RESUMEN DE LAS PRINCIPALES OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

· 10 minutos de lectura

RESUMEN DE LAS PRINCIPALES OBLIGACIONES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES

La legislación de nuestro país impone una serie de obligaciones en materia de protección de datos personales para todos los sujetos públicos o privados que realizan tratamiento sobre esta clase de información. Los pilares normativos en la materia son la Ley N° 18.331, su Decreto Reglamentario N° 414/009, los artículos 37 a 40 de la Ley N° 19.670 y su Decreto Reglamentario N° 64/020 además de algunas normas sectoriales.

¿Quiénes tienen obligaciones en materia de protección de datos personales?

Todas las personas físicas o jurídicas que realicen tratamiento de datos personales tanto en el ámbito público como en el privado.

¿Qué es el tratamiento de datos?

De acuerdo con el lit. M) del Art. 4 de la Ley N° 18.331, el tratamiento de datos personales es “... operaciones y procedimientos sistemáticos, de carácter automatizado o no, que permitan el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.” En lo hechos, el tratamiento abarca el procesamiento de datos para fines publicitarios, para fines comerciales, estadísticos, de gestión de personal, de clientes, de proveedores etc. Además, de acuerdo con los términos del lit. M), también será considerado tratamiento la cesión de los datos, por lo cual debemos incluir la utilización de servicios de cloud computing o de alojamiento en la nube utilizados por la enorme mayoría de las empresas en la actualidad.

Ambas respuestas nos llevan a concluir que se le imponen obligaciones en materia de protección de datos personales a todos aquellos sujetos públicos o privados que realicen tratamiento de datos personales con el alcance que se viene de detallar.

¿Cuáles son las obligaciones a las que se debe dar cumplimiento?

Brevemente repasaremos, en términos orientativos, las principales obligaciones que se encuentran vigentes.

I.               Inscripción de la/s base/s de datos

El Art. 6 de la Ley N° 18.331 establece que las bases de datos serán lícitas cuando se encuentren debidamente inscriptas. Todo Responsable de una base de datos, sea pública o privada deberá inscribirla en el Registro de Bases de Datos Personales que mantiene la Unidad Reguladora y de Control de Datos Personales (en adelante “URCDP”).

II.               Mantenimiento de las bases de datos

Los datos personales que se recogieren a los efectos de su tratamiento deberán ser veraces, adecuados, exactos y actualizarse en el caso en que ello fuere necesario y deberán ser eliminados aquellos datos que hayan caducado.

La ley N° 18.311 establece que los Responsables deberán mantener actualizados los datos inscriptos en el Registro, comunicando trimestralmente las actualizaciones. Asimismo, se deberá actualizar el registro en caso de que la base sufra una variación del 20%, en caso de que varíe alguna de la información esencial relacionada a la misma.

III.               Contar con una base de legitimación para el tratamiento

Será lícito el tratamiento de datos que provengan de fuentes públicas de información, se recaben en virtud de una obligación legal, se trate de listados limitados de datos de personas físicas y de personas jurídicas, deriven de una relación contractual y sean necesarios para su desarrollo o en cualquier caso cuando se cuente con el consentimiento previo e informado del titular.

IV.               Medidas de Seguridad

El Responsable deberá adoptar las medidas técnicas y organizativas necesarias para conservar la integridad, confidencialidad y disponibilidad de la información, de forma de garantizar la seguridad de los datos personales. A estos efectos, deberá valorar la adopción de estándares nacionales e internacionales en materia de seguridad de la información.

V.               Privacidad de la base de datos

El Responsable deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del mismo. Esta obligación refiere a la cantidad de datos personales recogidos, a la extensión de su tratamiento, su plazo de conservación y a su comunicación.

En forma previa al tratamiento y durante todo su desarrollo, se deberán aplicar medidas técnicas y organizativas apropiadas, tales como técnicas de disociación, seudonimización y minimización de datos, entre otros.

VI.               Reserva

La ley 18.331 establece que toda persona física o jurídica que realice tratamiento sobre una base de datos se encuentran obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros.

