Dictamen N° 11/020 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE
DATOS PERSONALES
DICTAMEN N° 11/2020
Expediente N° 2020-2-10-0000177
Montevideo, 30 de junio de 2020
VISTO: La consulta sobre la adecuación de los servicios de MICROSOFT CORPORATION (en adelante Microsoft) a la normativa nacional de protección de datos personales.
RESULTANDO:
I. Que Microsoft puso a disposición de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) sus modelos de contratos, consultándose a esta Unidad si estos cumplen con la normativa nacional de protección de datos personales.
CONSIDERANDO:
I. Que los servicios ofrecidos por Microsoft se realizan en general mediante un servicio de Nube, que por radicarse en el exterior, importa una transferencia internacional de datos conforme con lo establecido en el artículo 4° literal h) del Decreto N° 414/009. A este respecto, la Resolución N° 4/019 de esta Unidad establece cuáles son los países adecuados para realizar transferencias internacionales, incluyendo las empresas de Estados Unidos que cumplen con el Privacy Shield (dentro de las que se encuentra MICROSOFT CORPORATION). Por otra parte, Microsoft actúa como encargado de tratamiento, por lo que desarrolla su actividad conforme lo indicado por el responsable de tratamiento.
II. Que de la información puesta a disposición surge que se aplica la ley y la jurisdicción nacional, por lo que se consideran protegidos los derechos de las personas que se encuentren en territorio nacional.
III. Que cuando existen sub-encargados de tratamiento se requiere el previo consentimiento del titular del servicio y se debe enmarcar dentro de un acuerdo que determine los derechos y las obligaciones de cada parte, determinaciones que se encuentran dentro de los modelos de contratos de Microsoft.
IV. Que los servicios prestados por Microsoft cumplen con el Reglamento Europeo de Protección de Datos lo que se considera un factor favorable.
V. Que se detallan las medidas de seguridad que se adoptan a los efectos de mantener en forma los datos personales tratados en este marco, las cuales se consideran adecuadas.
VI. Que con respecto a los derechos de los titulares de los datos existen discordancias con los previstos en la normativa nacional, por lo que se recomienda se adopten cláusulas contractuales que permitan realizar las adecuaciones necesarias.
VII. Que debe considerarse la existencia de una previsión de limitación de responsabilidad en la prestación del servicio, lo que corresponde sea analizado por el co-contratante.
VIII. Que se indica la posibilidad de realizar auditorías externas, lo que se observa como adecuado, sin perjuicio de que se recomienda que se adopten las medidas necesarias para mantener la información de los titulares anonimizada.
IX. Que se cuenta con un protocolo cuando se reciben solicitudes de terceros Estados sobre la información personal, el que se considera adecuado.
ATENTO: a lo expuesto
El Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
1. Indicar que no existe impedimento desde el punto de vista de la protección de datos personales a los efectos de contratar los servicios de Microsoft en tanto se mantengan las previsiones contractuales analizadas.
2. Recomendar tener en cuenta las consideraciones realizadas en el presente dictamen.
3. NOTIFÍQUESE Y PUBLÍQUESE
FDO. FELIPE ROTONDO
CONSEJO EJECUTIVO