FINANZAS DE BOLSILLO
El avance tecnológico a nivel mundial impulsó la actualización de la normativa, tanto a nivel internacional como en Uruguay. La ley aplica a todas las industrias nacionales por igual.
Un decreto de febrero del Poder Ejecutivoincorporó nuevas exigencias en materia de protección de datos personales, en línea con la legislación de la Unión Europea (UE).
El decreto publicado el 21 de febrero vino a reglamentar disposiciones incluidas en la Rendición de Cuentas aprobada en 2018, que modificaban algunos artículos de la ley de protección de datos personales del 2008.
El objetivo es “brindar a las personas un nivel de protección acorde a los nuevos desarrollos tecnológicos y a la evolución en las formas de tratamiento de los datos personales”, dice el texto.
De acuerdo con Martín Pesce, abogado del estudio Ferrere y especialista en protección de datos, la actualización de la normativa a nivel europeo y ahora a nivel local, responde al interés de poder “balancear la tensión que existe entre el avance tecnológico, procesamiento de datos y protección de la privacidad de cada una de las personas”.
Una de las características resaltadas por Pesce en referencia al alcance de la ley, es que la normativa no está enfocada en una industria o segmento específico, sino que aplica tanto para una industria que se dedica a temas de analítica o procesamiento de datos, como también a una industria de alimentos ya sea porque maneja la base de datos de sus clientes, empleados o proveedores.
“Es una ley que aplica de manera horizontal a todas las industrias de todas las actividades”, indicó Pesce.
Por su parte, el abogado Javier Domínguez, gerente del Departamento Legal de Deloitte Uruguay, explicó a El País que la ley de 2008 dio “un efecto extraterritorial” a la normativa en materia de protección de datos personales.
“Todo agente que trate datos personales desde el exterior y que tengan como objeto el ofrecimiento de productos o servicios a uruguayos; o la elaboración de segmentaciones o perfiles de clientes uruguayos, debe cumplir con la ley local y registrar sus bases ante laUnidad de Regulación y Control de Datos Personales(URCDP)”, detalló.
Este último organismo —creado por la ley de 2008— tiene autonomía técnica y un consejo consultivo integrado por representantes del Poder Legislativo, la Justicia, Fiscalía, la academia y el sector privado.
La “pretensión” detrás de esta legislación fue “garantizar que cualquiera sea el lugar donde se encuentren (los datos personales), estarán protegidos con el mismo grado de seguridad que en Uruguay; y en caso que no, que exista un expreso consentimiento de ello por parte del cliente”, señaló Domínguez.
El traspaso de los datos entre las empresas
¿Qué ocurre cuándo una persona facilita los datos a una empresa que luego es absorbida o comprada por otra compañía que no necesariamente va a dedicarse a lo mismo? ¿Pueden compartir los datos o debe destruirlos? Según la normativa vigente, “los datos no podrán ser utilizados para finalidades distintas o incompatibles con aquellos que motivaron su obtención. Si la empresa compradora no los va a utilizar con el mismo fin, debe destruirlos, salvo que se le haya recabado al titular de los datos, el previo consentimiento que deberá ser informado de forma que conozca la nueva finalidad a la que se destinarán sus datos”.
En relación a la importancia de esta ley, Pesce manifestó que dado que “Uruguay está alineado con las tendencias internacionales en materia de protección de datos”, eso le ha posibilitado ser declarado por la Unión Europea como un país seguro en materia de tratamiento de datos.
“Ese es un valor agregado que Uruguay tiene y que en América Latina solo comparte con Argentina, porque le permite recibir inversiones en la industria de procesamiento de datos. Uruguay tiene la ventaja de que puede recibir los datos de cualquier parte del mundo sin limitaciones legales porque tiene una ley que lo protege”, explicó el abogado de Ferrere.
Los cambios de la normativa:
El reciente decreto aumenta las exigencias que ya preveía la ley de 2008 y agrega nuevos aspectos. Los cambios más relevantes son cuatro y refieren a qué debe hacer la empresa o el titular de una base de datos ante un incidente de seguridad, la responsabilidad proactiva (que implica realizar una evaluación de impacto a la protección de datos), la designación de un delegado o responsable de la protección de los datos y la ampliación del ámbito territorial de la ley.
