info@brumcosta.com

COMENTARIOS ACERCA DE LA NUEVA NORMATIVA SOBRE PROTECCIÓN DE DATOS PERSONALES Decreto 64/020 reglamentario de los artículos 37 a 40 de la Ley 19.670

Dr. Juan Diana

Dra. Stephanie Da Rosa

Dra. Florencia Imbrosiano

 

 

El derecho a la protección de datos personales es un derecho constitucional (artículo 72), y está regulado específicamente por la Ley 18.331 (Ley de Protección de Datos Personales). Esta Ley, a su vez, tuvo algunas modificaciones y fue reglamentada por algunos decretos. Concretamente, la Ley 19.670 en sus artículos 37 a 40 agregó algunas disposiciones en este sentido, y el Decreto 64/020 lo reglamenta.

Analizaremos seguidamente, y en los siguientes nueve apartados, los aspectos más trascendentes de esta nueva regulación, entre éstos destacamos las nuevas obligaciones que el titular o responsable de algunas bases de datos poseen: adopción de medidas de seguridad, realización de una evaluación de impacto, designación de un delegado, entre otras. Asimismo, en el último apartado añadimos algunas consideraciones sobre la aplicación de esta nueva normativa al sector financiero, considerando las obligaciones que ya se poseen en virtud de la regulación banconcetralista aplicable.

 

I.- Ámbito de aplicación

 

La Ley 19.670 que este Decreto 64/020 reglamenta prevé, en su artículo 37, que el tratamiento de los datos personales estará sometido a la ley 18.331 cuando se efectúe por un responsable o encargado del tratamiento de los datos personales, establecido en territorio uruguayo.

El primer artículo del Decreto 64/020 define el alcance territorial, aclarando que se entiende que el responsable o encargado del tratamiento se encuentra en territorio uruguayo (y por ende está sometido a la ley 18.331) cuando realice actividad estable en el territorio, sin importar la forma jurídica.

También cabe aclarar que, aunque el responsable o encargado de la base de datos no se encuentre en el territorio, igualmente le regirá la normativa cuando:

  1. La actividad que desarrolle esté relacionada a bienes o servicios relacionados a habitantes de la República,
  2. El análisis sea del comportamiento de los habitantes del territorio uruguayo,
  • Esté así dispuesto por un contrato o normas de derecho internacional público,
  1. Se utilicen medios dentro del país tales como redes de información o comunicación, infraestructura informática.

 

II.- Alcance de las obligaciones

 

Los responsables y encargados de tratamiento deberán:

  • Cumplir con las obligaciones de la normativa referida a la protección de datos.
  • Registrar las bases de datos.
  • Brindar información de contacto a Unidad Reguladora y de Control de Datos Personales (en adelante URCDP).

No obstante lo anterior, no deberán registrar las bases de datos cuando en su tratamiento se utilicen medios situados en el territorio, con la única finalidad de tránsito (ejemplo: redes informáticas, infraestructura, centro de datos). A pesar de ello, el responsable del tratamiento deberá designar ante URCDP un representante domiciliado en el país.

 

III.- Medidas de seguridad

 

La ley 18.331 en su artículo 10 ya preveía que el responsable o usuario de la base de datos debe adoptar las medidas que sean necesarias para garantizar la seguridad y confidencialidad de los datos personales, evitando su adulteración, pérdida, consulta o tratamiento no autorizado, así como detectando desviaciones de información, intencionales o no.

Asimismo, el artículo 38 de la ley 19.670 que el Decreto 64/020 reglamenta agregó que: “Cuando el responsable o encargado de una base de datos o de tratamiento, tome conocimiento de la ocurrencia de la vulneración de seguridad, deberá informar inmediata y pormenorizadamente de ello y de las medidas que adopte, a los titulares de los datos y a la Unidad Reguladora y de Control de Datos Personales, la que coordinará el curso de acción que corresponda, con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy)”.

El Decreto 64/020 agrega que el responsable y encargado del tratamiento de la base de datos debe adoptar medidas tendientes a conservar, además de la seguridad y confidencialidad, la integridad y disponibilidad de la información, a cuyos efectos valorará la adopción de estándares nacionales e internacionales en materia de seguridad de la información, como el “Marco de Ciberseguridad elaborado por la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la información y del conocimiento”.

Asimismo, en caso de constatarse incidentes de seguridad que ocasionen la divulgación, destrucción, pérdida o alteración accidental o ilícita de datos personales o la comunicación o acceso no autorizado a tales datos, el Decreto 64/020 agrega—a la obligación ya prevista por el artículo 38 de la ley 19.670 de informar a los titulares de los datos y a la URCDP—la obligación de iniciar los procedimientos previstos necesarios para minimizar el impacto de dichos incidentes, dentro de las primeras 24 horas de constatados.

