Se han dictado en Uruguay nuevas disposiciones sobre protección de datos que complementan el marco normativo ya existente en el país.

Se trata del Decreto Nº 64/020, de 21 de febrero de 2020 (en adelante, el “Decreto”), reglamentario de los artículos 37 a 40 de la ley 19.670 de 15 de octubre de 2018, que introdujo modificaciones a la Ley de Protección de datos (LPD, por sus siglas).

Esta era una reglamentación muy esperada, especialmente considerando las importantes modificaciones introducidas en la LPD en el año 2018 -inspiradas en la RGPD-, que requerían de clarificación.

En el considerando II) del Decreto, se menciona que se tomaron en cuenta en el dictado de esta norma “el Reglamento Europeo Nº 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, los Estándares en Protección de Datos Personales para los Estados Iberoamericanos emitidos por la Red Iberoamericana de Protección de Datos en junio de 2017, el Convenio N° 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, su Protocolo Adicional de 8 de noviembre de 2001 -ambos aprobados por Ley Nº 19.030 de 27 de diciembre de 2012-, y el Protocolo de Modernización del citado Convenio aprobado por el Comité de Ministros del Consejo de Europa el 18 de mayo de 2018, suscrito por la República Oriental del Uruguay el 10 de octubre de 2018”;

Entre otras cuestiones, los artículos de la LPD que se reglamenta preveían lo siguiente:

La aplicación extraterritorial de la normativa de Protección de Datos en algunos supuestos;Obligación de notificar las vulneraciones de seguridad (data breaches, en inglés) de forma inmediata a los titulares de los datos y a la autoridad de control (URCDP);

Consagración del principio de la responsabilidad proactiva (accountability);

Obligación de implementar privacidad desde el diseño y privacidad por defecto (privacy by design y privacy by default) así como evaluaciones de impacto;

Obligación de documentar, por contrato, los servicios de tratamiento de datos personales realizados por terceros;

DPO. Consagración de la obligación para determinadas entidades de designar un delegado de protección de datos;

¿En qué consisten las nuevas normas del Decreto Reglamentario que ahora se comenta?

El nuevo Decreto Reglamentario Nº 64/020

Clarifica y establece criterios con relación al ámbito territorial de aplicación de la LPD;

Contiene previsiones respecto de las vulneraciones de seguridad, establece en qué se traduce la obligación de responsabilidad proactiva;

Dispone el contenido de la evaluación de impacto y cuándo debe realizarse en forma previa, prevé quiénes deben nombrar un delegado de protección de datos, su posición y otras cuestiones de interés.

Dispone que la autoridad de control será la encargada de fijar criterios para el cumplimiento, auditoría y evaluación de las medidas establecidas en la Ley N° 18.331 (LPD).

De una primera lectura del nuevo Decreto, resaltamos las siguientes disposiciones:

Ámbito territorial

Con respecto al ámbito territorial y a la aplicación extraterritorial de la LPD, el Decreto dispone que:

Se entiende que el responsable o encargado de tratamiento está establecido en Uruguay cuando realice en éste una actividad estable.

Si el responsable o encargado no se encuentra establecido en Uruguay, igual rige la LPD si las actividades de tratamiento de datos están relacionadas con:

  1. a) oferta de bienes o servicios dirigidos a habitantes de la República, lo cual se apreciará por el uso del idioma, la referencia al pago en moneda nacional o la provisión de servicios conexos -no necesariamente prestados por el responsable o encargado-, en territorio uruguayo.
  2. b) análisis del comportamiento de los habitantes de la República, incluyendo la elaboración de perfiles.
  3. c) Lo disponen normas de derecho internacional público o un contrato.
  4. d) si el tratamiento se utilizan medios situados en el país, tales como redes de información y de comunicación, centros de datos e infraestructura informática en general.

Vulneraciones de seguridad

El Decreto establece la obligación de responsables y encargados de “adoptar medidas técnicas y organizativas necesarias para conservar la integridad, confidencialidad y disponibilidad de la información de forma de garantizar la seguridad de los datos personales”.

Aclara el Decreto que se “…valorará la adopción de estándares nacionales e internacionales en materia de seguridad de la información…”.

A modo de ejemplo, el Decreto alude al Marco de Ciberseguridad elaborado por la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC).

Uno de los aspectos más importantes de la norma, es el relativo a la oportunidad y alcance de las obligaciones de notificar vulneraciones de seguridad (data breaches).

Hasta ahora, no resultaban del todo claras las obligaciones de responsables y encargados en este sentido.

El Decreto clarifica esta situación.

