FS Decreto 64 020 WEB

REGLAMENTACIÓN DE LOS ARTÍCULOS 37 A 40 DE LA LEY NRO. 19.670 DE PROTECCIÓN DE DATOS

El día 21 de febrero de 2020 se publicó en el Diario Oficial el Decreto Nro. 64/020 (el “Decreto”) promulgado el 17 de febrero de 2020, por medio del cual se reglamentan los artículos 37 a 40 de la Ley Nro. 19.670 de protección de datos (la “Ley”).

 

Ámbito Territorial

El artículo 1 del Decreto define el alcance territorial del artículo 37[1] de la Ley, aduciendo que se entiende por responsable o encargado con territorio en Uruguay, al que realice una actividad estable en nuestro país, sin importar la forma jurídica.

Si el responsable o encargado no estuviera en territorio uruguayo, igualmente será de aplicación las disposiciones de la Ley y de la Ley Nro. 18.331, cuando los datos estén relacionados a: (i) oferta de bienes y servicios para el territorio uruguayo; (ii) análisis del comportamiento de los habitantes de Uruguay; (iii) se encuentre dispuesto por normas internacionales o un contrato; o (iv) se utilicen medios situados en Uruguay (redes de información y comunicación).

No deberán registrarse ante la Unidad de Regulación y Control de Datos Personales (la “URCDP”), las bases de datos, para los cuales se utilizan medios situados en el país, como, por ejemplo, redes de información o comunicación o centro de datos e infraestructura informática, cuando la finalidad sea de tránsito y el responsable del tratamiento designe un representante en Uruguay ante la URCDP.

 

Medidas de Seguridad

Se deberán adoptar medidas técnicas y organizativas necesarias para conservar la integridad, confidencialidad y disponibilidad de la información almacenada.

Si existieran incidentes (por ejemplo, pérdida o hurto de datos), el responsable y encargado de la base, deberá tomar las medidas pertinentes dentro de un plazo de veinticuatro (24) horas a ocurrido el incidente.

Además, éstos deberán dar a conocer el incidente a la URCDP, dentro de un plazo máximo de setenta y dos (72) horas de ocurrido, así como luego de solucionada la vulneración.

En caso de producirse una afectación significativa de sus datos, el responsable y/o encargado deberá comunicar tal suceso a los titulares de los datos personales.

Según dispone el artículo 5 del Decreto las medidas adoptadas deberán ser documentadas, revisadas periódicamente y evaluadas en su efectividad. Esta información debe estar a disposición de la URCDP en caso que ésta la requiriese.

 

Evaluación de Impacto

El encargado y el responsable, deberán hacer, antes del almacenamiento de los datos, una evaluación de impacto, cuando se trate de: (i) datos sensibles como negocio principal; (ii) proyectar un tratamiento permanente o estable de los datos cuando se trate de infracciones penales, civiles o administrativas; (iii) realizar una evaluación con el fin de crear o utilizar perfiles personales, situación económica, salud, preferencias o intereses personales; (iv) tratamiento de datos de grupos de personas en situación de vulnerabilidad, en particular, de menores de edad o discapacitados; (v) grandes volúmenes de datos personales; (vi) transferencia a terceros países que no tengan una protección adecuada de datos personales; y (vii) otras situaciones que eventualmente disponga la URCDP.

La evaluación deberá contener: (a) una descripción sistemática del tratamiento; (b) una evaluación del cumplimiento de la normativa en materia de datos personales; (c) una evaluación de riesgos para los titulares; y (d) un detalle de las medidas de seguridad a implementarse.

Si existieran tratamientos a la fecha de publicación del presente Decreto, los responsables y/o encargados deberán realizar la evaluación dentro del plazo de un (1) año contado desde la publicación.

 

Delegados

Es obligación designar un delegado de la base de datos, en virtud de lo dispuesto en el artículo 40[2] de la Ley, siempre que se trate de: (i) entidades públicas, estatales o no estatales y las privadas total o parcialmente de propiedad estatal; (ii) entidades privadas que traten datos sensibles como negocio principal; o (iii) entidades privadas que realicen tratamiento de grandes volúmenes de datos (más de 35.000 personas).

En caso limítrofes, la URCDP podrá determinar que es necesario la designación de un delegado.

El delegado deberá: (a) asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales; (b) supervisar el cumplimiento de la normativa; (c) proponer medidas de seguridad; y (d) actuar como nexo entre la entidad y la URCDP.

El delegado podrá ser empleado dependiente de la entidad o contratado; deberá contar con conocimiento de derecho, y especialización de protección de datos. Podrá ser también una persona jurídica, respecto de la cual se deberá comunicar el órgano de administración, así como las personas físicas que se designen para cumplir las funciones del delegado.

El delegado tendrá autonomía técnica y no recibirá órdenes para el cumplimiento de su función.

La designación del delegado deberá ser comunicada a la URCDP dentro del plazo de noventa (90) días del inicio del tratamiento. Asimismo, se deberá comunicar su cese o renuncia.

Un mismo conjunto de entidades podrá designar un único delegado.

 

Quedamos a disposición para evacuar cualquier consulta adicional que tuvieran a este respecto.

Fernández Secco & Asociados

 

 

 

[1] “Artículo 37: El tratamiento de datos personales estará sometido a la Ley N° 18.331, de 11 de agosto de 2008 y sus modificativas y concordantes, cuando se efectúe por un responsable o encargado de tratamiento establecido en territorio uruguayo, lugar donde ejerce su actividad. En caso de que no esté establecido en ese territorio, dicha ley regirá: A) Si las actividades del tratamiento están relacionadas con la oferta de bienes o servicios dirigidos a habitantes de la República o con el análisis de su comportamiento. B) Si lo disponen normas de derecho internacional público o un contrato. C) Si en el tratamiento se utilizan medios situados en el país. Exceptúanse los casos en que los medios se utilicen exclusivamente con fines de tránsito, siempre que el responsable del tratamiento designe un representante, con domicilio en territorio nacional, ante la Unidad Reguladora y de Control de Datos Personales, a fin de cumplir con las obligaciones previstas por la Ley N° 18.331, de 11 de agosto de 2008”.

[2] “Artículo 40: Las entidades públicas, estatales o no estatales, las privadas total o parcialmente de propiedad estatal, así como las entidades privadas que traten datos sensibles como negocio principal y las que realicen el tratamiento de grandes volúmenes de datos deberán designar un delegado de protección de datos. Sus funciones principales serán: A) Asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales. B) Supervisar el cumplimiento de la normativa sobre dicha protección en su entidad. C) Proponer todas las medidas que entienda pertinentes para adecuarse a la normativa y a los estándares internacionales en materia de protección de datos personales. D) Actuar como nexo entre su entidad y la Unidad Reguladora y de Control de Datos Personales. El delegado deberá poseer las condiciones necesarias para el correcto desempeño de sus funciones y actuará con autonomía técnica”.