Uruguay
Protección de datos personales: nuevas exigencias para tratamiento automatizado de datos

Uruguay reconoce el derecho de todas las personas -tanto físicas como jurídicas- a que sus datos personales, almacenados en bases de datos públicas o privadas, sean tratados adecuadamente, y a que no sean empleados para fines que no hubieran sido previamente informados (Ley No. 18.331 - “Ley de Protección de Datos Personales”- y sus Decretos reglamentarios No. 414/009 y 64/020). 

 

Con la aprobación de la Ley No. 20.075 (“Ley de Rendiciones de Cuentas y Balance de Ejecución Presupuestal. Balance 2021”) se introdujeron modificaciones vinculadas al tratamiento automatizado de datos personales. 

 

¿Cuáles son las principales modificaciones? 

 

1)  Desde el 1° de enero, el responsable de la base de datos tiene el deber de informar a los titulares de datos personales, en forma expresa, precisa e inequívoca:

 

(i) cuando los datos personales vayan a ser transferidos fuera de Uruguay (“transferencia internacional”), y

 

(ii) en el caso de tratamiento automatizado de datos, cuáles son los criterios de valoración de los mismos, programas empleados y procesos aplicados.

 

Como consecuencia de esta modificación, el titular tiene derecho a conocer -en forma previa- las soluciones tecnológicas empleadas para evaluar aspectos tales como: rendimiento laboral, crédito, fiabilidad, conducta, entre otros. 

 

Ello se suma a las condiciones ya establecidas por la Ley de Protección de Datos Personales frente al tratamiento y recolección de datos personales, que exigía informar:

 

  • Finalidad para el tratamiento de los datos personales, así como destinatario/s de los mismos.
  • Existencia de la base de datos e información de su responsable.
  • Cuando se le proponga un cuestionario al titular -y especialmente en caso de datos sensibles-, indicar si las respuestas son obligatorias u opcionales.
  • Consecuencias de proporcionar los datos o de negarse a ello (o de hacerlo en forma inexacta).
  • Su derecho de acceder a la información recabada, solicitar su rectificación, actualización, e incluso su supresión. 

2)  Finalmente, se le atribuye a la Unidad Reguladora y Control de Datos Personales la facultad de establecer los criterios y procedimientos que deban seguir los responsables y encargados de bases de datos, en caso de tratamiento automatizado de datos personales. 

 

Por Lucía Acosta

 

 

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan