Dictamen N° 10/020 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 23 de junio de 2020.
VISTO: La consulta realizada ante esta Unidad por tratamiento de datos obtenidos de internet.
RESULTANDO: Que se consulta si determinados datos de obtenidos en páginas amarillas de internet y páginas webs de acceso público, todos provenientes de internet, pueden ser compaginados en un archivo Excel. Adicionalmente, se consulta si es posible poder comprar y vender datos de empresas (nombre, dirección, localidad, teléfono, email).
CONSIDERANDO: I. Que la consulta involucra el tratamiento de datos personales de personas jurídicas, por lo que resulta de aplicación lo dispuesto en la Ley N° 18.331, de 11 de agosto de 2008.
II. Que el artículo 9 bis de la Ley N° 18.331, no incluye a Internet dentro del listado de fuentes públicas o accesibles al público, por lo que los datos de empresas provenientes de páginas amarillas o de otras páginas webs no son datos públicos o accesibles al públicos por el hecho de encontrarse allí publicados. Corresponde evaluar cada página web en función del artículo citado, y en caso de duda, tener presente que la creación de una nueva base de datos deberá realizarse con el previo consentimiento del titular de los datos.
III. Que cuando se recolectan los datos de personas físicas o jurídicas se debe comunicar cuál va a ser la finalidad para dicho tratamiento (artículos 8 y 13 de la Ley N° 18.331). La utilización de datos para otra finalidad, requerirá el previo consentimiento de su titular.
IV. Que en cuanto a la consulta sobre compra y venta de bases de datos, ello se encuentra regulado por el artículo 17 de la Ley N° 18.331 (derecho a la comunicación de datos), en tanto ello implica una cesión de datos a terceros. Para efectivizar dicha cesión se deben dar las circunstancias previstas en el artículo citado, esto es, los datos personales “sólo podrán ser comunicados para el cumplimiento de los fines directamente relacionados con el interés legítimo del emisor y del destinatario y con el previo consentimiento del titular de los datos al que se le debe informar sobre la finalidad de la comunicación e identificar al destinatario o los elementos que permitan hacerlo.”
ATENTO: A lo expuesto.
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
1°. La Ley N° 18.331, de 11 de agosto de 2008 reconoce protección a las personas físicas y jurídicas a través de la protección de sus datos personales (artículos 1° y 2°).
2° Los datos personales que surjan en internet de personas físicas o jurídicas no son datos públicos o datos accesibles al público dado que Internet no es fuente pública de información (artículo 9° bis). Deberá analizarse cada página web para determinar si se encuentra dentro de alguno de los supuestos previstos en el artículo, y en su caso recabar el previo consentimiento del titular de los datos.
3° En todos los casos de utilización de los datos referidos en el numeral anterior deberá considerarse el principio de finalidad (artículo 8°) y asegurar el derecho a la información (artículo 13).
4° La compraventa de bases de datos es una comunicación de datos (cesión a terceros), por lo que debe efectuarse de acuerdo al interés legítimo del emisor y del destinatario, y con el previo consentimiento del titular de los datos -el cual deberá ser informado sobre la finalidad- o al amparo de alguna de las excepciones previstas en el artículo 17 de la Ley.
Fdo: Mag. Federico Monteverde
Consejo Ejecutivo
Unidad Reguladora y de Control de Datos Personales
Expediente: 2020-2-10-0000129