Impacta el RGPD (o GDPR) en Uy?

about-us-achievement-agreement-533405

El Reglamento General de Protección de Datos Personales (RGPD o GDPR) de la Unión Europea (UE) comenzó a aplicarse el pasado 25 de mayo de 2018.

Como señalé en el artículo anterior sobre la temática (link al artículo), el RGPD busca atender la nueva realidad del mundo digital y proteger los derechos fundamentales de las personas. Destaca entre sus particularidades la gravedad de sus sanciones y la extraterritorialidad de la norma, lo cual implica que la protección que se le otorga a los datos persigue ¨al dato¨ independientemente de a donde vaya.

Parte de la base de: (i) que toda persona tiene derecho a la protección de los datos personales (DP) que le conciernen y que debe tener el control de sus propios DP; (ii) que el tratamiento de los DP debe estar concebido para servir a la humanidad, con arreglo al principio de proporcionalidad; (iii) que la tecnología ha transformado desde la economía a la vida social, permitiendo que se usen los DP en una escala sin precedentes ; (Iv) que los avances requieren de un marco más sólido a fin de generar confianza que permita el desarrollo de la economía digital, lo cual exige reforzar y especificar los derechos de los interesados y las obligaciones de quienes tratan los DP.

El presente RGPD ¨establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos.¨ (Artículo 1 RGPD)

La protección se aplica a la información relativa a personas físicas identificadas o identificables. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios que razonablemente se puedan utilizar para ello (por ejemplo: los costes, el tiempo y la tecnología disponible).  La PD no aplica a la información anónima, que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable.

Además de las particularidades señaladas, vale destacar que:

  • el consentimiento debe darse mediante un acto afirmativo claro, que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado al aceptar el tratamiento de DP, o una declaración verbal. El responsable debe ser capaz de demostrar el consentimiento para el tratamiento.
  • los fines del tratamiento deben ser explícitos, legítimos y deben determinarse en el momento de su recogida, además deben ser adecuados, pertinentes y limitados a los necesarios para los fines para los que sean tratados. Garantizando que se limite a un mínimo su plazo de conservación.
  • por el principio de transparencia, la información dirigida al público o al interesado debe ser concisa, fácilmente accesible, fácil de entender, utilizando lenguaje claro, sencillo y que se visualice. Además requiere abrir fórmulas para que los interesados puedan ejercer sus derechos.
  • a los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), se le adiciona el Derecho al Olvido (o derecho de supresión), el Derecho a la Portabilidad de los Datos y el Derecho a ser Informado si sus datos se han visto comprometidos por brechas de seguridad.
  • La privacidad es desde el diseño y por defecto, se busca una responsabilidad proactiva y que se adopten políticas internas, que podrían consistir, entre otras, en reducir al máximo el tratamiento de DP, seudonimizarlos lo antes posible, dar transparencia a las funciones y al tratamiento.

Entre los principales impactos en Uruguay se destaca: (i) la adecuación para la transferencia internacional de DP, y (ii) la extraterritorialidad de la norma.

El Proyecto de Ley de Rendición de Cuentas correspondiente al ejercicio 2017, ya aprobado en Diputados y actualmente a estudio del Senado, prevé cinco artículos sobre la temática:

  • artículo 36: dispone casos en que el tratamiento de DP estará sometido a la Ley Nº 18.331 – Protección de Datos Personales.(*1)
  • artículo 37: establece que en cuanto se tome conocimiento de ocurrencia de vulneración de seguridad, debe informarse inmediata y pormenorizadamente al titular de los datos y a la unidad Reguladora y de Control de Datos Personales. (*2)
  • artículo 38: sustituye el artículo 12 de la Ley Nº 18.331, prevé la privacidad desde el diseño, por defecto, evaluando el impacto a la PD, a fin de garantizar un tratamiento adecuado y la efectiva implementación. (*3)
  • artículo 39: prevé las condiciones para contratar a terceros para el tratamiento de DP, disponiendo que debe documentarse el objeto, el alcance, el contenido, la duración, la naturaleza, la finalidad, el tipo de DP, la categoría de titulares, las obligaciones y responsabilidades.  (*4)
  • artículo 40: señala que aquellas entidades que traten datos sensibles como negocio principal y las que realicen el tratamiento de grandes volúmenes de datos, deberán designar un delegado de protección de datos, asimismo establece sus funciones y condiciones. (*5)

La norma aún no ha sido aprobada, luego de que se apruebe, habrá que atender el texto final de las disposiciones y la reglamentación del Poder Ejecutivo en los casos que corresponda.

Hace relativamente poco desde que se comenzó a aplicar el RGPD, si bien es un Reglamento lo cual implica que es de aplicación directa en las jurisdicciones de la UE, en España por ejemplo se está analizando un anteproyecto de ley para reformar la Ley Orgánica de PD.

Habrá que atender cómo sigue la aplicación …

 

(*1) Artículo 36.- El tratamiento de datos personales estará sometido a la Ley Nº 18.331, del 11 de agosto de 2008 y sus modificativas y concordantes,cuando se efectúe por un responsable o encargado de tratamiento establecido en territorio uruguayo, lugar donde ejerce su actividad.

En caso de que no esté establecido en ese territorio, dicha ley regirá:

  1. Si las actividades del tratamiento están relacionadas con la oferta de bienes o servicios dirigidos a habitantes de la República o con el análisis de su comportamiento.
  2. Si lo disponen normas de derecho internacional público o un contrato.
  3. Si en el tratamiento se utilizan medios situados en el país. Exceptúase los casos en que los medios se utilicen exclusivamente con fines de tránsito, siempre que el responsable del tratamiento designe un representante, con domicilio en territorio nacional, ante la Unidad Reguladora y de Control de Datos Personales, a fin de cumplir con las obligaciones previstas por la Ley Nº 18.331, de 11 de agosto de 2008¨

(*2) ¨Artículo 37.- Cuando el responsable o encargado de una base de datos o de tratamiento, tome conocimiento de la ocurrencia de la vulneración de seguridad, deberá informar inmediatamente y pormenorizadamente de ello y de las medidas que adopte, a los titulares de los datos y a la Unidad Reguladora y de Control de Datos Personales, la que coordinará el curso de acción que corresponda, con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy)

La reglamentación determinará el contenido de la información correspondiente a la vulneración de seguridad¨

(*3) ¨Artículo 38.- Sustitúyese el artículo 12 de la Ley Nº 18.331, de 11 de agosto de 2008, or el siguiente:

¨Artículo 12. (Principio de responsabilidad).- El responsable de la base de datos o tratamiento y el encargado, en su caso, serán responsables de la violación de las disposiciones de la presente ley.

En ejercicio de una responsabilidad proactiva, deberán adoptar las medidas técnicas y organizativas apropiadas: privacidad desde el diseño, privacidad por defecto, evaluación de impacto a la protección de datos, entre otras, a fin de garantizar un tratamiento adecuado de los datos personales y demostrar su efectiva implementación.

La reglamentación determinará las medidas que correspondan según los tipos de datos, tratamientos y responsables, así como la oportunidad para su revisión y actualización¨

(*4) ¨Artículo 39.- Para realizar tratamiento de datos personales, exceptuando aquellos que pertenecen a las instituciones y entidades estatales, se podrá requerir servicios de terceros, según contrato en el que se documentará el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categoría de titulares, y las obligaciones y responsabilidades del responsable y el encargado.

El encargado de tratamiento realizará las actividades en los términos fijados por el responsable y podrá subcontratar servicios si existe previsión contractual expresa o con la autorización del responsable.

Cuando se incumplan las instrucciones del responsable y el encargado o el subencargado decidan por sí los aspectos del tratamiento serán considerados responsables, sin perjuicio de las responsabilidades que le correspondan al primero.

Serán de aplicación lo dispuesto por el artículo 30 de la Ley Nº 18.331, de 11 de agosto de 2008.

Cuando el tratamiento de datos sea realizado por dos o más responsables, éstos deberán determinar de mutuo acuerdo sus responsabilidades, funciones y vínculos con los titulares de los datos, sin perjuicio de las responsabilidades específicas establecidas por la normativa vigente.

Todo interesado podrá acceder a los aspectos esenciales del contenido del acuerdo vinculados con el tratamiento de los datos.¨

(*5) ¨Artículo 40.- Las entidades públicas, estatales o no estatales, las privadas total o parcialmente de propiedad estatal, así como las entidades privadas que traten datos sensibles como negocio principal y las que realicen el tratamiento de grandes volúmenes de datos deberán designar un delegado de protección de datos.

Sus funciones principales serán:

A)Asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales.

B)Supervisar el cumplimiento de la normativa sobre dicha protección en su entidad.

C)Proponer todas las medidas que entienda pertinente para adecuarse a la normativa y a los estándares internacionales en materia de protección de datos personales.

D)Actuar como nexo entre su entidad y la Unidad Reguladora y de Control de Datos Personales.

El delegado deberá poseer las condiciones necesarias para el correcto desempeño de sus funciones y actuará con autonomía técnica.¨

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s