Dictamen N° 19/022 .
VISTO: La solicitud de Amazon Web Services (en adelante AWS) en relación con el análisis de la adecuación de sus cláusulas contractuales a la normativa nacional en protección de datos.
RESULTANDO: I. Que AWS señala que actúa como encargado de tratamiento respecto de clientes en Uruguay, y que el servicio implica una transferencia internacional de datos personales por parte de éstos, dado que tienen ubicados datacenters en diversas jurisdicciones –incluyendo como ejemplos a Estados Unidos de América y Brasil-.
II. Que se agrega en autos el modelo de cláusulas contractuales que gobiernan las transferencias internacionales indicadas, a efectos de solicitar confirmación de que las mismas se adecuan a la normativa vigente de protección de datos personales en Uruguay.
III. Que AWS señala que se limita a tratar los datos según las instrucciones expresas de sus clientes, quienes mantienen la propiedad y control sobre todos los datos que suben a la nube, y son quienes deciden dónde van a almacenar sus datos así cómo las medidas de seguridad adicionales a implementar (encriptación, cifrado, entre otros).
Considerando: I. Que la normativa nacional, en particular el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008, no prevé una autorización genérica de cláusulas contractuales para transferencias internacionales de datos por parte de esta Unidad, sino que ésta se otorga al responsable de tratamiento –o encargado en su caso-, en relación con las solicitudes que cada uno de ellos realice.
II. Que la resolución de este Consejo Ejecutivo N° 41/021 del 8 de setiembre de 2021, contiene una recomendación de cláusulas contractuales mínimas que se deberá tener en cuenta principalmente por el responsable y encargado de tratamiento, a aplicarse especialmente en los casos de transferencias a territorios no adecuados de conformidad con la resolución N° 23/021, de 8 de junio de 2021.
III. Que, del análisis de las cláusulas presentadas, resultaron algunas observaciones que fueron oportunamente aclaradas por AWS por lo cual se estima que las citadas cláusulas se adecuan a la normativa vigente en protección de datos en nuestro país.
IV. Que, sin perjuicio de lo expresado, el responsable o encargado de tratamiento que pretenda realizar una transferencia internacional a territorios no adecuados amparada en las cláusulas referidas en el considerando anterior, deberá requerir la autorización correspondiente, de conformidad con lo dispuesto en el artículo 23 de la Ley N° 18.331.
ATENTO: A lo expuesto
LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
DICTAMINA:
- Indicar que las cláusulas contractuales presentadas por AMAZON WEB SERVICES (AWS) y que se anexan a la presente, se ajustan a la legislación nacional sobre protección de datos personales.
- Indicar que los responsables y encargados de tratamiento que contraten servicios al amparo de las cláusulas citadas, en caso de transferencias internacionales a territorios no adecuados de conformidad con la resolución 23/021, de 8 de junio de 2021, deberán solicitar la autorización correspondiente a esta Unidad en los términos previstos en el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008.
- NOTIFÍQUESE Y PUBLÍQUESE.
Firmado por: Federico Monteverde
Consejo Ejecutivo
URCDP