Unidad Reguladora y de Control de Datos Personales

Resolución Nº 22/019, de 14 de mayo de 2019

Se resuelve sobre la denuncia  presentada contra una empresa en relación con la comunicación de datos personales a terceros.

CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES

Montevideo, 14 de mayo de 2019

VISTO: La denuncia formulada por el señor Aparicio Grosse contra la empresa CASH S.A.

RESULTANDO:

1. Que la denuncia versa sobre la comunicación de sus datos personales a terceros sin su consentimiento.
2. Que expresa el denunciante que la empresa Cash SA brindó información a su esposa, relativa a deudas, trámites de refinanciación, fechas y retención de sueldo entre otros datos relativos a su persona, brindando aquella únicamente nombre del denunciante y cédula de identidad. Por su parte la empresa denunciada aporta las grabaciones de las llamadas efectuadas.
3. Que surge de los escritos presentados por Cash S.A. (Fs. 15, 29 y 38), y de las grabaciones aportadas, que la operadora, sin corroborar la identidad de su interlocutor (más allá de indicar que la cédula de identidad proporcionada correspondía a un hombre y no a una mujer), brinda información referente al señor Grosse (cuotas, refinanciación, cumplimiento del convenio entre otras informaciones).

CONSIDERANDO:

1. Que se verificó una comunicación de datos en los términos establecidos en los artículos 4° literal B y 17 de la Ley N° 18.331 de 11 de agosto de 2008, así como un incumplimiento del artículo 10 de esta, por cuanto no se han adoptado las medidas de seguridad o establecido procedimientos que garanticen la confidencialidad de la información tendientes a evitar la consulta no autorizada de esta.
2. Que en lo que tiene que ver con el principio de reserva y confidencialidad, precisamente el art. 7° de la Ley referida (Principio de Veracidad)  establece que la recolección de datos no podrá hacerse por medios desleales, fraudulentos, abusivos, extorsivos o en forma contraria a las disposiciones de la Ley.
3. Que específicamente en aplicación de los artículos 7° y 11 de la ley antes referida, aquellas personas físicas o jurídicas que obtuvieron legítimamente información proveniente de una base de datos, están obligadas a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros, lo que en el caso de marras claramente no ocurrió.
4. Que agrega el artículo 11, que las personas que, por su situación laboral u otra forma de relación con el responsable de la base, tuvieren acceso o intervengan en cualquier fase del tratamiento de datos personales, están obligadas a guardar estricto secreto profesional sobre los mismos (artículo 302 del Código Penal), cuando hayan sido recogidos de fuentes no accesibles al público
5. Que en lo que tiene que ver con el previo consentimiento informado, la denunciada señala que el Sr. Grosse ha sido cliente de Cash SA por más de 20 años, hecho que no implica de modo alguno que haya prestado su consentimiento para que otras personas accedan a sus datos personales, verificándose un incumplimiento de lo preceptuado en los artículos precitados. En aplicación del artículo 12 de la ley referida, Cash S.A. es responsable por los incumplimientos señalados.

ATENTO: A lo expuesto e informado,

El Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos

Personales

RESUELVE

1. Sancionar a Cash SA con multa de 6001 unidades indexadas por haber incumplido con las disposiciones de la Ley N° 18.331 de 11 de agosto de 2008, en particular los artículos 5°, 7°, 10, 11 y 12. 
2. Notifíquese, publíquese y oportunamente archívese.

DR. FELIPE ROTONDO

URCDP