Dictamen N° 2/021 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 23 de febrero de 2021
VISTO: La consulta presentada por la Corporación Vial del Uruguay S.A. (en adelante CVU), acerca de la posibilidad de proporcionar al Banco de Seguros del Estado (en adelante BSE), datos actualizados de los clientes que tienen en común.
RESULTANDO: I. Que el BSE realizó una verificación de los vehículos en su base de datos que no hacen uso del beneficio del telepeaje que brinda CVU, a cuyos titulares pretende ofrecerles dicho servicio. Por su parte, CVU posee datos personales actualizados (correo electrónico y celular) de clientes en común entre ambas instituciones.
II. Que como contrapartida del ofrecimiento del servicio de telepeaje, BSE solicita a CVU que le proporcione los correos electrónicos y celulares de los clientes en común, frente a lo cual se solicita el pronunciamiento de esta Unidad.
CONSIDERANDO: I. Que los datos personales que los usuarios han proporcionado a cada una de las instituciones han sido para el fin que fueron recolectados (art. 8° de la Ley N° 18.331, de 11 de agosto de 2008).
II. Que la comunicación de datos personales se encuentra prevista en el artículo 17 de la Ley N° 18.331, siendo necesario la existencia de un interés común entre emisor y destinatario de los datos, y además, el previo consentimiento informado o encontrarse en el marco de alguna de las excepciones previstas en el artículo previstas.
III. Que sin perjuicio del interés común, no se observa en el caso planteado el encuadre en ninguna de las hipótesis mencionadas en el artículo 17, por lo que deberá recabarse para la comunicación de datos el previo consentimiento informado de los titulares de los datos.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
1° La comunicación objeto de esta consulta no se encuentra comprendida en ninguna de las excepciones establecidas en el artículo 17 de la Ley N° 18.331, de 11 de agosto de 2008, por lo que es necesario el consentimiento previo de los titulares de los datos.
2° La actualización de los datos obrantes en bases de datos es responsabilidad de los responsables y encargados en su caso, y para ello deben implementarse mecanismos y procedimientos adecuados y respetuosos de los principios de la protección de datos personales (en especial los previstos en los artículos 7°, 8° y 12 de la Ley N° 18.331, de 11 de agosto de 2008 –este último en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018-).
3° NOTIFÍQUESE Y PUBLÍQUESE.
Fdo: DR. FELIPE ROTONDO TORNARÍA
Consejo Ejecutivo
URCDP
Expediente N° 2020-2-10-0000