Unidad Reguladora y de Control de Datos Personales

VISTO: La consulta presentada por la empresa MOVI con respecto a la adecuación de determinado producto a las normas en materia de protección de datos personales.

RESULTANDO: I. Que se presenta ante esta Unidad la empresa MOVI a los efectos de consultar las acciones a adoptar en materia de protección de datos personales respecto de un producto denominado DINABANG, dispositivo portable e inalámbrico que hace un seguimiento de ejercicios con bandas elásticas o elementos inextensibles y se utiliza para la rehabilitación mediante un seguimiento de la mejora progresiva de la fuerza y velocidad del paciente. Indica la empresa que también se pretende utilizar en el ámbito deportivo para realizar ejercicios que imitan el gesto deportivo.

II. Que la aplicación cuenta con diversas funcionalidades que contribuyen a la prevención de lesiones y a la seguridad durante el entrenamiento. Además, DINABANG tiene una aplicación para Android e iOS en la que permite registrar información del paciente como nombre, edad, género altura y masa. A ello se agrega que se pueden registrar valores de velocidad, fuerza y ángulo realizados durante los ejercicios y que esta información es almacenada para que el profesional pueda hacer seguimiento de la mejora del individuo. El objetivo es contar con datos sensibles de los usuarios en una base de datos para que el profesional pueda acceder a los mismos desde cualquier dispositivo móvil.

III. Que el consultante detalla las implementaciones a realizar en relación con protección de datos personales y de esta forma indican que esperan estar cumpliendo con esta normativa.

CONSIDERANDO: I. Que para implementar la pretendida aplicación, se requiere la adopción de determinadas acciones en materia de protección de datos, muchas de las cuales ya fueron previstas por la empresa consultada. 

II. Que si el dispositivo es utilizado en el marco de telemedicina, MOVI se convierte en un encargado de tratamiento siendo la institución médica la responsable y quien debe dar cumplimiento a las obligaciones legales. En esta hipótesis se recomienda la adopción de un contrato con las instituciones que utilizarán el dispositivo para determinar los derechos y obligaciones de cada parte. En cambio, si dispositivo es utilizado directamente por la persona, entonces MOVI será responsable, con las correspondientes obligaciones asociadas.

III. Que conforme con lo detallado en relación con la consulta, se recopilarán datos personales tanto generales (nombre, edad, género altura y masa) como sensibles (datos de rehabilitación).  De acuerdo con el principio de legalidad indicado en el artículo 6° de la Ley N° 18.331, de 11 de agosto de 2008, se debe proceder a la inscripción de las bases de datos que se generen.

IV. Que en cuanto al alojamiento de la información se deberá dar cumplimiento al artículo 23 de la citada Ley. En este sentido se ha puesto en conocimiento de esta Unidad que “Se utilizará una base de datos de AWS (Amazon) en un país bajo las "Standard Contractual Clauses", en principio en Alemania o Canadá. Esta base de datos almacenará tanto la información del usuario como de las sesiones realizadas”. En este sentido la transferencia se basa en cláusulas contractuales tipo por lo que se encuentra amparada por la normativa vigente, siempre que sean presentadas y aprobadas por la Unidad.

V. Que de acuerdo con el artículo 9° de la Ley, se requiere recabar el consentimiento de los titulares en forma libre, previa, expresa e informada y debe ser documentado. Este aspecto también se encuentra contemplado dentro de las previsiones del responsable, en tanto indica que el consentimiento en todos los casos debe ser firmado en forma previa al uso de la aplicación. Si se trata de una relación donde MOVI es la encargada el registro debe ser llevado por el responsable, excepto que contractualmente se estipule de otra forma. Si MOVI es responsable debe ser quien lleve el registro de los consentimientos.

VI. Que deberán cumplirse además con los restantes principios en materia de protección de datos personales (artículos 7° y 8° de la Ley N° 18.331), y en especial el artículo 10 (seguridad de los datos).

X. Que se requiere la incorporación de una política de privacidad que explique el tratamiento de datos personales y el cumplimiento de la normativa de protección de datos personales. Este aspecto ya se encuentra abordado por el consultante, recomendándose que ésta se aplique no sólo cuando la aplicación se utiliza en el marco de telemedicina por prescripción médica y bajo la responsabilidad de la institución de salud, sino también cuando MOVI es responsable de tratamiento.

XI. Que en lo que respecta a los derechos de los titulares (artículos 13 a 16), se recomienda la adopción de procesos internos que permitan el ejercicio de estos derechos o coordinados con el responsable que utilizará la aplicación.

XII. Que en forma complementaria se recuerda que, más allá de estos aspectos concretos, se deberá dar cumplimiento a toda la normativa de protección de datos personales con carácter general, en especial por el tipo de datos tratados, aquellas vinculadas a la responsabilidad proactiva (artículo 12 de la Ley N° 18.331, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018, y decreto N° 64/020, de 17 de febrero de 2020).

ATENTO: a lo expuesto e informado,

El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales

DICTAMINA:

1. Indicar al consultante que deberá dar cumplimiento a lo dispuesto en este dictamen, y en el informe que resulta de obrados, el que se considera parte integrante del presente.

2. NOTIFÍQUESE Y PUBLÍQUESE

Fdo: Mag. Federico Monteverde

Consejo Ejecutivo

URCDP