Si se constata la existencia de incidentes, se desencadenan una serie de obligaciones de minimizar impactos y de comunicarse con las autoridades.

En efecto, constatada la existencia de incidentes de seguridad que ocasionen, entre otras, la divulgación, destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos, se inicia el cómputo de dos plazos:

  1. a) en las primeras 24 horas se deben minimizar los impactos.
  2. b) constatada la vulneración de seguridad que incida en la protección de datos, en un plazo máximo de 72 horas de conocida la vulneración, se deberá comunicar la misma a la autoridad de control (URCDP).

Es interesante advertir que el Decreto no fija un umbral cuantitativo mínimo para la obligación de comunicar la existencia de una vulneración de seguridad a la URCDP.  Basta que la misma “incida en la protección de datos”, no siendo relevante si se trata de un número importante o reducido de datos.

Asimismo, si la vulneración incide en la protección de datos, se deberá comunicar, en un lenguaje claro y sencillo, a los titulares de los datos que hayan sufrido una afectación significativa en sus derechos.

Aquí se mantiene el lenguaje de la LPD en cuanto a que la obligación de comunicar la vulneración a los titulares de los datos se produce cuando exista una afectación “significativa” en sus derechos, siendo éste un concepto jurídico indeterminado, cuyo contenido lo dará la autoridad de aplicación, o un juez.

Asimismo, una vez que se haya solucionado la vulneración, el responsable debe elaborar un informe de las medidas adoptadas y comunicarlo a la autoridad de control (URCDP).

Medidas de responsabilidad proactiva

Como se recordará, el concepto de responsabilidad proactiva fue introducido en la LPD en la reforma introducida en 1918 por Ley Nº 19.670.

El Decreto busca fortalecer el principio de responsabilidad proactiva, al disponer por parte de encargados y responsables la adopción de medidas que resultaren necesarias para garantizar la seguridad y confidencialidad de los datos personales.

El Decreto objeto de comentario dispone que:

Las medidas adoptadas deberán ser documentadas, revisadas periódicamente y evaluadas en su efectividad”.

La norma clarifica entonces, que es necesario que las medidas de responsabilidad proactiva, estén debidamente “documentadas”.  Y para mitigar su responsabilidad, los responsables y encargados deben cumplir con este requisito.

El Decreto también señala el contenido mínimo de la documentación.

La norma contiene previsiones respecto a la evaluación de impacto, su oportunidad y procedencia, y alcance.

El Decreto también determina la información mínima que tiene que tener la evaluación de impacto.

Con respecto a los casos de tratamientos de datos ya iniciados, y que se encuentren incluidos en los supuestos de obligación de evaluación de impacto en forma previa, se otorga un plazo de 1 año a partir de 21 de febrero de 2020 para realizar la misma.

Privacidad por diseño 

El Decreto dispone las medidas que deben incorporarse para cumplir con la normativa de protección de datos en el diseño de las bases de datos, las operaciones de tratamiento, las aplicaciones y los sistemas informáticos, entre otras técnicas de disociación, seudonimización y minimización de datos, documentación de los consentimientos, tiempo de conservación de los datos, planes de contingencia etc.

Privacidad por defecto

La norma también contiene previsiones respecto a la privacidad por defecto:

En el caso de la privacidad por defecto, el responsable y el encargado del tratamiento, en su caso, aplicarán las medidas técnicas y organizativas apropiadas a los efectos de garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.”

Delegado de protección de datos personales (DPO)

La reforma de 2018 entre otras cosas, previó la figura del DPO.

El Decreto establece que deben designar un delegado de protección de datos, entre otros, las entidades públicas, las privadas que traten datos sensibles como negocio principal y las entidades privadas que traten grandes volúmenes de datos.

Por primera vez, el Decreto establece cuál es el umbral para establecer que una entidad trata grandes volúmenes de datos.

En cuanto a la oportunidad de la designación de un DPO, existe obligación de comunicar a la autoridad de control –la URCDP-, la designación del delegado en un plazo de 90 días desde el inicio del tratamiento.

Se requiere que tenga conocimientos en Derecho, especializados en materia de protección de datos personales.

Está obligado a guardar absoluta confidencialidad de las informaciones a las que tenga acceso por su calidad como delegado. Podrá desempeñar otras funciones en cuanto no generen conflicto de intereses.

Criterios y sanciones

Finalmente, el Decreto prevé la aplicación de sanciones por incumplimiento que serán fijadas por la URCDP, e incluirán desde observaciones y apercibimiento, hasta la clausura de la base de datos y la imposición de multas.

Photo by Guilherme Roveda Hellwinkel on Unsplash