Unidad Reguladora y de Control de Datos Personales

CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES

Montevideo, 8 de setiembre de 2021.

VISTO: Las consultas relacionadas con protección de datos personales presentadas por G4S.

RESULTANDO: Que G4S realiza algunas consultas relacionadas con el almacenamiento y tratamiento de datos personales, en concreto: 1: ¿Dónde se pueden alojar las Bases de Datos en el extranjero? 2: Más allá de la migración a la nube, ¿Debemos siempre tener una réplica de la Base de Datos dentro del territorio Uruguayo? ¿Qué tipo de trámite y documentación debe realizarse? 3: En caso de tener una BD local, ¿Puede estar en un servicio de Hosting dentro del territorio? ¿Qué tipo de trámite y documentación debe realizarse? 4: Para el caso de las Bases de Datos externas que son gestionadas por un tercero extranjero, ¿Qué tipo de trámite y documentación se debe realizar?

CONSIDERANDO:  I. Que respecto a la primera  pregunta se debe partir de concepto de transferencia internacional de datos regulada en el art. 4° literal h) del Decreto N° 414/009, de 31 de octubre de 2009. El artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008, regula como principio la prohibición de transferencias de datos personales de cualquier tipo con países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo a los estándares del derecho internacional o regional en la materia. Esta norma establece los casos en los cuáles no rige esta prohibición como ser la existencia de cooperación judicial internacional, intercambio de datos de carácter médico, consentimiento de titular, entre otros. Esta normativa se complementa con lo dispuesto en la Resolución N° 4/019, de 12 de marzo de 2019, por lo que, a los efectos de alojar información personal en el exterior.

II. Que en relación con la segunda consulta se debe tener presente que a los efectos de la aplicación de la Ley se deberá estar al ámbito territorial regulado en el art. 37 de la Ley N° 19.670, de 15 de octubre de 2018, que indica que la normativa uruguaya se aplica a los tratamientos en territorio nacional y prevé además su aplicación extraterritorial en determinados casos puntuales. Esta norma fue reglamentada por los arts. 1° y 2 del Decreto N° 64/020, de 17 de febrero de 2020. En relación con la necesidad de contar con una réplica de la base de datos dentro del territorio nacional, se debe indicar que no existe ninguna normativa que exija el alojamiento en territorio nacional. En cuanto a los requisitos legales, si se posen bases de datos con información personal, se debe proceder a la inscripción del registro de la base de datos ante esta Unidad a través de sistema de registro, y declarar la ubicación física de la base de datos y las transferencias internacionales que se realicen.  Si la transferencia se realiza a países no adecuados, se deberá proceder a solicitar autorización ante esta Unidad.

III. Que, en relación con la tercera pregunta, se debe indicar que es posible la realización de hosting dentro del territorio nacional, lo que deriva de una relación entre un responsable y un encargado de tratamiento y por referirse a un tratamiento de datos conforme con lo establecido en la normativa vigente (art. 4° literal m de la Ley N° 18.331). En este sentido, se recomienda que se cuente con un contrato que establezca los derechos y obligaciones de cada una de las partes y que, en el momento del registro de las bases de datos se informe la existencia del o los encargados de tratamiento y, eventualmente, del servicio de hosting.

IV. Que, en relación con la cuarta pregunta, se deberá estar a lo dispuesto en el art. 37 de la Ley N° 19.670, y el decreto reglamentario N° 64/020, que establecen el ámbito territorial de la normativa de protección de datos personales. Por tanto, si las bases de datos se encuentran en el extranjero, pero su tratamiento ingresa dentro de algunas de las hipótesis establecidas en el art. 37 de la Ley N° 19.670, se deberá dar cumplimiento a las obligaciones de protección de datos establecidas en la normativa vigente. Se aclara que si los datos personales solamente se encuentran en tránsito en este caso se deberá proceder a designar un representante en el territorio nacional.

ATENTO: a lo expuesto e informado,

El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales

DICTAMINA:

1. Indicar que con respecto a las consultas concretas del solicitante deberá estarse a la normativa indicada en los considerandos del presente dictamen.

2. NOTIFÍQUESE Y PUBLÍQUESE

Fdo: Dr. Felipe Rotondo

Consejo Ejecutivo

URCDP