Buenas prácticas en protección de datos personales para el uso de formularios por entidades públicas
Recomendaciones
El uso de formularios web para la recolección de información personal por parte de entidades públicas se ha convertido en una herramienta fundamental para el cumplimiento de sus cometidos, ayudando a relacionarse de forma más sencilla y accesible con la población.
En esa tarea deben cumplirse estándares legalmente establecidos para preservar la privacidad de las personas, lo que aporta mayor confianza en el tratamiento de su información personal.
En ese marco, la Unidad Reguladora y de Control de Datos Personales pone a disposición de entidades públicas las siguientes buenas prácticas en el uso de formularios para la recolección de datos personales:
- Optar por sistemas bajo control de la entidad y disponibles para el Estado, que permitan la confección de formularios seguros, accesibles y a medida (artículos 10 y 12 de la Ley N° 18.331).
Ejemplo de estos sistemas es el Software Público SIMPLE, herramienta BPM que permite el desarrollo de formularios según las pautas del Modelo de Trámites y Servicios Digitales. - Incorporar, dependiendo del tipo de información recolectada y de la finalidad determinada, mecanismos de autenticación de usuarios en forma previa al acceso a los formularios. Acceder a información sobre Usuario.gub.uy.
- Utilizar en lo posible, a través de canales seguros y previa consideración de los fundamentos para la comunicación de datos, información puesta a disposición por otras Entidades Públicas, de forma de asegurar la calidad de los datos recolectados (artículos 7° y 17 de la Ley N° 18.331, y 159 de la Ley N° 18.719). Acceder a los servicios disponibles en la Plataforma de Interoperabilidad.
- Recolectar los datos estrictamente necesarios para el cumplimiento de la finalidad perseguida, cumpliendo con el principio de veracidad (artículo 7° de la Ley N° 18.331).
- Conservar la información recolectada únicamente mientras persista la finalidad o norma legal que habilitó la recolección originalmente, cumpliendo con el principio de finalidad (artículo 8° de la Ley N° 18.331).
- Alojar la información recolectada en servidores ubicados dentro del territorio nacional, o en territorios declarados adecuados por esta Unidad, según el caso (artículo 23 de la Ley N° 18.331) Acceder a la información sobre territorios adecuados.
En el caso de Entidades de la Administración Central, corresponde evaluar además la aplicación del decreto N° 92/014, cuando se trata de sistemas de informáticos incluidos en el artículo 3° del decreto N° 451/009. - Incluir cláusulas que informen las condiciones del tratamiento, formas de ejercicio de los derechos y, en su caso, requieran el consentimiento de los titulares de los datos, el que podrá ser expresado por medios electrónicos (artículos 9° y 13 de la Ley N° 18.331). Acceder al modelo.
- Inscribir las nuevas bases de datos personales que se generen a partir de la información recolectada. Acceder a la información y acceso a sistema de registro.
- Desarrollar el formulario con el apoyo del delegado de protección de datos personales (artículos 40 de la Ley N° 19.670 y 11 del decreto N° 64/020), así como con las áreas de seguridad de la información y tecnología, en su caso. Acceder al Formulario Tipo.
- Realizar, según el tipo de información recolectada o su volumen, la correspondiente evaluación de impacto en la protección de datos (artículo 12 de la Ley N° 18.331 y 6° y 7° del decreto N° 64/020). Acceder a la Guía para la confección de evaluaciones de impacto.