“Se pasa a exigir a quienes traten datos personales, evidencia de las medidas adoptadas para cumplir con la ley (del 2008), considerando el tipo de datos que se tratan, los tratamientos que se hacen, los riesgos asociados y los efectos de su materialización”, informó el experto de Deloitte.
Avance tecnológico
Según el abogado especialista en protección de datos, Martín Pesce, el avance tecnológico fue lo que impulsó la actualización de la normativa, dado que “ la cantidad de información disponible en el mundo se duplica cada dos años”.
Desde el estudio Brum-Costa Abogados explicaron a través de un informe que los aspectos más trascendentes de la nueva regulación son “las nuevas obligaciones que el titular o responsable de algunas bases de datos poseen”. Entre ellas, la adopción de medidas de seguridad, realización de una evaluación de impacto y la designación de un delegado.
Para el abogado de Ferrere, el cambio más significativo está en el artículo 38 que trata sobre los pasos a seguir ante un incidente de seguridad. En concreto, el texto legal establece que “cuando el responsable de una base de datos tome conocimiento de la ocurrencia de la vulneración de seguridad, deberá informar inmediata y pormenorizadamente de ello y de las medidas que adopte, a los titulares de los datos y a la URCDP”.
Esto debe hacerlo en un plazo máximo de 72 horas y en caso de incumplimiento la norma prevé sanciones que van desde un apercibimiento hasta las 500.000 Unidades Indexadas (UI), aproximadamente unos US$ 55.000.
¿Cuándo se debe hacer una evaluación de impacto?
Se deberá hacer una evaluación de impacto cuando: “se utilicen datos sensibles como negocio principal. Cuando sea permanente o estable de aquellos datos especialmente protegidos y los que refieren a infracciones penales o civiles. Cuando impliquen la evaluación de aspectos personales, cuando sea de datos de grupos de personas menores de edad, con discapacidades o en situación de especial vulnerabilidad. Cuando sean grandes volúmenes de datos y cuando se transfieran a países que no posean un nivel adecuado de protección”.
De acuerdo con Pesce, “esto representa un cambio importante” porque hasta el momento era la empresa la que evaluaba si el incidente era o no significativo y la que evaluaba si dar o no dar aviso a los titulares.
En relación a potenciales críticas hacia la normativa, Pesce indicó que la protección de datos “es una realidad que se ha venido imponiendo” y que este tipo de normativas “tienden a valorizar un activo muy importante de una empresa como son los datos que manejan. Ese activo bien cuidado tiene mayor valor además de que hay también un tema reputacional de la empresa”, concluyó.
¿Qué ocurre con las empresas del sector financiero que ya son reguladas por el Banco Central?
Hay diferencias con los ya regulados
Ante la eventual aplicación de la normativa para las entidades reguladas por el Banco Central del Uruguay (BCU) hay ciertas consideraciones. Concretamente, en la medida en que estos sujetos manejen una cartera de clientes superior a 35.000 personas (caso de bancos, empresas aseguradoras, entre otras), y/o en la medida en que por normativa del BCU la mayoría de ellos se encuentran obligados a recolectar datos personales de sus clientes para crear perfiles de situación económica, solvencia financiera y/o de inversión, será de especial aplicación la designación de un delegado ante la URCDP y -en cualquier caso- la realización de la evaluación de impacto.
Las funciones del delegado ante la URCDP son similares a las que hoy tiene el “Responsable del Resguardo de Datos, Software e Información” -cuya designación es obligatoria frente al BCU para la mayoría de estos sujetos-, y si bien la evaluación de impacto no está expresamente prevista en la normativa, el ente regulador ha venido instruyendo a los supervisados en sus últimas inspecciones la realización de la misma (así como también la aplicación de medidas y procedimientos específicos), por lo que de alguna manera el BCU ha comenzado a alinear sus políticas con la normativa.
(Fuente: Brum-Costa Abogados)
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.