La autoridad de control de Uruguay en materia de datos personales, la Unidad Reguladora y de Control de Datos Personales (URCDP, por sus siglas), dictó en septiembre del año pasado la Resolución Nº 41/2021 (8 de septiembre de 2021), que proporciona una guía con recomendaciones de contenido mínimo de cláusulas contractuales apropiadas para la transferencia internacional de datos a países no adecuados.

La transferencia internacional de datos está definida en el derecho uruguayo en el literal H del artículo 4 del Decreto 414/2009, de 31 de agosto de 2009, reglamentario de la Ley de Protección de Datos de Uruguay (LPD) Nº 18.331 con fecha de 11 de agosto de 2008, como:

«Transferencia internacional de datos: tratamiento de datos que supone una trasmisión de éstos fuera del territorio nacional, constituyendo una cesión o comunicación, y teniendo por objeto la realización de un tratamiento por cuenta del responsable de la base de datos o tratamiento establecido en territorio uruguayo» 

El artículo 23 de la LPD prohíbe la transferencia internacional de datos de cualquier tipo a aquellos países y organismos internacionales que no proporcionen niveles de protección adecuados. No obstante, la norma citada admite que la URCDP podrá autorizar una transferencia a países no adecuados, si el responsable del tratamiento ofrece garantías suficientes sobre la protección de la vida y los derechos fundamentales de las personas y del ejercicio de dichos derechos. Y añade que dichas garantías pueden derivarse de cláusulas contractuales apropiadas.

En cuanto a los países que se consideran adecuados para la realización de transferencias internacionales, los estableció la Resolución Nº 23/021, de 8 de junio de 2021, tomando en cuenta los Estándares en Protección de Datos Personales para los Estados Iberoamericanos, emitidos por la Red Iberoamericana de Protección de Datos y el Reglamento General Europeo de Protección de Datos Nº 2016/679 del Parlamento Europeo y del Consejo. Los países adecuados son los miembros de la Unión Europea y el Espacio Económico Europeo, Principado de Andorra, República Argentina, el sector privado de Canadá, Guernsey, Isla de Man, Islas Feroe, Estado de Israel, Japón, Jersey, Nueva Zelanda, Reino Unido de Gran Bretaña e Irlanda del Norte, y Confederación Suiza.

Con respecto a las transferencias internacionales realizadas hacia Estados Unidos, la Resolución Nº 23/021, establece que ante la invalidación del Privacy Shield en el territorio europeo, y la sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio 2020, las transferencias internacionales realizadas a los Estados Unidos de América deberán justificarse a través del consentimiento de los interesados o de alguna de las excepciones previstas en el artículo 23 de la Ley Nº 18.331 y, en su caso, contar con la autorización expresa de la URCDP. Se valorará especialmente la adopción de cláusulas contractuales apropiadas, que los encargados de tratamiento estén ubicados en países que hayan adoptado normas tuitivas de la protección de datos y la adopción del esquema de autocertificación entre otras medidas. Y se ha otorgado un plazo de seis meses para que las empresas puedan adecuarse a esta nueva realidad.

La guía resulta entonces un instrumento importante a la hora de redactar las cláusulas contractuales que debe aprobar la URCDP para efectuar las transferencias a los países no adecuados.

A modo de comentario, mencionamos también que el artículo 6º del Decreto 64/2020, de 21 de febrero de 2020, establece la necesidad de realizar una evaluación de impacto en caso de transferencias de datos a estados u organizaciones respecto de los cuales no exista un nivel adecuado de protección.

Las cláusulas recomendadas por la autoridad refieren a las cláusulas comunes para transferencias entre todo tipo de importador y exportador de datos. Otras aplican a las cláusulas para transferencias entre responsable y responsable, entre responsable y encargado, y entre encargado y encargado.