VII.               Informar al titular de los datos

El Responsable está obligado a informar a los titulares en forma previa, expresa, precisa e inequívoca la finalidad para la que serán tratados y quiénes pueden ser sus destinatarios, la existencia de la base de datos, la identidad y domicilio de su responsable, el carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, las consecuencias de proporcionar los datos y de la negativa a hacerlo o su inexactitud, y la posibilidad del titular de ejercer los derechos de acceso, rectificación y supresión de los datos. Deberán asimismo informar sobre la existencia de transferencias internacionales de datos. En este punto es importante recordar que la utilización de servicios de alojamiento en la nube, en la mayoría de los casos implican una transferencia internacional de datos.

En caso de tratamiento automatizado, los Responsables deberán además informar al titular de los datos sobre los criterios, procesos y la solución tecnológica aplicada al mismo.

VIII.               Ejercicio de acceso, rectificación, actualización, inclusión o supresión

En ese sentido los Responsables deberán contar con procedimientos que permitan dar cumplimiento a la obligación de dar acceso, rectificar, actualizar, incluir o suprimir datos personales a solicitud del titular dentro de los plazos fijados normativamente.

IX.               Procedimientos de transferencia internacional de datos

Cualquier comunicación de datos a terceros cuyos servidores se encuentren fuera de Uruguay configura una transferencia internacional de datos personales. A los efectos de evaluar la realización de este tipo de comunicaciones de datos se deberán analizar las condiciones legales de la jurisdicción receptora para comprender el nivel de garantías que presenta. El artículo 23 de la ley N° 18.331 prohíbe expresamente la transferencia de datos personales a países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo con los estándares del internacionales en la materia.

En caso de ser necesario se deberá seguir el procedimiento establecido por la URCDP para obtener la autorización para la realización de la transferencia, así como la realización de una Evaluación de Impacto.

X.               Procedimientos para la atención de vulneración de seguridad

En caso de ocurrencia de incidentes de seguridad que ocasionen la divulgación, destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos, el Responsable deberá iniciar los procedimientos necesarios para minimizar el impacto de dichos incidentes, deberá comunicar a la URCDP, eventualmente a los titulares de los datos y finalmente deberá realizar un informe a ser presentado ante la URCDP.

XI.               Designar un Delegado de PDP

Las Entidades públicas, estatales o no estatales y las privadas total o parcialmente de propiedad estatal, así como las entidades privadas que traten datos sensibles como negocio principal y las que realicen el tratamiento de datos de más de 35.000 personas deberán designar un Delegado de Protección de Datos.

XII.               Evaluación de impacto

Se está obligado a realizar, en forma previa al inicio del tratamiento, una evaluación de impacto en la protección de datos personales, cuando:

I.               En las operaciones de tratamiento puedan utilizarse datos sensibles como negocio principal

II.              Se proyecta un tratamiento permanente o estable de los datos especialmente protegidos o de los datos vinculados a la comisión de infracciones penales, civiles o administrativas.

III.             Implica una evaluación de aspectos personales de los titulares con el fin de crear o utilizar perfiles personales, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad de comportamiento y solvencia financiera y localización.

IV.            Se lleva a cabo el tratamiento de datos de grupos de personas en situación de especial vulnerabilidad y, en particular, de menores de edad o personas con discapacidad.

V.              Se produce un tratamiento de datos personales de más de 35.000 personas

VI.            Se transfieren datos personales a otros Estados u organizaciones internacionales respecto de los que no exista nivel adecuado de protección.

 

Además de las obligaciones que se vienen de enumerar, en caso de contar Encargados que le presten servicios de tratamiento se deberá realizar el contrato correspondiente, así como la Inscripción de Códigos de Conducta ante la URCDP en caso de que existan.

Otras consideraciones

En el ámbito del sector financiero se debe tener presente especialmente la regulación del Banco Central del Uruguay en materia de tercerizaciones en la cual se disponen obligaciones respecto de la contratación de servicios que impliquen el procesamiento de datos personales. 

Asimismo, se debe tener presente que la realización de procedimientos de Debida Diligencia de Clientes en virtud de los procesos de Prevención de Lavado de Activos, Financiamiento del Terrorismo y Financiamiento de la Proliferación de Armas de Destrucción Masiva implica un tratamiento de datos personales.

  • Download pdf file (242.73 KB)