pdelc.com.uy
El 24 de enero del corriente, la Unidad Reguladora y de Control de Datos Personales publicó una “Guía general de Protección de Datos Personales en Uruguay” que procura sistematizar los aspectos más relevantes previsots en la Ley Nº 18.331 y su decreto reglamentario Nº 414/009.
El 24 de enero del corriente, la Unidad Reguladora y de Control de Datos Personales (URCDP) publicó una “Guía general de Protección de Datos Personales en Uruguay”.
La guía procura orientar sobre el Derecho a la Protección de Datos Personales y los medios para facilitar su ejercicio, y espera constituirse en una herramienta de capacitación útil para todas las personas.
Cabe recordarse que la protección de datos personales es un derecho humano regulado en diversos instrumentos internacionales. En nuestro país, la Ley N° 18.331, de 11 de agosto de 2008, reconoció la protección de datos personales como un derecho fundamental incluido en nuestra Constitución, creó la URCDP como el órgano que garantiza este derecho y previó un régimen basado en principios y derechos que se analizarán más adelante en este documento.
Aprovechamos la promoción de la mencionada guía para repasar los alcances más importantes de la mencionada norma.[1]
Datos personales
Los datos personales son cualquier tipo de información que nos pueda identificar directamente o nos hace identificables. Por ejemplo, nuestro nombre o cédula de identidad. Cuando hablamos de datos identificables, nos referimos a un conjunto de datos que llevan a identificar a una persona sin necesidad de tener un nombre o cédula de identidad.
Control y protección de los datos personales
Para el contralor del tratamiento de datos y la protección de los mismos, es la URCDP quien tiene la potestad de aplicar sanciones a los responsables de tratamiento, encargados de tratamiento de datos personales y demás personas físicas o jurídicas alcanzadas por el régimen legal en caso de infracción a alguna de las normas de protección de datos personales. Las sanciones más severas son la suspensión de la base de datos por hasta 5 días y la clausura de la base de datos que es la medida más severa que requiere de un previo control judicial.
¿Cuál es el ámbito de aplicación de la ley?
La Ley es aplicable a los datos personales registrados en cualquier soporte que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos tanto en ámbitos público o privado. Se aplica a las bases de datos informatizadas, en papel o mixtas.
La norma es además de aplicación a todos los habitantes de la República y se aplica a todo tratamiento de datos personales que se realice en territorio uruguayo.[2]
Principios de protección de datos personales
Para la aplicación de la ley, hay que apoyarse en un conjunto de principios que determinan la forma, contenido y condiciones para el tratamiento de los datos. Estos principios son:
1.- Legalidad: La formación de base de datos será lícita cuando se encuentra debidamente inscripta ante el órgano de control. No se pueden formar base de datos que tengan finalidades violatorias de derechos humanos o que sean contrarias a la ley o a la moral pública.
2.- Veracidad: Los datos personales que se recaben deben ser veraces, adecuados, ecuánimes y no excesivos en relación con la finalidad para la que se obtuvieron. Los datos deben ser exactos y actualizarse cuando ello fuere necesario, y no pueden ser obtenidos por medio fraudulentos, desleales, abusivos, extorsivos o en forma contraria a las disposiciones de la normativa de protección de datos personales.
3.- Finalidad: Los datos personales objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención. La norma aclara que los datos deben ser eliminados cuando hayan dejado de ser necesarios o pertinentes para los fines para los cuales fueron recolectados.
4.- Previo consentimiento informado: El responsable debe recabar en forma libre, previa e informada el consentimiento de los titulares de datos, si no se informara al titular de los datos personales de la finalidad a la que se destinarán los datos y el tipo de actividad que se va a desarrollar, el consentimiento sería nulo
5.- Seguridad de los datos: el responsable o el usuario de la base de datos debe adoptar las medidas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales. Queda prohibido registrar datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad
6.- Reserva: Aquellas personas físicas o jurídicas que obtengan legítimamente información proveniente de una base de datos que les brinde tratamiento están obligadas a utilizarlas en forma reservada y exclusivamente para el tratamiento habitual de su actividad. La norma indica que está prohibida toda difusión a terceros.
7.- Responsabilidad “proactiva”: Los responsables y encargados deben adoptar medidas que aseguren y demuestren el cumplimiento de la normativa de protección de datos personales. Por “proactiva” se entiende la adopción de medidas que no solamente cumplan los requisitos que la ley establece, sino tener un cumplimiento aún más amplio.
Comunicación de datos personales
Para realizar esto es necesaria la existencia de interés legítimo del emisor y destinario y el previo consentimiento informado del titular. Aunque se dan ciertas circunstancias en que el consentimiento previo no es necesario, a saber:
i.- Cuando así lo disponga una ley de interés general.
ii.- En los supuestos del artículo 9° de la ley.
iii.- Se trate de datos personales relativos a la salud y sea necesaria su comunicación por razones sanitarias, de emergencia o para la realización de estudios epidemiológicos, preservando la identidad de titulares de datos mediante mecanismos de disociación adecuados cuando ello sea pertinente.
iv.- Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de datos no sean identificables.
