No existen dudas que hoy vivimos en una nueva realidad. La globalización, el avance del conocimiento y la tecnología han permitido derribar todas las barreras físicas. Hoy existe una creciente integración de las economías del mundo, especialmente a través del comercio y de los servicios. A vías de ejemplo, el trabajo o formación a distancia, las compras a través de internet o la atención médica a traves de telemedicina, son parte de la nueva cotidianeidad.
Estas actividades involucran un flujo permanente de información (y por ende, de datos personales) entre personas que se encuentran en Uruguay con terceros situados en el exterior.
Ahora bien, ¿Cómo se protege ese flujo de datos? ¿Están alcanzados por la Ley de Datos Personales (la “Ley”)? ¿Qué recaudos debe tomar una empresa en el exterior que trabaja con datos en Uruguay?
Vayamos por partes.
El tratamiento de datos personales se encuentra sometido a la Ley cuando tal tratamiento se efectúe por un responsable o encargado de tratamiento establecido en territorio uruguayo, lugar donde ejerce su actividad, sin importar la forma jurídica adoptada para ello.
No obstante existen algunos supuestos en los cuales, cuando quien realiza el tratamiento no se encuentra en territorio uruguayo, la Ley resulta de aplicación, a saber:
(i) Cuando las actividades del tratamiento están relacionadas con la oferta de bienes y servicios dirigidos a habitantes de Uruguay o con el análisis de su comportamiento. Esto se apreciará a través de elementos tales como el uso del idioma, la referencia al pago en moneda nacional o la provisión de servicios conexos en territorio uruguayo -no necesariamente prestados por el responsable o encargado-. También resulta de aplicación cuando las actividades de tratamiento de datos están relacionadas con el análisis del comportamiento de los habitantes de nuestro país, incluyendo las destinadas a la elaboración de perfiles.
(ii) Cuando así lo disponen normas de derecho internacional público o un contrato, no pudiendo las partes excluir la aplicación de la ley nacional cuando esta corresponda.
(iii) Cuando en el tratamiento se utilizan medios (utilización de redes de información y de comunicación, de centros de datos e infraestructura informática en general) situados en el país, salvo que estos se utilicen para fines de tránsito.
¿Qué sucede con las empresas extranjeras enmarcados en alguno de esos supuestos?
Esas empresas quedarán sujetas a las disposiciones de la Ley y en su virtud, el responsable y encargado del tratamiento de los datos deberá cumplir con las siguientes obligaciones:
i) Registro de base de datos ante la Unidad Reguladora y de Control de Datos Personales (“URCDP”).
ii) Cumplir con los principios generales que consigna la Ley: veracidad, finalidad, previo consentimiento informado, seguridad de los datos, reserva y responsabilidad proactiva.
iii) Cumplir con los requisitos necesarios para que los titulares de los datos puedan ejercer sus derechos: de información, acceso, actualización, rectificación, inclusión, supresión, impugnación de valoraciones personales y los referentes a la comunicación de datos.
iv) Adoptar medidas de privacidad desde el diseño para el tratamiento de los datos personales contenidos en la base de datos, adoptar políticas de privacidad en el sitio web y realizar las evaluaciones de impacto, si correspondiere.
v) Comunicar eventuales vulneraciones de seguridad que afecten datos personales de personas situadas en Uruguay, de acuerdo con el procedimiento vigente.
vi) Designar y comunicar a la URCDP el Delegado de Protección de Datos Personales, si correspondiere (procede para entidades privadas cuyo giro principal involucre el tratamiento de datos sensibles así como también aquellas entidades que realicen tratamiento de datos de más de 35.000 personas).
Por Ignacio Torres Negreira
Opinión
PASBBA
opinión
ver todosNORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law
Eskenazi Corp