Eduardo J. Couture, el gran Decano de la Facultad de Derecho de Uruguay en la década del 50’ y consagrado procesalista, decía en sus Mandamientos que el Derecho se transforma día a día: si no sigues sus pasos serás, cada día, un poco menos abogado. La protección de datos personales ilustra como pocas la reflexión inicial: 20 años atrás nadie en estas latitudes hablaba de “data protection”; hoy, dos décadas después, no se concibe un asesoramiento profesional integral sin un componente vinculado a esta área de práctica. 

Con esta breve introducción, el presente texto examina los principales desafíos que enfrentan las empresas locales a la hora de diseñar una protección sólida en materia de datos personales.

a) Cumplimiento del Marco Normativo

Uruguay cuenta con una legislación robusta en protección de datos personales, establecida por la Ley Nº 18.331, de 11 de agosto de 2008 (Ley de Protección de Datos Personales y Acción de Habeas Data, en adelante “la Ley”), junto con sus decretos reglamentarios. Cualquier política de compliance, por elemental que fuera, en esta materia  deberá abordar los siguientes aspectos:

i) Consentimiento Informado: Obtener el consentimiento explícito e informado de los titulares de los datos antes de la recolección y procesamiento de su información personal. Este consentimiento debe ser claro y comprensible, evitando el uso de términos legales complejos que puedan resultar confusos para el titular.

ii) Finalidad y Minimización de Datos: Recoger y procesar únicamente los datos necesarios para fines específicos y legítimos. Los datos sólo pueden ser procesados con la finalidad para la cual fueron solicitados y recogidos. Es imperativo evitar el uso de datos personales para propósitos no autorizados. Cualquier procesamiento ajeno a su finalidad natural, deviene ilícito.  Una vez que los datos hayan cumplido el propósito para el cual fueron recolectados, deben ser eliminados, salvo que la legislación exija su conservación por un periodo determinado.

iii) Registro de Bases de Datos: Registrar ante la Unidad Reguladora y de Control de Datos Personales (“URCDP”) las bases de datos que serán utilizadas, excepto aquellas de uso estrictamente personal o doméstico, que tengan por objeto la seguridad pública, o las creadas por leyes especiales.  No se trata de informar a la Administración el conjunto de datos inmersos en las bases de datos, sino de reportar que la empresa mantiene cierta o ciertas bases de datos.

iv) Evaluación de Impacto y Delegado de Datos Personales: Las evaluaciones de impacto en la protección de datos (“EIPD”) deben realizarse cuando las actividades de tratamiento de datos puedan implicar riesgos elevados para los derechos y libertades de los titulares. Estas evaluaciones son esenciales para identificar y mitigar riesgos antes de que se materialicen. Además, se debe designar un delegado de datos personales (“DPO”) cuando así lo exijan las normas legales.

b) Seguridad de la Información

La seguridad de la información es crucial para la adecuada gestión de datos personales; y no solo para cumplir con las leyes, sino también para proteger la reputación de la empresa, mitigar riesgos financieros, legales y reputacionales, y asegurar la confianza de clientes y socios. En este sentido, las empresas deben:

i) Implementar Medidas de Seguridad Adecuadas: Adoptar políticas de seguridad efectivas, utilizar tecnologías de cifrado y autenticación multifactorial, y realizar auditorías periódicas de seguridad.

ii) Gestión de Incidentes de Seguridad: Establecer un protocolo para la gestión de incidentes de seguridad, que incluya la notificación oportuna a la URCDP y a los titulares afectados.

c) Transferencias Internacionales de Datos

La Ley establece que las transferencias internacionales de datos solo se pueden realizar a países que aseguren un nivel adecuado de protección de datos o mediante mecanismos que garanticen la protección de los datos, como cláusulas contractuales específicas. Una Resolución de la URCDP del 23 de junio de 2021 determina que los miembros de la Unión Europea, el Espacio Económico Europeo, Andorra, Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Israel, Japón, Jersey, Nueva Zelanda, Reino Unido e Irlanda del Norte, y Suiza, cumplen con estos estándares y son, por tanto, jurisdicciones idóneas para las transferencias internacionales de datos.

d) Derechos de los Titulares de los Datos

La forma en que una empresa maneja y protege los datos personales afecta directamente la confianza de sus clientes y del público. Respetar los derechos de los titulares de los datos refuerza la percepción de una entidad responsable y comprometida con la privacidad. Para ello, las empresas deben garantizar:

i) Acceso, Rectificación y Supresión de Datos: Facilitar a los titulares el acceso a sus datos personales para que puedan solicitar la corrección de errores o la eliminación de datos obsoletos o inadecuados.

ii) Oposición al Tratamiento: Respetar el derecho de los individuos a oponerse al tratamiento de sus datos personales en ciertas circunstancias, como en el caso de marketing directo.

e) Estrategia Proactiva

Adoptar una estrategia proactiva es clave en el entorno digital actual, donde la privacidad y la seguridad de la información son fundamentales para el éxito y la sostenibilidad a largo plazo. Esta estrategia puede incluir:

i) Capacitación y Formación: Capacitar a los empleados sobre las normativas de protección de datos y las mejores prácticas para su cumplimiento.

ii) Auditorías en materia de Protección de Datos: Realizar análisis y revisiones periódicas de las políticas y procedimientos internos para garantizar su cumplimiento adecuado.

iii) Adaptación a Cambios Regulatorios: Ajustar continuamente las políticas y procedimientos en respuesta a cambios en la legislación y las mejores prácticas globales.

iv) Incorporación de la Protección de Datos en la Cultura Corporativa: Asegurar que todos los miembros de la organización se sientan responsables de manejar los datos personales con el debido cuidado y conforme a las normativas, para que la protección de datos sea una prioridad en toda la empresa.

La protección de datos personales exige que las empresas enfrenten diversos desafíos legales y operacionales, garantizando un cumplimiento estricto de la normativa vigente y adaptándose a un entorno global en constante cambio. La gestión efectiva de estos desafíos no solo protege a los titulares de los datos, sino que también refuerza la reputación y confianza en las empresas que adoptan estas prácticas.