Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Los datos personales y su protección

Marco legal

• La Declaración Universal de los Derechos Humanos.
• La Convención Americana sobre Derechos Humanos o Pacto de San José de Costa Rica.
• La Constitución de la República, en especial su art. 72.
• La Ley N° 18.331 de Protección de Datos Personales y Acción de Habeas Data (LPDP) de 11 de agosto de 2008.
• Los Decretos N° 664/008 de 22 de diciembre de 2008 y N° 414/2009 de 31 de agosto de 2009.
• Los Arts. 152 a 156 de la Ley N° 18.719 de 27 de diciembre de 2010, que introducen modificaciones a la Ley N° 18.331. • El art. 158 literales B) y C) de la Ley N° 18.719 de 27 de diciembre de 2010, sobre intercambio de información pública o privada entre organismos públicos, estatales o no.
• El art.43 Ley N° 18.996 de 7/11/2012 sobre definición de fuentes y documentos públicos o accesibles al público.
• La Ley N° 19.030 de 12/12/2012 regula la adhesión de Uruguay al Convenio Nº 108 y su Protocolo Adicional.

Conceptos generales

Los datos sensibles

Son aquellos que revelan un origen racial o étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referidas a la vida sexual de una persona.

La Ley identifica además datos que por sus características deben ser especialmente protegidos. Toda persona no está obligada a proporcionar datos sensibles. Para recolectar y tratar este tipo de datos es necesario contar con el consentimiento expreso y escrito del titular, salvo la existencia de razones de interés general establecidas por Ley.

Los datos relativos a la salud

Se trata de los datos que son tratados en los establecimientos sanitarios, públicos o privados y por los profesionales de la salud quienes, guardando el deber del secreto profesional, manejan datos personales relativos a la salud de los pacientes, de acuerdo con la legislación sanitaria y de la protección de datos. Los datos también podrán ser tratados cuando sea necesario para salvaguardar la vida del afectado o de otra persona.

Los datos relativos a las telecomunicaciones

Las personas físicas o jurídicas, públicas o privadas, que actúen en el ámbito de las telecomunicaciones, en cualquiera de sus segmentos, como titulares o responsables de un servicio, deberán garantizar la protección de los datos personales cumpliendo con las exigencias legales.

Los datos relativos a bases de datos con fines publicitarios

Consisten en datos que se tratan con el propósito de establecer perfiles determinados con fines promocionales, comerciales o publicitarios, o que permiten establecer hábitos de consumo, cuando esos datos figuren en documentos accesibles al público, hayan sido facilitados por sus titulares u obtenidos con su consentimiento.

Los datos relativos a la actividad comercial o crediticia

Está autorizado el tratamiento de datos destinados a informar sobre la solvencia patrimonial o crediticia, cuando los mismos sean obtenidos de fuentes de acceso público o procedan de informaciones facilitadas por el acreedor o en las circunstancias previstas en la Ley. Para el caso de las personas jurídicas (empresas u organizaciones) también se permite el tratamiento de toda información autorizada por la normativa vigente.

Principios que deben orientar el uso de datos personales

Legalidad. Las bases de datos personales deben cumplir con la normativa e inscribirse en el registro a cargo de la Unidad Reguladora y de Control de Datos Personales.

Veracidad. Los datos registrados deberán ser veraces, adecuados, ecuánimes (imparciales) y no excesivos en relación con la finalidad para la que se han obtenido. Será excesivo, por ejemplo, si se requiere preferencia política para afiliarse a un club deportivo.

Finalidad. Los datos no deben utilizarse para fines diferentes a los solicitados. Cumplida su finalidad, deben eliminarse.

Previo consentimiento informado. Se debe contar con el consentimiento del titular para tratar sus datos. El consentimiento debe ser:

• Libre (podrá brindarlo o no).
• Previo (recabado antes de solicitar los datos).
• Expreso (no tácito o implícito).
• Documentado (verificable).
• Informado (conocer la finalidad por la que se recolectan los datos y dónde ejercer sus derechos).

Seguridad. La normativa señala que se deben adoptar medidas de seguridad para proteger los datos recolectados.

Reservado. Los datos deben utilizarse únicamente para la finalidad con la que se obtuvieron, y aplica el deber de confidencialidad a personas que tengan acceso a los mismos.

Responsabilidad. Recae sobre la persona física o jurídica responsable de la base así como los encargados de tratamientos, usuarios y terceros, con diferente alcance.

Sobre la Ley

Datos personales: ¿por qué la Ley los protege?

A diario empresas, organismos públicos y particulares manejan información personal para fines laborales y comerciales, entre otros. Para proteger nuestra intimidad del mal uso o del uso incorrecto que se pueda hacer de nuestros datos, es que la protección de los datos personales se reconoce como un Derecho Humano.

¿Cuál es su alcance?

La Ley se aplica a los datos personales registrados en cualquier soporte que permita tratarlos y usarlos posteriormente de diversos modos, tanto en el ámbito privado como público.Para que se considere la existencia de una base de datos, estos deben permitir un acceso ágil a la información: por orden alfabético o número de registro, por ejemplo. Las bases de datos pueden ser informatizadas o manuales (llevadas en carpetas o biblioratos), y también mixtas (parte informatizada y parte en soporte papel).

¿Quiénes son los responsables de una base de datos?

Son todos aquellos que deciden la creación de la base, la finalidad, el contenido y uso de los datos almacenados en ella.

¿Qué bases de datos no deben ser inscriptas?

La Ley no se aplica a las bases de datos pertenecientes a personas físicas que tengan por finalidad un uso personal o doméstico. Tampoco se aplica a aquellas que tienen por objeto la seguridad pública, la defensa y seguridad del Estado, ni a las creadas y reguladas por leyes especiales.

¿Cuándo se pueden comunicar datos personales?

Los datos personales sólo pueden ser comunicados para el cumplimiento de los fines directamente relacionados con el interés legítimo de quien los envía y de quien recibe, con el previo consentimiento del titular e informándolo sobre la finalidad de tal comunicación. Quien recibe una comunicación de datos personales tiene las mismas obligaciones que quien recoge y envía los datos, respondiendo solidariamente ante el Órgano de Control y ante el titular de los datos.

¿Qué se entiende por tratamiento de datos personales?

Los tratamientos de datos personales están alcanzados por la ley cuando se realizan por un sujeto responsable de la base de datos, establecido en el territorio uruguayo, lugar donde ejerce su actividad, cualquiera sea su forma jurídica. También los alcanza la ley si el responsable de la base de datos o tratamiento no está establecido en el territorio uruguayo, pero utiliza en el tratamiento medios situados en el país, salvo que estos se utilicen exclusivamente con fines de tránsito.

El rol de la Unidad Reguladora y de Control de Datos Personales (Urcdp)

Es la autoridad de control, un órgano desconcentrado con autonomía técnica, cuya competencia es custodiar el cumplimiento de la legislación de protección de datos personales y el respeto de sus principios.

La Unidad tiene los siguientes cometidos:

• Asesorar al Poder Ejecutivo y recomendar políticas en el tratamiento, seguridad y manipulación de los datos personales.
• Informar sobre el alcance y los mecanismos de defensa previstos por la Ley.
• Inscribir las bases de datos y los códigos de conducta.
• Autorizar las transferencias de datos personales a países sin niveles de protección adecuados en la materia.
• Inspeccionar a las entidades públicas y privadas en relación con el tratamiento de los datos personales.
• Sancionar las infracciones según el marco jurídico existente en materia de protección de datos personales.

Nuestros derechos y cómo ejercerlos

Resulta fundamental conocer las potestades que la ley otorga en relación con nuestros datos personales. Igualmente significativo es conocer cuáles son nuestros derechos.

Todos tenemos derecho a:

• Recibir información previa acerca de para qué se solicitan los datos.
• Conocer qué datos poseen sobre cada uno de nosotros.
• Rectificarlos o cancelarlos cuando sean inexactos o incompletos.
• Impugnar aquellas valoraciones personales con efectos jurídicos, que afectan de manera significativa y que se basan únicamente en un tratamiento automatizado de datos que evalúan determinados aspectos como el rendimiento laboral, crédito, fiabilidad, conducta, entre otros. La persona afectada tiene derecho a ser informada sobre el criterio de valoración y el programa utilizado para ello.
• Oponerse al tratamiento en determinadas circunstancias.
• Actualizarlos cada vez que se produzca un cambio en ellos.
• Solicitar la inclusión en alguna base de datos que no estemos y queramos estar.

Toda persona tiene derecho a presentarse ante el responsable de una base de datos, pública o privada, para conocer qué datos se poseen sobre ella, la finalidad y el uso que se le dan a éstos y si se ha vulnerado alguno de sus derechos. También podrá denunciar la recepción de publicidad no deseada o consultar gratuitamente el Registro de base de datos de la URCDP.

Si su reclamo es desoído puede recurrir a la justicia mediante una acción de Habeas Data o denunciar la situación ante la URCDP personalmente o mediante su sitio web: https://www.gub.uy/unidad-reguladora-control-datos-personales/