Guía para el cumplimiento de obligaciones por entidades extranjeras

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Obligaciones de los responsables y encargados de tratamiento situados en el exterior, pero alcanzados por la normativa

 

El artículo 2° del decreto N° 64/020, establece que los responsables y encargados de tratamiento, en su caso, deberán dar cumplimiento a las obligaciones previstas en la Ley N° 18.331, de 11 de agosto de 2008, y modificativas, incluyendo el registro de sus bases de datos y brindando la información de contacto correspondiente ante la Unidad Reguladora y de Control de Datos Personales. 

En función de ello, son obligaciones de estos responsables y encargados:

  1. Cumplir con los principios establecidos por la normativa de protección de datos personales según lo establecido en los artículos 7° a 12 de la Ley N° 18.331 y su normativa reglamentaria y complementaria: principios de veracidad, finalidad, previo consentimiento informado, seguridad de los datos, reserva y responsabilidad proactiva.

  2. Cumplir con los requisitos necesarios para que los titulares de los datos puedan ejercer sus derechos según los artículos 13 a 17 de la Ley N° 18.331 y su decreto reglamentario: derechos de información, acceso, actualización, rectificación, inclusión, supresión, impugnación de valoraciones personales y los referentes a la comunicación de datos.

  3. Adoptar medidas de privacidad desde el diseño para el tratamiento de los datos personales contenidos en la base de datos: desde el comienzo el responsable de los datos o del tratamiento debe velar porque los datos personales recolectados sean tratados acorde a los principios y derechos que establece la normativa uruguaya (artículos 5° a 7° del decreto N° 64/020).

  4. Realizar evaluaciones de impacto si se encuentra alcanzado por las hipótesis establecidas en el artículo 6° del decreto N° 64/020, para lo cual puede utilizarse la Guía de evaluación de impacto

  5. Registrar sus bases de datos en el Sistema de gestión que lleva la Unidad Reguladora y de Control de Datos Personales de acuerdo con lo establecido en el artículo 6° de la Ley N° 18.331 y los decretos N° 664/008, de 22 de diciembre de 2008 y 414/009, de 31 de agosto de 2009. La inscripción de la base de datos se puede realizar en forma totalmente online a través del sitio web de la Unidad.

  6. Designar y comunicar el Delegado de Protección de Datos Personales si corresponde, según lo dispuesto en el artículo 40 de la Ley N° 19.670 y el artículo 10 a 15 del decreto N° 64/020, a través del sitio web de la Unidad.

  7. Adoptar políticas de privacidad en su sitio web de conformidad con la Resolución del Consejo Ejecutivo de la Unidad N° 64/013, de 16 de mayo de 2013.

  8. Comunicar eventuales vulneraciones de seguridad que afecten datos personales de personas situadas en Uruguay en las condiciones y dentro de los plazos previstos en el artículo 38 de la Ley N° 19.670 y los artículos 3° y 4° del decreto N° 64/020.