Cambios normativos externos e internos en materia de Protección de Datos Personales deben ser atendidos por las empresas, que deberán considerar nuevas obligaciones y responsabilidades.
Dr. Nicolás Antúnez González.
Sector Jurídico de LIDECO.
Profesor Adscripto de Informática Jurídica (FDER – UDELAR).
Profesor Adjunto (Grado 3) de Derecho Informático e Informática Jurídica I y II (FDER – UDELAR).
Docente de Derecho de la Empresa y Seminario de Contratación Mercantil (Facultad de Ciencias Empresariales – U.D.E).
Tal como se preveía (1), los cambios que en Europa se procesaron desde la aprobación y la posterior vigencia del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (2) , inexorablemente iban a impactar en nuestro país, donde la actividad empresarial no iba a quedar exenta.
Anunciamos en su momento que Uruguay para mantener la alcanzada adecuación frente a la Unión Europea en materia de Protección de Datos Personales, debería emprender una reforma legislativa y reglamentaria cuyo inicio se acaba de cristalizar en el actual proyecto de ley de Rendición de Cuentas y Balance de Ejecución Presupuestal correspondiente al ejercicio 2017.
Seguidamente vamos a esquematizar los puntos más resonantes y las primeras conclusiones que podemos apreciar de estas disposiciones, las cuales se encuentran contenidas en los Artículos 35 a 39 del mencionado proyecto.
Nuevo alcance territorial de la Ley
El proyecto extiende, en determinadas circunstancias, el alcance regulatorio de la Ley Nº 18.331 a actividades fuera del territorio nacional. En efecto, se prevé que el tratamiento de datos vinculado, o bien a la oferta de bienes o servicios o bien al análisis del comportamiento de habitantes de la República, será regulado por la mencionada norma independientemente que esta actividad no se verifique en territorio nacional.
También extiende el alcance de la Ley cuando así sea dispuesto por normas de Derecho Internacional público, disposiciones contractuales o cuando los medios utilizados en el tratamiento se encuentren situados en nuestro país.
En esta última hipótesis se exceptúa aquel tratamiento en que los medios sean utilizados exclusivamente con fines de tránsito de este tipo de información. A nuestro juicio, un buen ejemplo sería cuando la estructura técnica de las redes por donde circulan los datos se encuentre ubicada en nuestro territorio. De todas formas en este caso se requeriría que el responsable del tratamiento designe un representante con domicilio en nuestro territorio ante la URCDP (Unidad Reguladora y de Control de Datos Personales). La aplicación práctica de este último requisito, nos genera importantes dudas, las cuales merecerían ser objeto de algún tipo de aclaración reglamentaria.
Deber de informar sobre incidentes de seguridad
Esta nueva obligación ordena a los responsables o encargados del tratamiento o de una base de datos, a advertir cuando sucedan vulneraciones de seguridad en los sistemas a su cargo, que puedan afectar a los titulares de esta información.
Por tal motivo se ordena que ante un evento de estas características se informe en forma “inmediata y pormenorizadamente” tanto a los titulares de los datos como la a la URCDP. Esta última procederá a coordinar con el CERTuy (Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay) las acciones que correspondan según el caso particular.
Esta disposición queda sujeta a una posterior reglamentación donde entendemos que se deberán esclarecer puntos nada menores, como las circunstancias en las cuales se considerará que ha existido una vulneración, el contenido de la información a proporcionar y el formato en el cual podrá notificarse a los titulares de datos eventualmente expuestos por el incidente.
Responsabilidad proactiva
En este caso se opta por modificar el principio de responsabilidad establecido en el Artículo 12 de la Ley 18.331, exigiendo que los responsables y encargados de una base o tratamientos de datos asuman una actitud proactiva.
A estos efectos se determina que los mismos adopten medidas técnicas y organizativas que redunden en desarrollos de privacidad por defecto y diseño, así como la realización de evaluaciones de impacto de protección de datos entre otras acciones. Los responsables deberán estar en condiciones de poder demostrar la efectiva implementación de estas prevenciones motivo por el cual entendemos que deberá llevarse prudente registro de las mismas.
En este caso se deja librado a la reglamentación a quién alcanzará esta medida, ya que ésta determinará los tipos de datos, tratamientos y responsables que quedarán involucrados en esta nueva obligación.
Servicios prestados por terceros
En este parágrafo cabe destacar que las relaciones entre prestadores de servicios que involucren el tratamiento de datos personales deberán contar con un robusto soporte contractual que determine el alcance de las responsabilidades de cada uno de los participantes.
A vía de ejemplo, el proyecto establece que cuando se recurra a servicios de terceros para el tratamiento de datos el contrato deberá contener cláusulas de carácter obligatorio que estipulen el objeto, alcance, contenido, duración, naturaleza entre otros aspectos del vínculo.
Complementariamente, para que el encargado de tratamiento pueda subcontratar servicios, requerirá contar con autorización expresa establecida en el contrato o por declaración del responsable en tal sentido. Frente al incumplimiento de las instrucciones efectuadas, quienes traten datos por su cuenta serán considerados como responsables resultando pasibles de las sanciones pertinentes.
Por último, se determina que los interesados podrán acceder al contenido de los contratos que referencie aquellos aspectos esenciales donde se regule el tratamiento de datos.
Delegado de protección de datos
Otra de las novedades más trascendentes que surgen del texto es la obligación para determinadas instituciones, de designar a un “delegado de protección de datos”. Este deber se encuentra dirigido para las “entidades públicas, estatales o no estatales, las privadas total o parcialmente de propiedad estatal” pero también se incluyen a “las entidades privadas que traten datos sensibles como negocio principal y las que realicen el tratamiento de grandes volúmenes de datos deberán designar un delegado de protección de datos.”
Rápidamente entendemos que en esta segunda hipótesis resultaría incluida sin mayor esfuerzo, el sistema financiero en su conjunto, operadores de servicios de telecomunicaciones, los prestadores de servicios de salud, educativos, las grandes superficies e incluso organizaciones tan disímiles como los partidos políticos, sindicatos entre otros múltiples sectores alcanzados. Tal conclusión nos obliga a reflexionar sobre los posibles costos asociados que tal regulación puede traer aparejada.
Esta nueva figura tendrá entre sus funciones, las de asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales, la supervisión del cumplimiento normativo, actuar como nexo con el organismo de control, para lo que deberá contar con las condiciones y la autonomía técnica necesaria para el cumplimiento de sus funciones.-
(1) Antúnez, Nicolás. (Diciembre 2016). Vientos de cambio en materia de Protección de Datos Personales. Perspectivas y necesidades de las empresas. Liga de Defensa Comercial, N° 162, 6 y ss.
(2) https://www.boe.es/diario_boe/txt.php?id=DOUE-L-2016-80807