As startups que processam dados pessoais no Quênia estão entre as entidades obrigadas a se registrar no Office of the Data Commissioner (ODPC), já que o país da África Oriental implementa uma lei que protege o direito à privacidade das pessoas dentro de suas fronteiras.
O registro, que teve início após a entrada em vigor das normas de proteção de dados, é obrigatório para qualquer empresa que atue como controladora de dados — definida como uma pessoa ou entidade que determina a finalidade e os meios de processamento de dados pessoais — ou processador , que é uma empresa que pode não necessariamente coletar ou determinar como os dados são usados, mas os trata em nome de outra empresa.
O controlador ou processador de dados é obrigado a revelar o tipo de dados pessoais que processa, seus titulares-alvo e os motivos para coletar e armazenar esses dados.
Apesar de o ODPC fazer algumas isenções com base na receita e no número de funcionários, o registo é obrigatório para as entidades que prestam serviços financeiros, as que processam dados genéticos, no sector das telecomunicações, gestão de propriedades, assistência ao paciente, educação, transporte, hotelaria, jogos de azar, prevenção do crime e marketing direto.
“O registro é um elemento importante de conformidade com a legislação de proteção de dados, pois as organizações não podem atuar como controladoras ou processadoras de dados no Quênia, a menos que se registrem no ODPC”, disse Immaculate Kassait, comissária de dados, em comunicado.
As novas regulamentações, que fornecem orientações a serem seguidas pelos controladores e processadores de dados, são projetadas para dar aos usuários mais poder para determinar o tipo de dados que são coletados e como são usados.
A lei também busca promover a promulgação da Lei de Proteção de Dados do Quênia, que garante que as empresas usem os dados dos clientes legalmente, minimize os detalhes coletados, restrinja o compartilhamento e o processamento adicional de dados e garanta que os dados das pessoas sejam mantidos em segurança.
Os regulamentos, que são semelhantes ao GDPR da UE, também exigem que as empresas busquem o consentimento dos usuários antes de coletar dados e especifiquem sua intenção de coleta.
Também descreve que essas entidades devem obter consentimento antes de usar os dados para fins comerciais. Essas entidades também são obrigadas a processar os dados pessoais coletados por meio de um servidor de dados localizado no Quênia ou manter uma cópia de serviço dentro das fronteiras. Uma empresa que transfere dados para fora do país só pode fazê-lo em um número de contas que inclua também o consentimento do titular dos dados.
Os controladores e processadores também são obrigados a notificar o ODPC dentro de 72 horas de uma violação de dados. O regulamento incentiva ainda as entidades a ter um responsável pela proteção de dados para garantir a conformidade e recomenda multas e penas de prisão por violação.