Uruguay
Modificaciones en Materia de Protección de Datos Personales
Por Florencia Castagnola, Sofía Anza & Josemaría Motta
Guyer & Regules

Con fecha 21 de febrero de 2020 se publicó en el Diario Oficial el Decreto N° 64/020 (en adelante el “Decreto”) el cual reglamenta los artículos 37 a 40 de la Ley N° 19.670, Ley de Rendición de Cuentas y Balance de Ejecución Presupuestal (en adelante la “LRC”) relativos a la protección de datos personales.

 

El Decreto reglamenta los siguientes puntos:

 

  • El ámbito territorial de la Ley de Protección de Datos Personales N° 18.331 (en adelante, la “LPDP”);
  • Las medias de seguridad y mecanismo de notificaciones en caso de vulneraciones de seguridad;
  • Las medidas de responsabilidad proactiva que deben asumir los responsables y encargados de tratamiento;
  • Las funciones y requerimientos para la designación de delegados de protección de datos personales respecto de determinadas entidades; y
  • Sanciones aplicables.

A continuación desarrollamos los aspectos más relevantes del Decreto:

 

A) Ámbito territorial de la LPDP

 

Conforme a la LRC el tratamiento de datos personales queda alcanzado por la LPDP cuando el mismo es efectuado por un responsable (dueño) o encargado de tratamiento (procesador) establecido en el territorio uruguayo, lugar desde donde ejerce su actividad. Ahora el Decreto aclara que se entenderá que un responsable o encargado de tratamiento se encuentran establecidos en el territorio uruguayo cuando éstos realicen una actividad estable en el país sin importar la forma jurídica adoptada.

 

En caso que el responsable o encargado de tratamiento no esté establecido en el territorio uruguayo, conforme a lo establecido en la LRC, la LPDP también es de aplicación en los siguientes casos:

 

i) Si el tratamiento de datos está relacionado con la oferta de bienes o servicios dirigidos a habitantes de Uruguay. A efectos de determinar lo anterior el Decreto establece que se tomarán en cuenta elementos como el idioma utilizado, la moneda utilizada y la provisión de servicios conexos en Uruguay;

 

ii) Si el de tratamiento de datos está relacionado con el análisis del comportamiento de los habitantes de Uruguay, incluyendo la elaboración de perfiles;

 

iii) Si lo disponen las normas del derecho internacional público o un contrato. El Decreto aclara que en ningún caso los contratantes podrán excluir la aplicación de la ley nacional cuando ésta corresponda; y

 

iv) Si en el tratamiento se utilizan medios situados en el país. El Decreto a modo de ejemplo cita los siguientes medios: redes de información y comunicación, centros de datos e infraestructura informática en general.

 

En los casos referidos, los responsables o encargados de tratamiento de datos deben cumplir con las obligaciones previstas en la LPDP y modificativas, incluyendo la obligación de registrar sus bases de datos personales y brindar información de contacto ante la Unidad Reguladora y de Control de Datos Personales (en adelante, la “URCDP”). Se exceptúa de la obligación de registro de las bases de datos, el tratamiento de datos en el cual solo se utilicen medios situados en el país si éstos son utilizados con fines de tránsito y el responsable del tratamiento designa un representante domiciliado en Uruguay ante la URCDP.

 

B) Vulneraciones de Seguridad

 

Medidas de seguridad

 

El responsable o encargado del tratamiento deben adoptar las medidas técnicas y organizativas para conservar  la integridad, confidencialidad y disponibilidad de la información, de forma de garantizar la seguridad de los datos personales. El Decreto prevé que se valorará la adopción de estándares nacionales e internacionales en materia de seguridad de la información tales como la adopción del Marco de Ciberseguridad elaborado por la AGESIC. Adjuntamos link: CLICK AQUÍ

 

Incidentes de seguridad – (también conocido como “Data Breach”)

 

Frente a un incidente de seguridad, entendido en sentido amplio, que ocasione, entre otras, la divulgación, destrucción, pérdida o alteración accidental o ilícita de datos personales o la comunicación o acceso no autorizados a dichos datos los responsables y encargados de tratamiento deben cumplir con lo siguiente:

 

i) Los responsables o encargados de tratamiento deberán realizar procedimientos para minimizar el impacto de los incidentes dentro de las primeras 24 horas.

 

ii) Los responsables deberán comunicar la vulneración a la URCDP dentro de un plazo de 72 horas, para ello los encargados de tratamiento que tomen conocimiento de la ocurrencia de una vulneración deberán informarlo inmediatamente a los responsables en cuestión. La comunicación deberá contener información relevante como fecha cierta o estimada de la vulneración, su naturaleza, los datos personales afectados y los posibles impactos generados. Al día de hoy no hay formulario para la referida comunicación.

 

iii) Los responsables deberán comunicar la vulneración a los titulares que hayan sufrido una afectación significativa en sus derechos. El Decreto aclara que la comunicación a los titulares solo procede en caso de que se vulneren sus derechos de forma significativa ya que de la LRC surgía que la comunicación a los titulares operaba sin ninguna limitante.

 

iv) Solucionada la vulneración el responsable deberá realizar un informe que detalle la vulneración y las medidas adoptadas y comunicarlo la URCDP.

 

C) Responsabilidad Proactiva

 

Se regula el principio de responsabilidad proactiva previendo que el responsable de la base de datos o el encargado de tratamiento asuma un rol proactivo en atención a la naturaleza de los datos, los tratamientos que efectúe y los riesgos que impliquen las medidas prevista por la Ley. Para ello se deberán tomar todas las medidas necesarias las cuales deberán ser documentadas, revisadas periódicamente y evaluadas en su efectividad. La referida documentación deberá estar a disposición de la URCDP.

 

Previo al inicio del tratamiento de los datos, o respecto del tratamiento de datos ya bajo ejecución dentro del plazo de 1 año a contar de la publicación del Decreto, es decir antes del 21 de febrero de 2021, el responsable y el encargado de tratamiento deberán realizar una evaluación de impacto en la protección de datos personales, cuando:

 

i) se utilicen datos sensibles como negocio principal;

 

ii)  se realice tratamiento permanente o estable de datos especialmente protegido a que refiere el Capítulo IV de la LPDP (ej. datos de salud, publicidad, etc.) o datos vinculados a la comisión de infracciones penales, civiles o administrativas;

 

iii) impliquen evaluación de aspectos personales de los titulares con el fin de crear perfiles personales, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad de comportamiento y solvencia financiera y localización;

 

iv) el tratamiento de datos de grupos de personas en situación de vulnerabilidad, en particular de menores de edad o personas con discapacidad;

 

v) el tratamiento de grandes volúmenes de datos. Respecto del concepto de grandes volúmenes de datos señalamos que conforme al Decreto se entiende por tal el tratamiento de datos de más de 35.000 personas;

 

vi) se realicen transferencias internacionales a países que no cuenten con un nivel adecuado de protección; y

 

vii) cuando lo determine la URCDP.

 

En el caso de que el resultado de la evaluación surja un riesgo potencial y significativo para los derechos de los titulares de datos, el responsable o encargado de datos deberá ponerlo en conocimiento de URCDP.

 

En línea con lo anterior señalamos que recientemente la URCDP junto con la Agencia de Acceso a la Información Pública de Argentina publicaron la Guía de Evaluación de Impacto en la Protección de Datos. Adjuntamos link https://www.gub.uy/unidad-reguladora-control-datos-personales/comunicacion/publicaciones/guia-evaluacion-impacto-proteccion-datos

 

D) Delegado de Protección de Datos Personales

 

La LRC había establecido que: i) las Entidades públicas, estatales o no estatales y las privadas total o parcialmente de propiedad estatal; ii) las entidades privadas que tratan datos sensibles como negocio principal; y iii) las entidades privadas que realicen tratamiento de grandes volúmenes de datos personales deben designar un delegado de protección de datos personales. El Decreto por su parte aclara que se entiende por grandes volumen de datos el tratamiento de datos de más de 35.000 personas. A su vez el Decreto establece que en casos determinados la URCDP, de oficio o a petición de parte,  podría determinar la necesidad de designar un delegado de protección de datos personales en casos puntuales.

 

Los delegados serán el nexo entre la entidad y la URCDP, deberán principalmente asesorar en la formulación, diseño y aplicación de las políticas de protección de datos, supervisando el cumplimiento de la normativa y proponiendo medidas necesarias para adecuarse a la normativa y a los estándares en la materia.

 

Los delegados deberán acreditar conocimiento en Derecho y ser especializados en materia de protecciones de datos personales, lo que deberá poder acreditarse.  Podrán desempeñar su función a través de cualquier tipo de modalidad contractual, sean dependientes o no.

 

Las entidades que les corresponda la designación de un delgado, deberán comunicarlo a la URCDP dentro de 90 días del inicio del tratamiento de los datos personales. Las restantes entidades  tendrán un plazo de 90 días desde la entrada en vigencia del Decreto para comunicar la designación de los delegados a la URCDP. Todo cese o renuncia de un delegado deberá ser comunicado dentro del mismo plazo referido.

 

El Decreto establece la posibilidad de designar un único delegado para un conjunto de entidad con cometidos o actividades afines.

 

E) Sanciones

 

Se aclara que en caso de incumplimiento con lo previsto en el Decreto aplicarán las sanciones establecidas en al LPDP.

 

 

Opinión

Aportes irrevocables a cuenta de futuras suscripciones de acciones y nuevas normas de la IGJ: ¿resurgimiento como opción de financiamiento?
Por Dolores M. Gallo
Barreiro
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan