Ponemos en su conocimiento que recientemente, la Unidad Reguladora y de Control de Datos Personales (“URDCP”) publicó una guía que tiene como principal objetivo señalar las obligaciones que aplican a responsables o encargados de tratamiento que, aun encontrándose en el extranjero, son alcanzadas por Normativa de Protección de Datos Personales (en adelante, la “Guía”).
A continuación detallaremos los principales aspectos de la Guía
1. ¿Cuándo aplica la Normativa de Protección de Datos Personales a responsables o encargados de tratamiento situados en el exterior del país?
El artículo 37 de la Ley Nº 19.670 establece que el tratamiento de datos personales estará sometido a la Normativa de Protección de Datos Personales (principalmente la Ley Nº 18.331, el Decreto 404/09, arts. 37 a 40 de la Ley Nº 9.670 y el Decreto 64/20) cuando se efectué por un responsable o encargado de tratamiento establecido en el exterior del país en los siguientes supuestos:
i. Cuando las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a habitantes de la República o con el análisis de su comportamiento.
Conforme al artículo 1 del Decreto 64/020 a efectos de determinar si una actividad queda comprendida en el primer supuesto deberán tenerse en cuenta elementos tales como el uso del idioma, la referencia al pago en moneda nacional o la provisión de servicios conexos – prestados no necesariamente por el responsable o encargado – en territorio uruguayo. Respecto del análisis de comportamiento, el citado Decreto establece que el mismo también incluye la elaboración de perfiles.
ii. Cuando así lo disponen normas de derecho internacional público o un contrato. Se debe tener en cuenta que en ningún caso los contratantes podrán excluir la aplicación de la Normativa de Protección de Datos Personales cuando esta corresponda.
iii. Cuando en el tratamiento se utilizan medios situados en el país, tales como redes de información y de comunicación, centros de datos e infraestructura informática en general.
2. ¿Quiénes son los sujetos alcanzados por la Normativa de Protección de Datos Personales que se encuentran en el exterior país?
La Guía remarca que la aplicación de la Normativa de Protección de Datos Personales será aplicable a los responsables y encargados que se encuentran instalados fuera del territorio nacional cuando son alcanzados por el alcance extraterritorial de nuestra normativa conforme a lo dispuesto en el artículo 37 de la Ley Nº 19.670 desarrollado en el punto anterior.
3. ¿Qué se entiende por responsable de tratamiento de datos personales?
Se define a la figura del “responsable” del tratamiento de datos como “aquella persona física o jurídica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento” (literal k del art. 4° de la Ley N° 18.331)
4. ¿Qué se entiende por un encargado de tratamiento de datos personales?
Se define al “encargado” del tratamiento de datos personales como “aquella persona física o jurídica, pública o privada, que sola o en conjunto con otros, trate datos personales por cuenta del responsable de la base de datos o del tratamiento” (literal h del art. 4° de la Ley N° 18.331).
5. ¿Cuáles son las obligaciones de los responsables y encargados de tratamiento ubicados en el exterior que se encuentran alcanzados por la Normativa de Protección de Datos Personales?
i. Cumplir con los principios establecidos por la Normativa de Protección de Datos Personales, por ejemplo los principios de veracidad, finalidad, previo consentimiento informado, seguridad de los datos, reserva y responsabilidad proactiva.
ii. Cumplir con los requisitos necesarios para que los titulares de los datos puedan ejercer sus derechos conforme a Normativa de Protección de Datos Personales, éstos son derecho de información, de acceso, de actualización, de rectificación, de inclusión, de supresión, de impugnación de valoraciones personales y los referentes a la comunicación de datos.
iii, Adoptar medidas de privacidad desde el diseño para el tratamiento de los datos personales; desde el comienzo el responsable de los datos o del tratamiento debe velar para que los datos personales recolectados sean tratados acorde a los principios y derechos que establece Normativa de Protección de Datos Personales.
iv. Realizar evaluaciones de impacto, en caso de corresponder conforme a la Normativa de Protección de Datos Personales.
v. Registrar sus bases de datos en la URCDP y brindar información de contacto. A nuestro juicio, el registro de bases de datos solo correspondería a los responsables.
vi. Designar y comunicar un delegado de protección de datos personales, en caso de corresponder conforme a la Normativa de Protección de Datos Personales.
vii. Adoptar políticas de privacidad en su sitio web.
viii. Comunicar eventuales vulneraciones de seguridad que afecten datos personales de personas situadas en Uruguay en las condiciones y dentro de los plazos previstos en el Normativa de Protección de Datos Personales.
6. ¿Qué obligaciones son aplicables a los responsables y encargados de tratamiento que utilizan medios situados en Uruguay únicamente con fines de tránsito?
En este caso la Normativa de Protección de Datos Personales establece obligaciones formales diferentes. La Guía establece que por “tránsito” podría interpretarse la transmisión de punto a punto que implique que una parte de su recorrido transite por el territorio uruguayo.
En este supuesto, las obligaciones aplicables son las siguientes:
i. Designar un representante y comunicar en forma fehaciente dicha designación a la URCDP.
ii. Cumplir con los principios en materia de protección de datos personales con respecto a la información que se encuentra en tránsito.
Si desea acceder a la Guía, haga click aquí.
Por Sofía Anza y Josemaría Motta
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law