 

IV.- Comunicación de vulneración de seguridad

           

El Decreto 64/020 aclara que la comunicación a la URCDP, prevista en el artículo 38 de la ley 19.670, para el caso de vulneración a la seguridad, deberá:

  • Efectuarse en un plazo máximo de 72 horas de conocida la vulneración.
  • Contener información relevante como:
    • Fecha cierta o estimada de la ocurrencia de la vulneración.
    • Naturaleza de la vulneración.
    • Datos personales afectados.
    • Posibles impactos generados.

Asimismo, el Decreto 64/020 aclara que si la vulneración hubiese sido conocida por el encargado del tratamiento este deberá comunicarlo al responsable del tratamiento, quien a su vez deberá comunicar la vulneración en lenguaje claro y sencillo a los titulares de los datos, que hayan sufrido una afectación significativa en sus derechos. Además, una vez solucionada la vulneración, el responsable del tratamiento deberá elaborar un informe pormenorizado de la vulneración de seguridad y las medidas adoptadas, y comunicarlo a la URCDP.

 

V.- Responsabilidad Proactiva

 

De acuerdo a lo previsto en el artículo 12 de la ley 18.331, el responsable de la base de datos o de su tratamiento: “en ejercicio de una responsabilidad proactiva, deberán adoptar las medidas técnicas y organizativas apropiadas: privacidad desde el diseño, privacidad por defecto, evaluación de impacto a la protección de datos, entre otras, a fin de garantizar un tratamiento adecuado de los datos personales y demostrar su efectiva implementación”.

Más adelante explicaremos qué implica la privacidad por diseño, la privacidad por defecto, así como la evaluación de impacto, en función de lo reglamentado por el Decreto 64/020.

A su vez, el Decreto 64/020 aclara que, para adoptar las medidas referidas se deberán tener en cuenta aspectos como el estado de la técnica, el costo de su aplicación, la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entrañe para los derechos de las personas.

Las medidas adoptadas deberán ser, de acuerdo a lo previsto en el Decreto: a) documentadas, b) revisadas periódicamente, y c) evaluadas en su efectividad. En la documentación de las medidas mencionadas se deberá indicar, como mínimo: forma, medios y finalidad del tratamiento; procedimiento orientados a dar cumplimiento a las normas de protección de datos; planificación de mecanismos para responder a vulneraciones de seguridad; y rol del delegado de protección de datos cuando corresponda.

 

VI.- Evaluación de impacto

 

Como fue señalado anteriormente, el Decreto 64/020 reglamenta qué debe entenderse por evaluación de impacto (término referido por el artículo 12 de la ley 18.331).

El responsable y encargado del tratamiento, en forma previa al inicio del mismo, deberá hacer una evaluación de impacto cuando:

  1. Se utilicen datos sensibles como negocio principal;
  2. Sea permanente o estable de aquellos datos especialmente protegidos, y los que refieren a infracciones penales, civiles o administrativas.
  3. Impliquen la evaluación de aspectos personales, y los mismos se utilicen para crear perfiles (especialmente en cuanto a situación económica, solvencia financiera, localización, salud, rendimiento de trabajo).
  4. Sea de datos de grupos de personas menores de edad, con discapacidades o en situación de especial vulnerabilidad.
  5. Refiera a granes volúmenes de datos (en la misma normativa se define como 35.000 personas o más).
  6. Se transfieran a terceros países, u organizaciones internacionales que no posean un nivel adecuado de protección.
  7. Otras futuras situaciones que pueda llegar a agregar la URCDP.

 

La normativa establece el contenido mínimo de la evaluación. La misma deberá contener: descripción sistemática del tratamiento y su finalidad; evaluación del tratamiento con relación al cumplimiento de la normativa; evaluación de riesgos para los derechos de los titulares de los datos; detalle de las medidas de seguridad a implementarse, y mecanismos que demuestren el cumplimiento con la normativa de datos personales.

En caso que la evaluación suponga un riesgo potencial y significativo, se deberá comunicar a la URCDP, detallando las medidas para mitigarlo.

 

Aquellos tratamientos ya iniciados disponen de 1 año a contar de la publicación en el Diario Oficial (21 de febrero de 2020), para realizar dicha evaluación.

 

VII.- Privacidad por diseño

           

Como fue señalado anteriormente, el Decreto 64/020 también reglamenta qué debe entenderse por privacidad en el diseño y por privacidad por defecto (términos referidos por el artículo 12 de la ley 18.331).

