Protección de datos personales en Marruecos: sus derechos y la CNDP (Ley 09-08)
La Ley 09-08 protege sus datos personales en Marruecos. Establece un principio fundamental: la informática está al servicio del ciudadano y no debe atentar contra su identidad ni sus derechos, ni revelar los secretos de su vida privada (art. primero). Esta guía explica qué protege la ley, qué derechos puede ejercer y cuál es el papel de la Comisión Nacional (la CNDP).
Qué protege la ley
«Datos personales» designa toda información relativa a una persona física identificada o identificable, incluidos el sonido y la imagen (art. primero). «Tratamiento» abarca casi cualquier operación posible: recogida, registro, almacenamiento, uso, comunicación, supresión, etc. (art. primero).
La ley distingue asimismo los «datos sensibles»: datos que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, o los datos relativos a la salud, incluidos los datos genéticos (art. primero). Dichos datos gozan de una protección reforzada.
La ley se aplica tanto a los tratamientos automatizados como a los ficheros manuales, siempre que el responsable del tratamiento esté establecido en Marruecos o utilice medios situados en territorio marroquí (art. 2). No se aplica a las actividades puramente personales o domésticas, ni a determinados tratamientos relacionados con la defensa nacional y la seguridad del Estado (art. 2).
Las obligaciones de quienes tratan sus datos
El «responsable del tratamiento» es la persona que determina los fines y los medios del tratamiento (art. primero). Debe garantizar que sus datos sean:
- tratados de manera leal y lícita;
- recogidos con fines determinados, explícitos y legítimos;
- adecuados, pertinentes y no excesivos;
- exactos y, cuando sea necesario, actualizados;
- conservados durante un plazo no superior al necesario para los fines del tratamiento (art. 3).
En principio, el tratamiento solo es posible si usted ha prestado su consentimiento de forma inequívoca (art. 4). No obstante, dicho consentimiento no será exigible en determinados supuestos, como el cumplimiento de una obligación legal, la ejecución de un contrato en el que usted sea parte, o la salvaguarda de sus intereses vitales (art. 4).
Sus derechos
La Ley 09-08 le reconoce varios derechos que puede ejercer directamente ante el responsable del tratamiento.
El derecho de información
Cuando sus datos sean recabados directamente de usted, deberá ser informado de manera expresa, precisa e inequívoca sobre: la identidad del responsable del tratamiento, los fines del tratamiento, los destinatarios, el carácter obligatorio o facultativo de las respuestas, y la existencia de sus derechos de acceso y rectificación (art. 5). Esta obligación está sujeta a límites, en particular en materia de defensa nacional o en los tratamientos realizados exclusivamente con fines periodísticos, artísticos o literarios (art. 6).
El derecho de acceso
Previa acreditación de su identidad, podrá obtener, a intervalos razonables, sin demora y de forma gratuita: la confirmación de que sus datos están siendo objeto de tratamiento, la comunicación de dichos datos en forma inteligible, e incluso el conocimiento de la lógica subyacente a cualquier tratamiento automatizado (art. 7).
El derecho de rectificación
Podrá solicitar la actualización, rectificación, supresión o bloqueo de los datos que no se ajusten a la ley, en particular los que sean incompletos o inexactos. El responsable deberá proceder a ello de forma gratuita, en un plazo de diez días. En caso de negativa o falta de respuesta, podrá dirigirse a la Comisión Nacional (art. 8).
El derecho de oposición
Podrá oponerse, por motivos legítimos, al tratamiento de sus datos. Asimismo, podrá oponerse de forma gratuita a que sus datos sean utilizados con fines de prospección comercial, en particular de mercadotecnia directa (art. 9).
La prospección comercial: un marco estricto
La prospección directa mediante sistemas de llamada automatizada, fax o correo electrónico está prohibida sin su consentimiento previo (art. 10). Existe una excepción para el correo electrónico cuando sus datos de contacto hayan sido recabados con ocasión de una venta, para productos similares, siempre que pueda oponerse de manera sencilla y gratuita (art. 10). En todo caso, el remitente no podrá ocultar su identidad (art. 10).
Además, ninguna decisión que produzca efectos jurídicos respecto a usted podrá adoptarse basándose únicamente en un tratamiento automatizado destinado a elaborar su perfil o evaluar su personalidad (art. 11).
Formalidades: declaración o autorización
Antes de poner en marcha un tratamiento, el responsable debe cumplir las formalidades previstas ante la Comisión Nacional. Según el caso, estas consisten en:
- una autorización previa, en particular para los datos sensibles, los datos genéticos, los datos relativos a infracciones, o el número del documento nacional de identidad (art. 12);
- una declaración previa en los demás casos (art. 12).
La declaración debe incluir menciones específicas (la identidad del responsable, los fines, las categorías de datos, los destinatarios, el plazo de conservación, las medidas de seguridad, etc.) (art. 15). La Comisión expide un acuse de recibo en un plazo de 24 horas, tras lo cual podrá iniciarse el tratamiento (art. 19). El tratamiento de datos sensibles está supeditado a una autorización legal o, en su defecto, a la de la Comisión Nacional (art. 21).
Seguridad y confidencialidad
El responsable del tratamiento debe adoptar las medidas técnicas y organizativas adecuadas para proteger sus datos frente a su pérdida, alteración o acceso no autorizado (art. 23). Para los datos sensibles o de salud se aplican controles reforzados (control de acceso, de soportes, de transmisión, etc.) (art. 24). Asimismo, toda persona que intervenga en el tratamiento de sus datos está vinculada por el secreto profesional, incluso una vez concluidas sus funciones (art. 26).
El papel de la CNDP
La Comisión Nacional de Control de la Protección de Datos de Carácter Personal está adscrita a la Presidencia del Gobierno (art. 27). Vela por el cumplimiento de la ley: emite dictámenes, recibe las declaraciones y expide los acuses de recibo (art. 27), examina las solicitudes de autorización (art. 28) e informa al público sobre sus derechos (art. 29). Dispone de genuinas potestades de investigación y puede ordenar el bloqueo, la supresión o la prohibición de un tratamiento (art. 30).
Podrá presentar ante ella una reclamación si considera que el tratamiento de sus datos le ha causado un perjuicio; la Comisión podrá ordenar las correcciones oportunas o remitir el asunto al Ministerio Fiscal (art. 28).
Transferencias internacionales de datos
Sus datos únicamente podrán transferirse a un Estado extranjero si dicho Estado garantiza un nivel de protección adecuado (art. 43). En caso contrario, la transferencia seguirá siendo posible en supuestos específicos, por ejemplo con su consentimiento expreso o mediante autorización motivada de la Comisión Nacional (art. 44).