El destinatario y el emisor son responsables solidaria y conjuntamente por el cumplimiento de la normativa de protección de datos.
Datos con un tratamiento especial
No todos los datos personales son iguales, no todos tienen el mismo tratamiento. Hay determinados datos personales que tienen un tratamiento particular, puesto que revelan información sensible sobre la persona.
Algunos ejemplos pueden ser aquellos que revelen el origen racial y étnico, las preferencias políticas, las convicciones religiosas o morales, la afiliación sindical y las informaciones referentes a la salud o a la vida sexual. La Ley N°18.331 indica que para el tratamiento de este tipo de datos se requiere el consentimiento expreso y escrito de los titulares de datos. Los datos de salud también tienen un trato especial, por ejemplo las informaciones concernientes a la salud pasada, presente y futura, física o mental, de una persona. En el ámbito laboral, el uso y tratamiento de los datos personales está limitado al contrato de trabajo y en mérito a éste es que se debe recabar la información necesaria para cumplir la función. Un último ejemplo pueden ser los datos de telecomunicaciones, en donde se prevé la adopción de medidas particulares para presentar la seguridad en la explotación de su red o en la prestación de su servicio, e incluso se determina la obligación de informar a los abonados la existencia de riesgos de violaciones de seguridad a la red pública de comunicaciones electrónicas y las medidas a adoptarse.
Transferencias Internacionales de datos
Nuestra Ley prohíbe la transferencia de datos personales de cualquier tipo a países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo con los estándares del Derecho Internacional o Regional en la materia.
Sí es posible cuando se trata de cooperación judicial internacional, intercambio de datos de carácter médico, transferencias bancarias o bursátiles, acuerdos en el marco de tratados internacionales en los cuales el Uruguay sea parte, cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico. También es posible realizar la transferencia internacional de datos cuando la parte interesada haya dado su consentimiento inequívocamente a la transferencia prevista.
Otros aspectos a tener en cuenta en el tratamiento de datos
En ciertas situaciones es necesario tomar mayores recaudos en el tratamiento de datos, ya sea porque, el titular de los datos cumple ciertos requisitos, el recopilador de datos no es una persona, entre otras cosas.
Por ejemplo, la URCDP ha publicado la Guía de disociación la cual cuenta con diversos criterios de no identificación de aquellos datos personales que se encuentran en la información que se deba publicar como dato abierto. Con estos criterios se pretende que toda persona que utilice estas técnicas incorpore los lineamientos dados en esta guía, para disminuir al mínimo la posibilidad de re-identificar al titular del dato que se maneje, teniendo en cuenta que esta es una actividad dinámica que varía por la constante aparición de nuevos mecanismos de re-identificación.
Otro ejemplo puede ser el tratamiento de datos de menores. Aquí es necesario recabar el consentimiento de sus padres o tutores antes del tratamiento de los datos. Los responsables deben cuidar la utilización de este tipo de datos personales, debiendo considerar la finalidad y las medidas de seguridad como elementos esenciales previo a su análisis.
Otro supuesto a considerar es la utilización de dispositivos de videovigilancia. Estos pueden captar la imagen y la voz, los cuales son considerados como datos personales y por ende pasibles de protección según la normativa vigente. En lo que respecta a la instalación de cámaras en espacios laborales cerrados, la Unidad indicó que los sistemas deben ser analizados en el marco de los principios, considerando que ciertos lugares no pueden ser videovigilados como por ejemplo los vestuarios, comedores, cocinas y baños, así como tampoco deben alcanzar a ciertos lugares que no están dentro de la empresa.
De especial importancia son las evaluaciones de impacto en la protección de datos, tratándose esto de un proceso que las organizaciones deben efectuar para identificar y tratar los riesgos que puedan producir sus actividades habituales, sus nuevos proyectos o sus políticas corporativas cuando involucran el tratamiento de datos personales. Ello considerando que el tratamiento de datos personales puede provocar impactos en los derechos de las personas que deben ser de algún modo identificados, gestionados, minimizados o eliminados para cumplir con la normativa vigente.
Por último, cabe una referencia a los delegados de Protección de Datos Personales, que son un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrolla la autoridad de control.
Las funciones del delegado son: Asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales, supervisar el cumplimiento de la normativa sobre dicha protección en su entidad, proponer todas las medidas que entienda pertinentes para adecuarse a la normativa y a los estándares internacionales en la materia y actuar como nexo entre la entidad y la URCDP.
[1] El presente análisis es a título informativo y no pretende agotar la regulación sobre el particular tema. Por cualquier aclaración o ampliación sobre la regulación, no dude en contactarse con nosotros.
[2] Para los responsables y encargados de tratamiento radicados en el exterior del país, se prevé su aplicación si las actividades de tratamiento están relacionadas con la oferta de bienes y servicios dirigidos a habitantes de la República, si las normas de derecho internacional público o un contrato así lo disponen, o si en el tratamiento se utilizan medios situados en el país.