En relación a la privacidad por diseño, el Decreto aclara que el responsable y encargado del tratamiento, en su caso, deberán incorporar en el diseño de las bases de datos, las operaciones de tratamiento, las aplicaciones y los sistemas informáticos, como medidas dirigidas a dar cumplimiento a la normativa de protección de datos personales, tales como:

  • Técnicas de disociación, seudonimización y minimización de datos.
  • Mecanismos para asegurar el ejercicio de los derechos de los titulares de los datos personales.
  • Documentación de los consentimientos o de otros fundamentos que legitimen el tratamiento.
  • Tiempo de conservación de los datos, considerando sus tipos y su tratamiento.
  • Adopción de planes de contingencia que incluyan medidas de seguridad de la información.
  • Análisis funcionales y modelos de arquitectura de los datos.
  • Otras medidas establecidas por la Unidad Reguladora y de Control de Datos Personales.

 

VIII.- Privacidad por defecto

 

Por su parte, en relación a la privacidad por defecto, el Decreto 64/020 señala que el responsable y el encargado del tratamiento, en su caso, aplicarán las medidas apropiadas para garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación refiere tanto a la cantidad de datos personales recogidos, como a la extensión de su tratamiento, plazo de conservación y su comunicación.

 

IX.- Delegado de Protección de Datos Personales

 

La nueva reglamentación dispone que quienes deben designar un delegado de protección de datos personales son:

  1. Entidades públicas, estatales o no estatales, y privadas de propiedad estatal ya sea total o parcialmente.
  2. Entidades privadas que traten datos sensibles como negocio principal (datos políticos, morales, religiosos, sindicales, salud, entre otros).
  3. Entidades privadas que manejen grandes volúmenes de datos (35.000 personas o más).
  4. Aquellos casos que la URCDP entienda pertinente que se designe.

 

Los delegados deberán: asesorar en diseño, formulación y aplicación de políticas de protección de datos; supervisar el cumplimiento de la normativa; proponer medidas para estar conforme a la normativa y estándares internacionales, verificando su efectiva realización; ser el nexo entre la entidad y la URCDP.

El delegado podrá ser:

  1. Persona física, que realice su labor de manera independiente o como empleado de la entidad. Debe contar con conocimientos de Derecho, especializados en la materia de datos personales.
  2. Persona jurídica, comunicando a la URCDP la nómina del órgano de administración, y las personas físicas que se designen para llevar a cabo la función.

A su vez, el mismo dispondrá de autonomía técnica y no recibirá instrucciones relativas al desempeño de sus funciones.

Se deberá designar el delegado en un plazo de 90 días luego del inicio del tratamiento. Aquellos tratamientos de datos iniciados previos a la publicación de la presente normativa (21 de febrero de 2020), también poseen 90 días a contar de la fecha indicada.

Deberá comunicarse a dicho organismo tanto la designación, como el cese o renuncia. En caso de conjunto de entidades con cometidos afines, podrán designar un único delegado. Si la URCDP lo entienda pertinente, podrá requerir delegados adicionales.

 

X.- Consideración del Sector financiero: sujetos regulados por el Banco Central del Uruguay

 

Finalmente, es importante añadir algunas consideraciones sobre la eventual aplicación de la normativa antes analizada para las entidades reguladas por el Banco Central del Uruguay.

Concretamente, en la medida en que estos sujetos manejen una cartera de clientes superior a 35.000 personas (caso de bancos, empresas aseguradoras, IEDE, entre otras), y/o en la medida en que por normativa BCU la mayoría de ellos se encuentran obligados a recolectar datos personales de sus clientes para crear perfiles de situación económica, solvencia financiera y/o de inversión, será de especial aplicación la designación de un delegado ante la URCDP y -en cualquier caso- la realización de la evaluación de impacto.

Las funciones del delegado ante la URCDP son similares a las que hoy tiene el “Responsable del Resguardo de Datos, Software e Información” -cuya designación es obligatoria frente al BCU para la mayoría de estos sujetos-, y si bien la evaluación de impacto no está expresamente prevista en la normativa, el ente regulador ha venido instruyendo a los supervisados en sus últimas inspecciones la realización de la misma (así como también la aplicación de medidas y procedimientos específicos), por lo que de alguna manera el BCU ha comenzado a alinear sus políticas con la normativa legal y reglamentaria antes analizada.

 

Descargue el archivo en formato .pdf:  BC Comentarios Normativa Datos Personales Decreto 64 20