El 29 de enero de 2021, la Comisión de Protección de Datos Personales (PDPC) anunció que ciertas secciones de la Ley de Protección de Datos Personales (Enmienda) de 2020 (las Enmiendas a la PDPA) entrarían en vigor a partir del 1 de febrero de 2021; consulte el anuncio de la PDPC aquí y la Notificación de Inicio publicada en el boletín oficial aquí. Esta alerta para clientes proporciona un resumen de alto nivel de las Enmiendas a la PDPA que han entrado en vigor.

Los cambios introducidos por las Enmiendas a la PDPA a la Ley de Protección de Datos Personales de 2012 (la PDPA) son los más significativos desde que la PDPA entró en vigor por primera vez el 1 de julio de 2014. Consulte nuestra publicación anterior en el blog donde se analizan los cambios clave introducidos por estas enmiendas.

Las Enmiendas a la PDPA entrarán en vigor por fases, con los siguientes tres cambios clave aplicándose desde el 1 de febrero de 2021:

Notificación obligatoria de brechas de datos: Las organizaciones deben notificar a la PDPC cualquier brecha de datos que: (i) resulte, o sea probable que resulte, en un daño significativo para los individuos afectados; o (ii) sea de una escala significativa (es decir, que involucre datos personales de 500 o más individuos). Los individuos afectados deben ser notificados si es probable que la brecha de datos les cause un daño significativo.

Datos personales o clases de datos prescritos que se consideran causantes de daño significativo: El Reglamento de Protección de Datos Personales (Notificación de Brechas de Datos) de 2021 proporciona una lista prescrita de datos personales o clases de datos que se considerará que resultan en un daño significativo si se ven comprometidos (p. ej., datos de autenticación de la cuenta de un individuo, información de tarjetas de crédito, números de cuenta bancaria, solvencia crediticia, información salarial, etc.).

Plazos para la notificación: Las presentaciones ante la PDPC deben realizarse tan pronto como sea factible, pero en cualquier caso, a más tardar 3 días naturales después de que la organización determine que la brecha es notificable. Las notificaciones a los individuos deben realizarse tan pronto como sea factible, al mismo tiempo o después de notificar a la PDPC.

Información requerida: Consulte el Reglamento sobre Notificación de Brechas de Datos para obtener la lista mínima de información que debe contener la notificación.

Introducción de delitos relativos al mal manejo de datos personales por parte de individuos: Los individuos serán responsables del mal manejo flagrante de datos personales mediante la introducción de nuevos delitos penales: (i) divulgación no autorizada de datos personales a sabiendas o por imprudencia; (ii) uso no autorizado de datos personales a sabiendas o por imprudencia para obtener un beneficio indebido o causar una pérdida a cualquier persona; y (iii) reidentificación no autorizada de datos anonimizados a sabiendas o por imprudencia. La pena prescrita para estos delitos es una multa que no exceda los 5,000 dólares de Singapur, prisión por un término no mayor a 2 años, o ambos.

Ampliación del marco de consentimiento: Nuevas disposiciones para introducir el "consentimiento presunto por necesidad contractual" y el "consentimiento presunto por notificación" para permitir que las organizaciones recopilen, usen y divulguen datos personales. Además, se han introducido excepciones por interés legítimo y mejora empresarial, junto con cambios en la excepción por transferencia de activos comerciales y en la excepción por investigación para mejorar los esfuerzos de innovación de datos. Estas expansiones vienen acompañadas de requisitos de rendición de cuentas.

Se han publicado reglamentos complementarios que entraron en vigor junto con las Enmiendas el 1 de febrero de 2021, incluyendo guías de asesoría actualizadas para proporcionar orientación sobre la implementación.

Los siguientes cambios aún no habían entrado en vigor al 1 de febrero de 2021, pero se espera que lo hagan próximamente:

Aumento de las sanciones financieras para organizaciones: Hasta el 10% de la facturación anual en Singapur (si supera los 10 millones de SGD) o 1 millón de SGD, lo que sea mayor.

Derecho a la portabilidad de datos: Un nuevo apartado que otorga a los individuos el derecho a que las organizaciones transmitan sus datos personales a otra organización en un formato estructurado y de lectura mecánica.

Conclusiones clave:

- Las organizaciones deben revisar sus políticas y procedimientos para asegurarse de estar preparadas para manejar incidentes de brechas de datos bajo el nuevo régimen obligatorio.

- Las organizaciones deberían considerar aprovechar el marco de consentimiento ampliado, siendo clave las evaluaciones de impacto de protección de datos para demostrar el cumplimiento.

Source: https://blog.storagecraft.com/the-top-5-essential-data-protection-steps-end-users-should-know/