Protección de datos personales
Cambios en la legislación sobre protección de datos personales
Informes
En enero de 2019 entró en vigencia la Ley de Rendición de Cuentas N° 19.670, que incorpora modificaciones a la legislación nacional sobre protección de datos personales con el objetivo de ofrecer mayores garantías a la población uruguaya.
En octubre de 2018 fue promulgada la Ley de Rendición de Cuentas N°19.670, vigente desde enero de 2019, que incorporó modificaciones a la normativa de protección de datos personales en Uruguay mediante sus artículos 37 a 40.
Estos cambios tuvieron como objetivo actualizar y fortalecer el marco legal nacional, alineándolo con los nuevos desarrollos internacionales en la materia y brindando mayores garantías a las personas para la protección de sus datos personales, así como para el ejercicio de sus derechos vinculados a la privacidad y al tratamiento de la información.
Cambios normativos sobre protección de datos personales
- Ampliación del ámbito de aplicación de la Ley de Protección de Datos Personales: anteriormente, la Ley de Protección de Datos Personales N° 18.331 se aplicaba al tratamiento de datos personales cuando el responsable o encargado de una base de datos se encontraba radicado y desarrollaba su actividad en territorio uruguayo, o cuando en dicho tratamiento se utilizaban medios situados en el país. A partir de las modificaciones, la normativa también resulta aplicable fuera de las fronteras nacionales cuando las actividades de tratamiento estén relacionadas con la oferta de bienes y servicios dirigidos a habitantes de Uruguay, involucren el análisis de su comportamiento, o cuando así lo dispongan normas de derecho internacional o un contrato.
- Nuevas obligaciones para responsables y encargados de bases de datos: a partir de las modificaciones introducidas por la legislación, cuando el responsable o encargado de una base de datos tome conocimiento de una vulneración de seguridad que afecte dicha base, deberá comunicarlo de forma inmediata, junto con las medidas adoptadas, tanto al titular de los datos como a la URCDP, organismo que coordinará con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy) las acciones a seguir.
- Modificaciones al “principio de responsabilidad”: el artículo 39 de la Ley de Rendición de Cuentas sustituye el antiguo artículo 12 de la Ley N.° 18.331 de Protección de Datos Personales e introduce cambios al “principio de responsabilidad”, estableciendo que tanto el responsable como el encargado de una base de datos serán responsables por la violación de las disposiciones previstas en la ley. Asimismo, la redacción dispone que responsables y encargados deberán adoptar las medidas técnicas y organizativas que correspondan, tales como privacidad desde el diseño, privacidad por defecto y evaluación de impacto a la protección de datos, entre otras, con el fin de garantizar la adecuada protección de los datos personales.
- Creación de la figura del “delegado de protección de datos”: la normativa vigente establece que las entidades públicas y aquellas entidades privadas que traten grandes volúmenes de datos o datos sensibles como parte de su actividad principal deberán incorporar de forma obligatoria la figura del “delegado de protección de datos”. Entre sus funciones se encuentran asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales, supervisar el cumplimiento de la normativa y proponer las medidas necesarias para adecuarse a las disposiciones legales y a los estándares internacionales en la materia, así como actuar como nexo entre la entidad y la URCDP.