Se promulgó el Decreto N° 64/020, reglamentario de las nuevas disposiciones sobre Protección de Datos Personales
El decreto fue promulgado luego de un proceso de elaboración llevado adelante por el Consejo Ejecutivo de la URCDP, con el asesoramiento del Consejo Consultivo de la unidad, y prevé una serie de cambios de relevancia en el tratamiento de los datos personales por parte de entidades públicas y privadas.
Respecto al ámbito de aplicación territorial, los artículos 1 y 2 precisan el alcance de los supuestos incluidos en el artículo 37 de la Ley N° 19.670, y determinan el alcance de las obligaciones de responsables y encargados radicados en el exterior.
En materia de vulneraciones de seguridad, los artículos 3 y 4 definen el concepto y el proceso de comunicación por parte de responsables de tratamiento. En este punto cabe destacar que el responsable deberá comunicar la ocurrencia de la vulneración a la URCDP en un plazo máximo de 72 horas de que esta sea conocida.
En lo que refiere a responsabilidad proactiva, los artículos 5 a 9 determinan los casos en que corresponde su adopción y las condiciones necesarias para asegurar la efectividad de las medidas adoptadas. Se prevé expresamente, además, la evaluación de impacto en la Protección de Datos Personales y su contenido, y se define la privacidad por diseño y por defecto. Corresponde destacar que existen tratamientos de datos determinados en el decreto que requerirán una evaluación de impacto previa, mientras que los actuales que se encuentren incluidos en las hipótesis previstas contarán con un plazo de un año desde la publicación para adecuarse.
Finalmente, los artículos 10 a 15 prevén las condiciones para la designación de un delegado de Protección de Datos, su posición en la empresa, la forma de comunicación a la URCDP y su cese. La comunicación deberá realizarse en un plazo de 90 días contados desde el inicio del tratamiento o desde la publicación del decreto en caso de entidades incluidas entre las obligadas a designarlo.
El decreto también establece que la unidad fijará criterios para la auditoría y evaluación de las medidas establecidas en la Ley N° 18.331 y el decreto e impondrá, en su caso, las sanciones por incumplimiento que correspondan.
La URCDP publicó una Guía para la realización de Evaluaciones de Impacto en Protección de Datos y en breve publicarán otros documentos para facilitar el cumplimiento de las medidas previstas en el decreto por parte de los responsables y encargados de tratamiento.
Enlace de interés: