Decreto N° 64/020

Se promulgó el Decreto N° 64/020, reglamentario de las nuevas disposiciones sobre Protección de Datos Personales

El decreto, promulgado el 17 de febrero de 2020, reglamenta los artículos 37 a 40 de la Ley N° 19.670. La norma establece un nuevo alcance territorial de la Ley N° 18.331 de Protección de Datos Personales, modifica el principio de responsabilidad, incorpora el principio de “responsabilidad proactiva”, impone un nuevo régimen de comunicación de vulneraciones de seguridad que involucren datos personales y crea la figura del delegado de Protección de Datos para determinados tipos de tratamientos.
urcdp

El decreto fue promulgado luego de un proceso de elaboración llevado adelante por el Consejo Ejecutivo de la URCDP, con el asesoramiento del Consejo Consultivo de la unidad, y prevé una serie de cambios de relevancia en el tratamiento de los datos personales por parte de entidades públicas y privadas.

Respecto al ámbito de aplicación territorial, los artículos 1 y 2 precisan el alcance de los supuestos incluidos en el artículo 37 de la Ley N° 19.670, y determinan el alcance de las obligaciones de responsables y encargados radicados en el exterior.

En materia de vulneraciones de seguridad, los artículos 3 y 4 definen el concepto y el proceso de comunicación por parte de responsables de tratamiento. En este punto cabe destacar que el responsable deberá comunicar la ocurrencia de la vulneración a la URCDP en un plazo máximo de 72 horas de que esta sea conocida.

En lo que refiere a responsabilidad proactiva, los artículos 5 a 9 determinan los casos en que corresponde su adopción y las condiciones necesarias para asegurar la efectividad de las medidas adoptadas. Se prevé expresamente, además, la evaluación de impacto en la Protección de Datos Personales y su contenido, y se define la privacidad por diseño y por defecto. Corresponde destacar que existen tratamientos de datos determinados en el decreto que requerirán una evaluación de impacto previa, mientras que los actuales que se encuentren incluidos en las hipótesis previstas contarán con un plazo de un año desde la publicación para adecuarse.

Finalmente, los artículos 10 a 15 prevén las condiciones para la designación de un delegado de Protección de Datos, su posición en la empresa, la forma de comunicación a la URCDP y su cese. La comunicación deberá realizarse en un plazo de 90 días contados desde el inicio del tratamiento o desde la publicación del decreto en caso de entidades incluidas entre las obligadas a designarlo.

El decreto también establece que la unidad fijará criterios para la auditoría y evaluación de las medidas establecidas en la Ley N° 18.331 y el decreto e impondrá, en su caso, las sanciones por incumplimiento que correspondan.

La URCDP publicó una Guía para la realización de Evaluaciones de Impacto en Protección de Datos y en breve publicarán otros documentos para facilitar el cumplimiento de las medidas previstas en el decreto por parte de los responsables y encargados de tratamiento.

Enlace de interés: