La oficina del comisionado de privacy para la protección de los datos ha recibido las solicitudes de los medios sobre cuestiones de privacy en los datos personales implicados en el Esquema de distribución de dinero en el Gobierno. El Comisionado de privacy para la protección de los datos en Hong-Kong Huang Ji’er está trabajando sobre el orden sus los datos personales (Orden sobre la privacy). El contenido de la respuesta es lo siguiente:
El comisionado de privacy para la protección de los datos ha subrayado que esta mañana el secretario financiero y los funcionarios competentes han elaborado de manera clara y completa los puntos principales de los datos personales implicados en el plan y han comunicado e intercambiado opiniones con la oficina de privacy. El Comisionado de privacy está convencido que los datos personales recogidos son mínimos y necesarios y que el uso de estos datos está sujeto a restricciones. Ha asegurado que el proceso de tratamiento de los datos personales es conveniente, veloz, seguro, protegido y se cumple con los reglamentos de privacy.
1. ¿Los datos personales recogidos desde el plan pueden ser utilizados para otros fines o medidas similares de emergencia futura?
De acuerdo con el tercer principio sobre la protección de los datos de acuerdo con el Orden sobre privacy, los datos personales son limitados a la utilización (incluida la divulgación y su transferencia) de las finalidades declaradas en el momento de la recogida o para fines directamente correlatos, salvo que no se obtenga el consentimiento voluntario y explícito, o basándose sobre las circunstancias y ha decidido de aplicar cláusulas de extinción de acuerdo con el Orden sobre privacy.
El Comisariado de privacy ha observado que la “Declaración sobre la recogida de datos personales” registrada en el plan indicaba que los datos recogidos se utilizarían principalmente para la distribución de constantes en el ámbito de plan y que el gobierno haría animado los consumos locales y aliviado la economía pública en futuro.
El gobierno no utilizará los datos recogidos para finalidades diferentes desde los indicados anteriormente. Dado que se ha afirmado que el propósito del uso de datos personales incluye el uso futuro de programas similares, el gobierno puede seguir utilizando datos personales si está directamente relacionado con este propósito en el futuro.
Si el Gobierno y cualquier organización (incluidos los bancos participantes) desean utilizar los datos personales recopilados para un nuevo fin, deben obtener el consentimiento voluntario y explícito de los interesados.
2) ¿Durante cuánto tiempo se conservan los datos personales recopilados?
El PDPO actual no estipula un período fijo de retención de datos personales. Dicho esto, de conformidad con el Principio 2 de Protección de Datos de la PDPO, los usuarios de datos no deben conservar los datos personales más tiempo del necesario para el cumplimiento de la finalidad para la que se utilizan los datos. La sección 26 de la PDPO exige además que los usuarios de datos tomen todas las medidas posibles para borrar los datos personales que contienen cuando ya no sean necesarios a menos que la supresión esté prohibida por cualquier ley, o es de interés público que los datos no se borren.
El sitio web oficial del Plan menciona que los datos recogidos se conservarán durante siete años, tras lo cual se llevará a cabo una revisión. El PCPD acepta que es razonable y satisface las necesidades prácticas del propósito original. Generalmente, el período de retención de información financiera también es de siete años. Si el Gobierno sigue conservando los datos personales, deberían haber razones justificables, como mantener los datos de sistemas similares de pago en efectivo o no en efectivo en el futuro que estén directamente relacionados con el Régimen.
3) Algunos bancos ofrecen incentivos para que los clientes se registren en el Plan a través de los bancos. ¿Cómo deben los bancos recopilar y utilizar los datos personales de los clientes?
El PCPD señala que algunos bancos (como usuarios de datos) han ofrecido incentivos para atraer clientes (como sujetos de datos) para que se registren en el Plan a través de los bancos. Es una decisión comercial de los bancos poner en marcha estos planes de promoción. Sin embargo, los bancos siguen estando obligados a cumplir con los requisitos estipulados en la PDPO y por la autoridad reguladora de que se trate porque la recopilación, el procesamiento y el uso de los datos personales de los clientes están involucrados.
De acuerdo con el Principio 1 de Protección de Datos de la PDPO sobre la recopilación de datos personales, los bancos deben recopilar datos personales no excesivos de los interesados de manera lícita y justa y la finalidad de su recopilación debe estar directamente relacionada con sus funciones o actividades (por ejemplo, servicios bancarios, asistencia para registrarse en el Plan). También se debe proporcionar una Declaración de recopilación de información personal cuando/antes de recopilar los datos personales de los clientes para informarles de los datos recopilados y los fines, y las clases de personas a las que se pueden transferir sus datos.
De acuerdo con el Principio de Protección de Datos 3 de la PDPO sobre el uso de datos personales, el uso de datos personales por parte de los bancos se limita a la finalidad indicada en el momento de la recopilación o con fines directamente relacionados. Para utilizar los datos para un nuevo propósito, el consentimiento voluntario y explícito de los interesados debe obtenerse con antelación. De lo contrario, constituirá una infracción del Principio de Protección de Datos 3.
4) ¿Existe una protección efectiva de la seguridad de los datos personales en el marco del Régimen?
De acuerdo con el Principio de Seguridad de Datos 4 de la PDPO sobre la seguridad de los datos personales, los usuarios de datos deben tomar todas las medidas posibles para proteger los datos personales del acceso, procesamiento, borrado, pérdida o uso no autorizados o accidentales.
El PCPD señala que, según el Gobierno, los sistemas informáticos y el proceso de tramitación del registro y el pago han superado la evaluación del impacto en la privacidad realizada por un consultor independiente, garantizando así que el flujo empresarial y el diseño del sistema conexo del Sistema cumplan con los requisitos legales.
El PCPD ha presentado previamente su opinión al Gobierno sobre la seguridad de los datos del Plan, y considera que el Sistema cumplirá los requisitos de la PDPO.