Cambios recientes a legislación sobre Protección de Datos Personales en Uruguay
Informes
En octubre de 2018 fue promulgada la Ley de Rendición de Cuentas N°19.670, vigente desde enero de 2019, la cual contiene cuatro artículos que incorporan importantes modificaciones a la normativa de Protección de Datos Personales en Uruguay.
Dichos cambios tienen el objetivo de alinear la legislación nacional con los nuevos desarrollos en la materia, ofreciendo así mayores garantías a las personas para la protección de sus datos personales.
Los cambios a la legislación sobre Protección de Datos Personales (introducidos por los artículos 37 a 40 de la Ley de Rendición de Cuentas) son los siguientes:
Ampliación del ámbito de aplicación de la Ley de Protección de Datos Personales
Anteriormente, la Ley de Protección de Datos Personales N° 18.331 se aplicaba al tratamiento de datos personales en caso de que el responsable o encargado de una base de datos estuviera radicado y ejerciera su actividad en territorio uruguayo o si en el tratamiento de los datos se utilizaban medios situados en el país. Ahora, dicha normativa regirá también fuera de las fronteras del país en caso de que las actividades del tratamiento están relacionadas con la oferta de bienes y servicios dirigidos a habitantes de Uruguay o que involucren el análisis de su comportamiento, o si así lo disponen normas de derecho internacional o un contrato.
Nuevas obligaciones para responsables y encargados de bases de datos
A partir de la nueva legislación, cuando el responsable o encargado de una base de datos tome conocimiento de que se ha vulnerado la seguridad de dicha base, deberá informarlo de inmediato, conjuntamente con las medidas adoptadas, tanto al titular de los datos como a la URCDP, quien coordinará con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy) los pasos a seguir.
Modificaciones al “principio de responsabilidad”
El artículo 39 de la Ley de Rendición de Cuentas sustituye el antiguo artículo 12 de la Ley 18.331 de Protección de Datos Personales. La nueva redacción impone modificaciones al “principio de responsabilidad”, estableciendo que tanto el responsable como el encargado de una base de datos son responsables de la violación de las disposiciones de la ley. Asimismo, la normativa establece que responsables y encargados de bases de datos deben adoptar las medidas técnicas y organizativas que correspondan (privacidad desde el diseño, privacidad por defecto, evaluación de impacto a la protección de datos, etc.) para asegurar su protección.
Creación de la figura del “delegado de protección de datos”.
La normativa hoy vigente establece que las entidades públicas y las privadas que traten grandes volúmenes de datos o datos sensibles como negocio principal deben incorporar obligatoriamente la figura del “delegado de protección de datos”. Este tendrá entre sus funciones asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales; supervisar el cumplimiento y proponer las medidas pertinentes para adecuarse a la normativa y a los estándares internacionales en la materia y actuar como nexo entre su entidad y la URCDP.
Links de interés
Acceder al texto completo de la Ley de Rendición de Cuentas N°19.670