DATOS PERSONALES
Por Eugenia Ciganda y Federico Formento.
I. MARCO LEGAL
- Ley 18.331
- Ley 19.670
- Decreto 414/009
- Decreto 64/020
Un dato personal es cualquier tipo de información que pueda identificar directamente a una persona o que la haga identificables, ya sea el nombre, dirección, teléfono, cédula de identidad, RUT, huella digital, número de socio, número de estudiante, una fotografía o hasta el ADN.
El derecho que tienen las personas a la protección de sus datos personales, se encuentra amparado en la Constitución y en la Ley 18.331 y su decreto reglamentario nº 414/009.
Adicionalmente, los artículos 37 al 40 de la Ley de Rendición de Cuentas nº19.670 y el decreto nº 64/020, reglamentario de los mencionados artículos, han introducido algunas precisiones relativas al tema en cuestión.
III. NOVEDADES- Tratamiento de datos personales
El tratamiento de datos personales se encuentra sometido a la ley 18.331 y demás normativa aplicable siempre que su responsable o encargado del tratamiento:
a) se encuentre establecido en Uruguay,esto es cuando realice en este una actividad estable, o
b) no se encuentre establecido en Uruguay, pero ocurra cualquiera de las siguientes:
- el tratamiento de los datos esté relacionado con la oferta de bienes o servicios dirigidos a habitantes del país;
- el tratamiento de los datos esté relacionado con el análisis del comportamiento de los habitantes del país;
- lo dispongan normas de derecho internacional público o cláusulas contractuales;
- se utilicen, para el tratamiento de los datos personales, medios (por ejemplo: redes de información y comunicación, centros de datos e infraestructura informática) situados en Uruguay (cuando los medios son utilizados únicamente con fines de tránsito y se designe un representante domiciliado en Uruguay ante la URCDP, se exceptúa la obligación de registro de las bases de datos).
En todos los casos anteriores, se deberán registrar las bases de datos y brindar la información de contacto correspondiente ante la URCDP.
- Seguridad
a) Medidas de seguridad
Los responsables y encargados del tratamiento de datos personales, a los efectos de garantizar la seguridad de los mismos, deberán adoptar medidas técnicas y organizativas con el fin de velar por la integridad, confidencialidad y disponibilidad de la información. Se recomienda la utilización de los estándares elaborados por AGESIC.
En caso de una vulneración de seguridad, el encargado del tratamiento de datos personales deberá comunicar la vulneración, de forma inmediata, al responsable y este deberá iniciar en un plazo de 24 horas desde constatada la misma, los procedimientos correspondientes a los efectos de minimizar el impacto de la vulneración.
b) Comunicación
El responsable deberá comunicar dentro de un plazo de 72 horas de vulnerada la seguridad, a la URCDP.
c) Solución
Una vez solucionada la vulneración de seguridad, el responsable debe realizar un informe de los hechos a los efectos de comunicarlo a la URCDP.
- Responsabilidad proactiva
Los responsables y encargados de tratamientos, deberán adoptar medidas específicas para el tratamiento de los datos, atendiendo a la naturaleza de los mismos.
Las medidas adoptadas deberán ser documentadas, a los efectos de realizar una revisión y evaluación periódica de su efectividad. Estas deberán encontrarse disponibles ante cualquier solicitud de la URCDP.
- Evaluación de impacto
El responsable y el encargado del tratamiento deberán realizar una evaluación de impacto en la protección de los datos personales, cuando se traten datos sensibles o de grupos vulnerables, entre otros.
La evaluación deberá realizarse:
a) Para los casos posteriores al decreto 64/020, antes de iniciar el tratamiento;
b) Para los casos anteriores al decreto 64/020, dentro del año (a contar desde el 2 de febrero del 2020). - Responsabilidad proactiva
Se deberán incorporar medidas suficientes a los efectos de garantizar el cumplimiento de la normativa aplicable. Ello a los efectos de asegurar, entre otros aspectos, solo se traten los datos imprescindibles para el fin específico del tratamiento.
- >Delegado de protección de datos personales
Las siguientes entidades deberán designar un delegado de protección de datos personales:
a) Entidades públicas, estatales o no estatales y privadas total o parcialmente de propiedad estatal;
b) Entidades privadas que realicen, como actividad principal, el tratamiento de datos sensibles;
c) Entidades privadas que traten grandes volúmenes de datos (datos personales de más de 35.000 personas).El delegado podrá ser una persona física o jurídica, debiendo contar con conocimientos de Derecho, especializados en protección de datos personales.
Sus cometidos serán los de asesorar y supervisar respecto de la protección de los datos personales, así como la de ser un nexo entre su entidad y la URCDP.
La designación, cese o renuncia de un delegado deberá ser comunicada a la URCDP, en un plazo de 90 días desde el inicio del tratamiento de los datos.
Andersen is the Uruguayan member firm of Andersen Global®, an international association of member firms comprised of tax and legal professionals worldwide.