DPO cuando sea necesario puede conllevar sanciones, posibles multas o advertencias por escrito, junto con la suspensión del procesamiento de datos.

Garantizar que existan procesos para responder a solicitudes de sujetos de datos y notificaciones de brechas de datos.

Implementar medidas de seguridad organizativas y técnicas adecuadas para garantizar la protección de los datos personales.

¿Estás recopilando, usando o vendiendo datos personales? Tu organización debe identificar una base legal para procesar datos personales y, al igual que el RGPD, obtener el consentimiento del sujeto de los datos del que recopilas los datos.

¿Cómo cumplir con la Ley PDP?

Para garantizar el cumplimiento de la Ley PDP, las organizaciones deben procesar los datos de manera que garantice la seguridad, incluyendo protección frente a procesamientos no autorizados o ilegales y contra pérdidas, destrucciones o daños accidentales. 

Implementar una solución de prevención de pérdida de datos (DLP) como Digital Guardian puede ayudar a las organizaciones a alcanzar las mejores prácticas en materia de protección de datos personales, incluyendo un objetivo deseado de la Ley PDP: proteger los datos procesados contra accesos, divulgaciones, alteraciones, usos, pérdidas o daños no autorizados o ilegales.

Como muchas normativas recientes sobre privacidad de datos, la Ley de PDP de Indonesia toma varios elementos del Reglamento General de Protección de Datos de la Unión Europea (GDPR). Digital Guardian, que puede ayudar a identificar automáticamente los datos regulados por el RGPD y protegerlos, en uso, en tránsito y en reposo, también puede ayudar a las organizaciones a demostrar el cumplimiento de las obligaciones PDP.

Soluciones de Protección de Datos de Fortra

Las soluciones de Protección de Datos de Fortra ayudan a proteger los datos personales identificándolos y clasificándolos según los estándares de clasificación PDP o organizativos. Los metadatos utilizados pueden ayudar a automatizar cómo se gestionan en el futuro, ya sea que se puedan eliminar, acceder o modificar. Al clasificar claramente los datos personales, las organizaciones que los procesan pueden manejarlos de forma más responsable y segura.
Fortra's Data Classification Solutions

Las soluciones Data Classification de Fortraayudan a cumplir con PDP aplicando tanto etiquetas visuales como etiquetado a los metadatos de un archivo para proteger y controlar su uso. Al añadir clasificación, los usuarios pueden determinar mejor cómo debe tratarse, manejarse, almacenarse y finalmente eliminarse un dato determinado. La clasificación añade funcionalidades más eficientes, así como una mayor seguridad y cumplimiento de los datos.

La Ley PDP establece que los procesadores deben asegurarse de que los datos personales no se utilicen para ningún otro propósito fuera de los servicios para los que fueron destinados. Data Loss Prevention de Digital Guardian ayuda al cumplimiento de PDP al permitir que las organizaciones descubran, monitorizen y controlen eficazmente los datos personales transmitidos en la red, en uso en estaciones de trabajo o en reposo en estaciones de trabajo, servidores de red y almacenamiento en la nube. Los datos están adecuadamente protegidos contra transmisión, difusión, uso y almacenamiento no autorizados, mientras que la funcionalidad de análisis e informes puede proporcionar documentación clave para demostrar el cumplimiento de PDP.

Descubre cómo Fortra puede ayudar con el cumplimiento de PDP:

DESCARGAR LA HOJA DE DATOS

Beneficios de usar soluciones Fortra para ayudar con el PDP

enhanced visibility icon

Encuentra y protege los datos personales

Los datos se categorizan bajo la Ley PDP como datos personales generales o datos personales específicos, también conocidos como datos sensibles. Según la ley, esto es cualquier cosa que requiera protección especial, incluyendo datos e información sanitaria, datos biométricos, datos genéticos, antecedentes penales, datos de menores, datos financieros y otros datos personales. Digital Guardian puede descubrir, monitorizar y controlar eficazmente tipos específicos de datos, asegurando que se mantengan precisos, completos y consistentes para que puedan manejarse de forma segura.

comprehensive protection icon

Esfuerzos de procesamiento seguro de datos

El artículo 35 de la nueva ley de privacidad de datos de Indonesia exige que el responsable responsable y el responsable del tratamiento protejan y garanticen la seguridad de los datos personales procesados. Digital Guardian cuenta con medidas técnicas diseñadas para proteger los datos personales que se transmiten por la red, que se usan en estaciones de trabajo o que están en reposo en estaciones de trabajo, servidores de red y almacenados en la nube. 

cross-platform-icon

Facilitar transferencias seguras de datos

Según la Ley PDP, los responsables de los tratamientos de datos personales deben garantizar que los países fuera de la jurisdicción de Indonesia que reciben la transferencia de datos personales tengan un nivel de protección de datos igual o superior al de la Ley PDP. Las organizaciones que buscan bloquear la transferencia de datos pueden utilizar políticas para cumplir con los requisitos regulatorios asegurando que no puedan trasladarse a ubicaciones no autorizadas.

Recursos relacionados

Ver Fortra Solutions in Action

HAZ UNA DEMO