Unidad Reguladora y de Control de Datos Personales

VISTO: La consulta presentada por los Dres. María Balsa y Andrés Saravia con respecto a distintas cuestiones vinculadas a la protección de datos personales.

RESULTANDO: Que los consultantes plantean a la Unidad las siguientes preguntas: “1) Respecto al Privacy Shield y su anulación por sentencia de la Corte de Justicia respecto a la Unión Europea, lo que vuelve a EEUU un país no adecuado para la transferencia internacional de datos con el mencionado bloque ¿Qué posición adopta o mantiene entonces Uruguay respecto a la Resolución 4/019? Porque realmente nos deja esta intriga a la fecha de hoy. 2) En cuanto al caso de mecanismos de control de asistencia que utilicen datos biométricos, que requieren evaluación de impacto ¿Hay algún dictamen respecto a la ponderación de la necesidad o eficiencia de dicho mecanismo de control en relación a otras medidas alternativas de control de asistencia que podría adoptar la empresa? ¿Qué medidas de seguridad se están exigiendo en éstos casos? 3) ¿Cuándo se consideran a los efectos de la evaluación de impacto y de la designación de un delegado de protección de datos que la empresa maneja los datos sensibles como “negocio principal”?”

CONSIDERANDO: I. Que con referencia a la pregunta 1) el Consejo Ejecutivo de la Unidad ha resuelto que cada vez que se realice una transferencia internacional de datos personales, además de lo establecido en el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 y el Decreto 414/009, de 31 de agosto de 2009, se tenga presente lo dispuesto en la Resolución N° 23/021 de 8 de junio de 2021, de la que surgen cuáles son los países adecuados para la realización de estas transferencias internacionales. Asimismo, y cuando corresponda, deberá considerarse la Resolución N° 41/021, de 8 de setiembre de 2021, que recomienda a los responsables y encargados de bases o tratamiento la adopción de cláusulas contractuales -desarrolladas en su Anexo-, indicando que su contenido es un mínimo indispensable que deben contener los contratos a suscribir entre estos.

II. Que con respecto a la pregunta 2), se estableció que la evaluación de impacto en protección de datos personales es un proceso que las entidades públicas o privadas realizan para identificar y tratar los riesgos que pueden producir sus actividades habituales, sus proyectos o sus políticas corporativas, siempre que estas involucren el tratamiento de datos personales. La Unidad no se ha pronunciado respecto a si estos son más eficientes y eficaces para la finalidad de control de asistencia, siendo dicha ponderación una obligación del responsable de la base de datos. De igual forma le compete al responsable, la realización de una evaluación de impacto (artículo 18 bis de la Ley N° 18.331), con especial consideración de las medidas de seguridad necesarias para prevenir y mitigar vulneraciones en la seguridad de los datos personales.

III. Que, con respecto a la pregunta indicada en el considerando anterior, la Unidad ha elaborado una Guía de Evaluación de Impacto de Datos Personales y una Guía para la comunicación de Vulneraciones de Seguridad de los Datos Personales, en base a lo dispuesto en el Decreto N° 64/020, de 17 de febrero de 2020, ambas disponibles en el su sitio web.

IV. Que en cuanto a la pregunta 3), cuando la norma hace mención a: “datos sensibles como su negocio principal”, refiere a aquéllas tareas o funciones que están relacionadas con sus actividades primarias y no con el tratamiento de sus datos personales como actividades auxiliares.

ATENTO: a lo expuesto y establecido en los artículos, resoluciones y guías mencionados anteriormente

El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales

DICTAMINA:

1°. En lo que respecta a las transferencias internacionales de datos hacia los Estados Unidos de América, corresponde estar a lo establecido en el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008, el Decreto N° 414/009, de 15 de setiembre de 2009, la Resolución de este Consejo N° 23/021, de 8 de junio de 2021 y en caso de corresponder, la Resolución de este Consejo N° 41/021, de 8 de setiembre de 2021.

2° En lo que respecta a las restantes interrogantes planteadas en la consulta se recuerda a los consultantes que en función de lo establecido en el artículo 12° de la Ley N° 18.331, de 11 de agosto de 2008, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018, corresponde a los responsables la valoración del cumplimiento de los principios de la ley y de los riesgos asociados al tratamiento que se pretende para cada caso concreto, lo que deberá demostrarse en todos los casos cuando ello sea requerido por la Unidad, y reflejarse en determinados casos en las evaluaciones de impacto impuestas por la normativa vigente,.

3° En lo restante, estese a lo informado y a lo indicado en los considerandos del presente dictamen.

Fdo: Mag. Federico Monteverde

Consejo Ejecutivo

URCDP