Cumplimiento del RGPD en Malta: Guía Práctica para Empresas

Malta adoptó el Reglamento General de Protección de Datos (RGPD) como Estado miembro de la UE cuando se hizo directamente aplicable en mayo de 2018. Para complementar el reglamento con disposiciones nacionales, Malta promulgó la Ley de Protección de Datos (Capítulo 586 de las Leyes de Malta). Las empresas que operan en Malta —incluyendo los destacados sectores de iGaming, servicios financieros, turismo, farmacéutica y tecnología— deben cumplir tanto el RGPD como esta legislación de aplicación nacional.

El Comisario de Información y Protección de Datos (IDPC)

La autoridad supervisora en Malta es el Comisario de Información y Protección de Datos (IDPC), una autoridad independiente establecida en virtud de la Ley de Protección de Datos. El IDPC es responsable de supervisar y aplicar el cumplimiento del RGPD y la Ley nacional de Protección de Datos, tramitar reclamaciones de los interesados, llevar a cabo investigaciones y emitir orientaciones a las organizaciones.

El IDPC tiene potestad para imponer multas administrativas alineadas con el régimen de sanciones del RGPD: hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial para infracciones de nivel inferior, y hasta 20 millones de euros o el 4 % para violaciones más graves. El IDPC también tiene competencias sobre la Ley de Libertad de Información y proporciona orientación en materia de privacidad tanto al público como a las entidades reguladas.

Lo que la Ley Capítulo 586 añade al RGPD

Si bien el RGPD se aplica directamente en todos los Estados miembros de la UE, el Capítulo 586 ejerce las derogaciones nacionales permitidas por el reglamento en varios ámbitos importantes:

• Edad de consentimiento: Malta establece la edad de consentimiento digital en 13 años para los servicios de la sociedad de la información, por lo que se requiere consentimiento parental para tratar los datos personales de menores de 13 años
• Datos de empleados: La Ley incluye disposiciones específicas para el tratamiento de datos de empleados en el marco de relaciones laborales, incluyendo contratación, gestión del rendimiento y cese
• Categorías especiales de datos: La Ley especifica las condiciones en las que se pueden tratar datos sensibles (salud, genéticos, biométricos, opiniones políticas, creencias religiosas, afiliación sindical) en el contexto maltense
• Libertad de expresión y periodismo: Las derogaciones se aplican al tratamiento con fines periodísticos, académicos, artísticos y literarios
• Interés público e investigación: Se aclaran las condiciones para el tratamiento en interés público, investigación científica y fines estadísticos

Obligaciones clave del RGPD para las empresas en Malta

Las empresas maltesas deben cumplir todas las obligaciones estándar del RGPD. Las siguientes áreas son las que con mayor frecuencia se identifican como lagunas en las evaluaciones:

Registro de actividades de tratamiento

Toda organización con 250 o más empleados —y las que traten datos que probablemente supongan un riesgo para los interesados, traten categorías especiales o datos de condenas penales— deben llevar un Registro de Actividades de Tratamiento (RAT). En la práctica, incluso las organizaciones más pequeñas de Malta deberían mantener un RAT como medida básica de cumplimiento.

Acuerdos con encargados del tratamiento

Cualquier organización que encomiende a un tercero el tratamiento de datos personales en su nombre debe tener un Acuerdo de Encargo de Tratamiento (AET) por escrito. El sector iGaming en Malta depende en gran medida de proveedores de tecnología externos, cada uno de los cuales requiere un AET conforme.

Derechos de los interesados

Las organizaciones deben contar con procedimientos documentados para responder a las solicitudes de los interesados —incluyendo acceso, rectificación, supresión, limitación y portabilidad— dentro del plazo requerido de un mes. Los sectores de iGaming y servicios financieros en Malta gestionan grandes volúmenes de datos de jugadores y clientes, lo que hace imprescindibles unos procedimientos robustos.

Notificación de brechas de datos

Las violaciones de datos personales que probablemente supongan un riesgo para las personas deben notificarse al IDPC en un plazo de 72 horas desde que se tenga conocimiento de ellas. Las empresas maltesas deben contar con un procedimiento documentado de detección y notificación de brechas antes de que se produzca un incidente.

Sectores con mayor riesgo en Malta

• iGaming y juego en línea: Malta es uno de los mayores centros de juego en línea de Europa, regulado por la Malta Gaming Authority (MGA). Los operadores tratan extensos datos de jugadores incluyendo identidad, datos financieros y de comportamiento
• Servicios financieros: Las empresas de inversión, bancos, aseguradoras e instituciones de pago reguladas por la MFSA tratan grandes volúmenes de datos de clientes. El cumplimiento del RGPD debe integrarse con MiFID II, DORA y los requisitos de documentación AML
• Turismo y hostelería: Los hoteles, aerolíneas y agencias de viajes recopilan amplios datos personales. La naturaleza estacional e internacional del turismo maltense crea desafíos específicos de cumplimiento
• Farmacéutica y ciencias de la vida: Malta cuenta con un sector farmacéutico en crecimiento. El tratamiento de datos de salud y ensayos clínicos requiere salvaguardas adicionales como categorías especiales
• Tecnología y fintech: Malta se ha posicionado como centro de blockchain y tecnología. Las empresas orientadas a productos deben integrar la privacidad desde el diseño desde el inicio

Transferencias transfronterizas de datos desde Malta

Las empresas maltesas frecuentemente transfieren datos personales a países no pertenecientes a la UE, especialmente en el contexto de operaciones de iGaming, servicios financieros y externalización de TI. Tales transferencias solo están permitidas cuando se garantiza un nivel adecuado de protección —mediante una decisión de adecuación de la UE, Cláusulas Contractuales Estándar, Normas Corporativas Vinculantes u otro mecanismo aprobado. Los operadores de iGaming en particular deben mapear todos los flujos de datos de jugadores a ubicaciones fuera del EEE.

Pasos prácticos para las empresas en Malta

1. Realizar un ejercicio de mapeo de datos: Identificar cada categoría de datos personales tratados, el fin, la base jurídica, el plazo de conservación y cualquier intercambio con terceros
2. Revisar y actualizar los avisos de privacidad: Los avisos deben ser concisos, transparentes y redactados en un lenguaje claro accesible para los interesados
3. Auditar los acuerdos con proveedores: Asegurarse de que existen AET con todos los encargados del tratamiento, incluidas plataformas en la nube, proveedores de SaaS y procesadores de pago
4. Implementar un procedimiento para solicitudes de interesados: Asignar responsabilidades, establecer un sistema de seguimiento y garantizar que las respuestas se emitan dentro del plazo de un mes
5. Establecer un plan de respuesta a brechas: Definir roles, vías de escalada y el flujo de notificación de 72 horas al IDPC
6. Capacitar al personal: Todos los empleados que manejen datos personales deben recibir regularmente formación en protección de datos
7. Evaluar el requisito de DPO: Determinar si sus actividades de tratamiento requieren un Delegado de Protección de Datos y considerar los servicios de DPO externalizado

Conclusión

El cumplimiento del RGPD en Malta requiere que las organizaciones aborden tanto el reglamento en sí mismo como las disposiciones nacionales de la Ley de Protección de Datos Capítulo 586. El IDPC ha demostrado un compromiso activo con la comunidad de protección de datos y disposición para investigar reclamaciones y tomar medidas coercitivas. Un programa de cumplimiento estructurado —respaldado por documentación adecuada, personal capacitado y la tecnología correcta— es la forma más eficaz de gestionar el riesgo regulatorio.