Dictamen N° 24/023 .
VISTO: La consulta presentada por la Administración de Obras Sanitarias del Estado (OSE)
RESULTANDO: I. Que se presenta ante esta Unidad OSE e indica que Equifax S.A., con quien posee un contrato vigente, se encuentra en un proceso de transformación de negocios a nivel global, lo que implica la migración de la actual infraestructura en Uruguay hacia tecnología Cloud en GCP (Google Cloud Platform), localizada en Canadá.
II. Que ante el envío para revisión por parte de Equifax de un documento en modo borrador denominado “Modificación de servicios”, la Oficina Jurídico Notarial de OSE realizó un informe en el que requirió que previamente a la celebración de la migración, se acredite el acuerdo celebrado con Google, la fecha de realización y las acciones a realizar, entre otras. Frente a esta solicitud, Equifax contestó que no es posible enviar el contrato firmado con Google, por razones de confidencialidad.
III. Que, en función de lo indicado, OSE remite la presente consulta a afectos de conocer si es viable la firma de dicho contrato de modificación de servicios sin haber podido acceder al contrato entre Google y su encargada.
CONSIDERANDO: I. Que en el presente caso se está ante la presencia de una eventual transferencia internacional a una empresa situada en el sector privado de Canadá, de conformidad con lo indicado en obrados. Resulta de aplicación en consecuencia lo establecido en el artículo 17° de la Ley N° 18.331, de 11 de agosto de 2008.
II. Que las condiciones para el tratamiento de la información son responsabilidad del responsable –en el caso OSE- y es quien debe arbitrar los mecanismos que aseguren el debido cumplimiento de las obligaciones en la materia, tanto con sus encargados como con eventuales sub-encargados, todo en el ejercicio de una responsabilidad proactiva de conformidad con lo previsto en el artículo 12 de la Ley N° 18.331, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
- Indicar a OSE que es su responsabilidad determinar si el servicio ofrecido por su encargado brinda las garantías suficientes para el tratamiento de los datos personales. En el caso concreto, si no puede acceder al contrato original por razones de confidencialidad, pueden buscarse medios alternativos que ofrezcan los mismos niveles de seguridad, lo que en los hechos fue ofrecido por Equifax en obrados.
- Como corolario de lo anterior, señalar que en el caso de que OSE -como responsable de tratamiento- desee contratar a otra empresa como encargado de tratamiento, debe establecer en las condiciones de contratación aquellas que considera indispensables en la materia, incluyendo las que refieren al alojamiento de los datos y la subcontratación de servicios.
- Señalar que la normativa de protección de datos no impide la transferencia internacional de datos a sub encargados de tratamiento, pero en todos los casos deberá tenerse presente lo previsto en el artículo 17 in fine de la Ley N° 18.331, de 11 de agosto de 2008.
- NOTIFÍQUESE Y PUBLÍQUESE.
Firmado por: Federico Monteverde
Consejo Ejecutivo
URCDP