Unidad Reguladora y de Control de Datos Personales

VISTO: La consulta presentada por la Dirección General de Fiscalización de Empresas (en adelante DIGEFE) del Ministerio del Interior. 

RESULTANDO: I. Que la consultante se presenta a efectos de solicitar la opinión de esta Unidad con respecto a aquellas empresas que intentan brindar servicios de seguridad electrónica en Uruguay, con su central de monitoreo instalada en otro país, sin representación ni respuesta presencial en territorio nacional.

II. Que, en particular, DIGEFE solicita conocer las condiciones que deberían cumplir estas empresas en materia de protección de datos personales.

CONSIDERANDO: I. Que, desde la perspectiva de protección de datos personales, las empresas al prestar servicios de videovigilancia realizan tratamiento de datos personales de sus clientes y de las personas que son captadas por sus sistemas de videovigilancia. En ese sentido, si resuelven con respecto a la finalidad de tratamiento son considerados responsables, y si lo hacen por cuenta de sus clientes son encargados, de conformidad con lo dispuesto en el art. 4° de la Ley N° 18.331, de 11 de agosto de 2008.

II. Que los responsables y encargados fuera del territorio nacional se encuentran sometidos a la ley uruguaya si se encuentran dentro de alguna de las hipótesis previstas en el art. 37 de la Ley N° 19.670, de 15 de octubre de 2018. Esta norma indica, entre otras causales, que cuando las actividades de tratamiento están relacionadas con la oferta de bienes y servicios dirigidos a habitantes de la República o con el análisis de su comportamiento se deberá dar cumplimiento a lo dispuesto en la Ley N° 18.331, normativa complementaria y concordante.

III. Que, por su parte, el Decreto N° 64/020 indica que este aspecto se apreciará a través de elementos tales como el uso de idioma, la referencia al pago en moneda nacional o la provisión de servicios conexos en territorio uruguayo. Además, la citada norma establece en su artículo 2° que los responsables y encargados de tratamiento, en su caso, deberán dar cumplimiento a las obligaciones previstas en la Ley N° 18.331, de 11 de agosto de 2008, y modificativas, incluyendo el registro de sus bases de datos y brindando la información de contacto correspondiente ante la Unidad Reguladora y de Control de Datos Personales (subrayado de la informante).

IV. Que en cuanto al alojamiento de las bases de datos en servicios que se encuentran en el exterior, se debe considerar que se trata de casos de transferencias internacionales por lo que deberá estarse al régimen dispuesto en el art. 23 de la Ley N° 18.331.

V. Que, asimismo, se debe considerar que la Resolución N° 23/021 de esta Unidad identifica los países u organizaciones considerados adecuados para las transferencias internacionales. Por tanto, se deberá considerar el país donde se encuentra alojada la información personal a los efectos de determinar si ésta cumple o no con los requisitos legales establecidos en Uruguay

ATENTO: a lo expuesto e informado,

El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales

DICTAMINA:

1. Las empresas que prestan servicios de videovigilancia y realizan tratamiento de datos personales de sus clientes y de las personas que son captadas por sus sistemas serán considerados responsables o encargados según lo dispuesto en los literales H y K del art. 4° de la Ley N° 18.331, de 11 de agosto de 2008.
2. En cualquiera de los casos –responsables o encargados-, aun cuando se encuentren fuera del territorio nacional, se encuentran sometidos a la ley uruguaya en las hipótesis previstas en el art. 37 de la Ley N° 19.670, de 15 de octubre de 2018. En el caso concreto, a través de la prestación de un servicio para habitantes del Uruguay.
3. El artículo 2° del decreto N° 64/020, de 17 de febrero de 2020 indica que los responsables y encargados de tratamiento, en su caso, deberán dar cumplimiento a las obligaciones previstas en la Ley N° 18.331, incluyendo el registro de sus bases de datos y brindando la información de contacto correspondiente ante la Unidad Reguladora y de Control de Datos Personales.
4. En el caso de que la empresa de seguridad en el exterior actúe como encargada de tratamiento, el responsable en territorio nacional deberá además proceder a la inscripción o actualización de la base de datos correspondiente, señalando tal extremo.
5. El alojamiento de las bases de datos en una nube en el exterior constituye una transferencia internacional de datos, por lo que deberá estarse al régimen dispuesto en el art. 23 de la Ley N° 18.331 y la Resolución N° 23/021 de este Consejo Ejecutivo.

6. NOTIFÍQUESE Y PUBLÍQUESE

Fdo: Mag. Federico Monteverde

Consejo Ejecutivo

URCDP