Dictamen N° 5/021 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 13 de abril de 2021.
VISTO: La consulta relativa al alcance de la Ley N° 19.574, de 20 de diciembre de 2017, y su decreto reglamentario con relación a las normas en protección de datos.
RESULTANDO: I. Que se presenta ante esta Unidad el consultante e indica que su firma presta asesoramiento en materia de prevención de lavado de activos y financiamiento del terrorismo a sujetos obligados por la Ley N° 19.574, de 20 de diciembre de 2017 y su decreto reglamentario N° 379/018, de 12 de noviembre de 2018. Expresa que en base a la citada normativa sus clientes se encuentran constreñidos a guardar un archivo con los documentos que deben pedirles a sus clientes siguiendo un enfoque basados en riesgos.
II. Que aclara que el decreto reglamentario establece tres tipos de debida diligencia: normal, simplificada e intensificada, las que detalla, y agrega que la normativa obliga a guardar el legajo del cliente con los documentos e información que se le solicitó por un plazo de 5 años luego de terminada la relación comercial.
III. Que en base a ello consulta si, dando cumplimiento a la normativa mencionada y en consideración de la documentación e información que manejan los sujetos obligados por la Ley N° 19.574, las bases que conformen quedan comprendidas en las disposiciones de la Ley N° 18.331, de 11 de agosto de 2008.
CONSIDERANDO: I. Que el artículo 3° de la Ley N° 18.331, de 11 de agosto de 2008, establece su ámbito de aplicación y regula los casos en los cuáles no procede su aplicación en forma taxativa. El literal c) expresamente indica que la Ley no será de aplicación cuando se trate de “bases de datos creadas y reguladas por leyes especiales”.
II. Que en el caso, la Ley N° 19.574, de 20 de diciembre de 2017, tiene como objetivo establecer normas para la lucha contra el lavado de activos y el financiamiento del terrorismo, regula los sujetos obligados y respecto a ellos se establecen las obligaciones que cada uno posee. Entre ellas se encuentran las medidas mencionadas por el consultante, relacionadas con la debida diligencia en diversos niveles.
III. Que del estudio de estas normas no se desprende que exista una regulación especial de las bases de datos sino un régimen especial de tratamiento de los datos que pretende establecer determinadas obligaciones a los sujetos obligados en aras de dar cumplimiento a la finalidad de la norma, que es la prevención del lavado de activos.
IV. Que ha sido un criterio firme de esta Unidad exceptuar de la aplicación de la norma únicamente aquellos casos en los cuales existe una ley especial que crea y regula las bases de datos. En este caso, existe sí un tratamiento asociado a disposiciones específicas del sector, al igual que por ejemplo en la salud, pero ello no implica que opere la excepción citada del literal c) del artículo 3° de la Ley N° 18.331.
ATENTO: a lo expuesto
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
1) Indicar que no resulta de aplicación la excepción prevista en el art. 3° literal c) de la Ley N° 18.331, de 11 de agosto de 2008, por lo que se debe garantizar el derecho a la protección de datos dando cumplimiento a los principios, derechos y obligaciones en ella establecida.
2) Indicar que en el caso concreto, la Ley N° 19.574, de 20 de diciembre de 2017, regula el tratamiento de datos personales en un ámbito especial que se debe aplicar en forma acumulativa con la Ley N° 18.331.
3) NOTIFÍQUESE Y PUBLÍQUESE.
Dr. Felipe Rotondo Tornaría
Consejo Ejecutivo
URCDP