Dictamen N° 3/021 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 23 de marzo de 2021
VISTO: La consulta presentada el señor Gonzalo Carozo en representación de KSI.
RESULTANDO: I. Que se presenta KSI ante esta Unidad a los efectos de informar sobre un nuevo emprendimiento presentado para financiamiento de la ANII y de ANDE.
II. Que el proyecto se basa en utilizar las imágenes captadas por las cámaras de videovigilancia instaladas en locales comerciales para, mediante un proceso de disociación de datos que utiliza inteligencia artificial, obtener información de tipo estadístico sobre comportamientos generales dentro del local.
III. Que las imágenes obtenidas por las cámaras no son almacenadas a estos efectos, ni por el cliente ni por KSI, ya que una vez captadas ingresan en forma inmediata a un proceso de disociación siendo imposible revertirlas de modo de saber a qué persona corresponde al dato genérico obtenido. Se aclara que la información disociada será enviada a una nube en un país con estándares adecuados en materia de protección de datos y se observarán las medidas de seguridad necesarias para que los datos personales no puedan ser revertidos u obtenidos por terceros no autorizados.
IV. Que conforme con el esquema planteado, el local comercial es el responsable de la información en la medida que las cámaras son las que ya se encuentran instaladas, las imágenes son procesadas por el ordenador del cliente, y éste es el propietario de los datos obtenidos, en tanto KSI no accede a la información personal. A los efectos de conocer en forma más detallada como opera el software agregan documentos técnicos.
V. Que se consulta específicamente al deber de informar al cliente acerca del hecho de sus imágenes están siendo captadas por las cámaras de videovigilancia y sobre las finalidades de dicha captación. En ese marco hacen referencia a la aplicabilidad de las normas de videovigilancia (logo y registro de base de datos), y en particular, la necesidad de conocer si el logo aprobado por esta Unidad puede contener información de la existencia de otros fines legítimos.
VI. Que con la consulta presentada, se solicitó asesoramiento técnico para la evaluación de los documentos presentados, de las cuales surgieron algunas dudas adicionales que fueron evacuadas. Se solicitó opinión del Área de Seguridad de la Información de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento, quien se manifiesta conforme con las explicaciones técnicas planteadas (fs. 30 a 42).
CONSIDERANDO: I. Que en el caso se trata de un software que se aplica sobre las imágenes captadas por las cámaras de videovigilancia, procesa éstas de forma de anonimizar a las personas, y con la información obtenida se realizan evaluaciones. Resulta por tanto de aplicación la Ley N° 18.331, de 11 de agosto de 2008, normativa concordante y complementaria.
II. Que es necesario determinar si se está ante la presencia de un tratamiento lícito y en este sentido, el principio de legalidad (artículo 6° de la Ley) indica que “La formación de bases de datos será lícita cuando se encuentren debidamente inscriptas, observando en su operación los principios que establecen la presente ley y las reglamentaciones que se dicten en consecuencia. Las bases de datos no pueden tener finalidades violatorias de derechos humanos o contrarias a las leyes o a la moral pública”. En este caso, la finalidad es obtener información estadística a partir del análisis de datos disociados de las personas que ingresan a los locales comerciales (finalidad comercial), por lo que se trata es una actividad normal en el ámbito comercial, no prohibida por ley.
III. Que es de especial transcendencia dar cumplimiento al principio de veracidad, en su vertiente de proporcionalidad, en cuanto a que los datos tratados solamente deben ser los mínimos necesarios para realizar el tratamiento (art. 7° de la Ley). En ese marco, se debe instrumentar un medio efectivo de informar a las personas sobre este tratamiento de datos en cumplimiento de lo establecido en el art. 13 de la Ley N° 18.331.
IV. Que el tratamiento realizado en este caso no tiene como fin la videovigilancia en el sentido de seguridad privada, ni tiene una finalidad conexa a ella, por lo que no resulta viable utilizar los logos de videovigilancia como medio de informar, en tanto la población reconoce que estos logos se implementan con fines de seguridad, lo que lleva a que las personas de por sí entiendan que solamente existe un tratamiento de los datos con esta finalidad (artículo 8° de la Ley).
V. Que en el marco de la responsabilidad proactiva (artículo 12 de la Ley), se deberán desarrollar medios efectivos y fácilmente diferenciables para que las personas conozcan de la existencia de este tratamiento. Asimismo, se debe contar con medios efectivos para el ejercicio del resto de los derechos de la protección de datos personales.
VI. Que se debe determinar además el tiempo de conservación de este tipo de información conforme con el principio de finalidad (artículos 7° y 8° de la Ley).
VII. Que el propietario de la información y quien dispone de los datos personales para realizar el tratamiento es el propietario del local, responsable del tratamiento de acuerdo con lo dispuesto en el art. 4° literal k) de la Ley N° 18.331. KSI tiene la calidad de encargado de tratamiento en tanto pone a disposición del propietario del local los medios necesarios para el tratamiento de los datos, trabajando por cuenta y nombre del responsable.
VIII. Que los responsables deberán proceder a inscribir un registro de base de datos en forma independiente al de videovigilancia en tanto se trata de una finalidad distinta debiendo en el registro consignar especialmente la procedencia de los datos, el tiempo de conservación de éstos y la existencia de encargados de tratamiento
IX. Que en cuanto al proceso de disociación se indica que según el literal g) del art. 4° de la Ley N° 18.331 se trata de “todo tratamiento de datos personales de manera que la información obtenida no pueda vincularse a persona determinada o determinable”. En tanto la disociación puede ser un proceso reversible, se deben realizar auditorías periódicas que aseguren que no se pueda revertir efectivamente
X. Que en lo que hace relación con las medidas de seguridad, se debe tener en cuenta que las mismas tienen que evitar la pérdida o adulteración de los datos personales.
XI. Que si el tratamiento se enmarca dentro de algunas de las causales del Decreto N° 64/020, de 17 de febrero de 2020, se debe proceder a realizar una evaluación de impacto y eventualmente designar un delegado de protección de datos
XII. Que se debe verificar el cumplimiento con carácter general de toda la normativa de protección de datos personales, sobre todo si se pretender realizar el alojamiento de la información fuera del territorio nacional por que se requiere dar cumplimiento al art. 23 de la Ley N° 18.331.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
1° El tratamiento mencionado en la consulta no se encuentra prohibido, pero en tanto no tiene como finalidad la videovigilancia ni otros fines conexos, los logos aprobados por este Consejo Ejecutivo por Resolución 989/010, de 30 de julio de 2010 deben ser complementados por los responsables de tratamiento con otros mecanismos que aseguren el debido derecho a la información de los titulares (artículo 13 de la Ley) y en consecuencia el consentimiento en las condiciones previstas en el artículo 9° de la Ley.
2° En lo que respecta al tratamiento de la información, este debe realizarse de conformidad con los principios establecidos en la Ley N° 18.331, y seguir las recomendaciones indicadas en el presente dictamen.
3° En particular, la consultante en su calidad de encargada de tratamiento deberá realizar una evaluación de impacto en la protección de datos.
Fdo: Dr. Felipe Rotondo Tornaría
Consejo Ejecutivo
URCDP
Expediente N° 2020-2-10-0000039