Hacia una nueva etapa en la protección de datos personales en Uruguay
2. Sucintamente las principales reformas introducidas por la ley 19.670 así como por el Decreto 64/2020, que la vuelve operativa a partir de ahora, son las siguientes:
i. Extensión del ámbito de aplicación de la Ley de Protección de Datos Personales Nº 18.331.
La ley "madre" de 2008 se aplicaba hasta ahora a todo tratamiento de datos personales efectuado por un responsable de base de datos o un encargado de tratamiento establecido en territorio uruguayo o, excepcionalmente, si establecidos en el exterior, realizaban un tratamiento utilizando recursos situados en Uruguay (p.e infraestructura informática o data centers).
En virtud de la ley 19.670 y ahora con las precisiones establecidas en el Decreto, la ley 18.331 comenzará a aplicarse también extraterritorialmente en caso que:
a) las actividades de tratamiento estén relacionadas con oferta de bienes y servicios dirigidas a habitantes del Uruguay, o
b) si involucran el análisis de su comportamiento (para elaboración por ejemplo de profilings),
c) sí así lo disponen las normas de derecho internacional o
d) si lo establecen los términos de un contrato.
En todos estos casos responsables o encargados deberán registrar su base de datos ante la Unidad Reguladora y de Control de Datos Personales (URCDP).
ii. Nuevas obligaciones para responsables y encargados de bases de datos: el denominado “incidente de seguridad”.
A partir de las pautas definidas por el Decreto 64/2020, el responsable y el encargado de tratamiento, en su caso, deberán por una parte adoptar, de forma proactiva, todas las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales, y por otra, y para aquellos casos en que tomen conocimiento de que se ha vulnerado la seguridad de dicha base, informar de forma inmediata este "incidente de seguridad" tanto al titular de los datos como a la URCDP, describiendo conjuntamente qué medidas de reacción han aplicado para remediarlo.
iii. Responsabilidad proactiva en el tratamiento de datos (accountability).
Este es uno de los aspectos más novedosos, ya que la nueva normativa establece que responsables y encargados deberán adoptar de forma proactiva, y deberán demostrarlo, todas las medidas técnicas y organizativas apropiadas para garantizar un tratamiento adecuado de los datos personales, entre las que tenemos:
a) la "privacidad desde el diseño", por la que se deberá incorporar en el diseño de las bases de datos, las operaciones de tratamiento, las aplicaciones y los sistemas informáticos, todas las medidas necesarias para dar cumplimiento a la normativa de protección de datos, previo al tratamiento como durante su desarrollo;
b) la "privacidad por defecto", en virtud del cual solo deben ser objeto de tratamiento los datos personales necesarios para los fines específicos del tratamiento, y
c) la elaboración de "evaluaciones de impacto en la protección de datos", en virtud de las que se efectúe un análisis del riesgo que entraña el tratamiento de datos personales. Todas estas medidas deberán ser documentadas, revisadas periódicamente y evaluadas en su efectividad.
iv. Creación de la figura del “delegado de protección de datos”.
Establecido por Ley, pero definido ahora por el Decreto con mucho más detalle, los organismos públicos estatales o no estatales así como las empresas privadas que traten "datos sensibles" (datos personales que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual) como negocio principal o que realicen el tratamiento de grandes volúmenes de datos (tratamiento de datos personales de más de 35.000 personas) deberán designar un "delegado de protección de datos", cuya finalidad será asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales, supervisar el cumplimiento de la normativa, proponer las medidas pertinentes para adecuarse a la normativa y a los estándares internacionales, y servir de enlace entre la empresa y la URCDP.
3. Como se viene de ver, el contenido que estas reformas han introducido en el régimen de protección de datos personales, colocan al Uruguay en línea con la normativa internacional más moderna en la materia, especialmente la europea, y perfeccionan el sistema vigente hasta la fecha.