Dictamen N° 8/021 .

Se dictamina la consulta presentada por NUMMi SA respecto a la tarjeta expedida por ellos y si debe firmar un contrato de encargado de tratamiento con una empresa que presta los servicios de esta.

CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES

 

Montevideo, 4 de mayo de 2021.

VISTO: La consulta remitida por NUMMI S.A.

RESULTANDO: I. Que se plantea que “RED PAGOS (NUMMI S.A.) es emisor de la Tarjeta MiDinero y es emisor de la Tarjeta Midinero, y ofrece a los clientes de Midinero diferentes seguros compatibles con el servicio de tarjeta que luego son prestados por la empresa RUA. Por ejemplo, seguros destinados al uso fraudulento de la tarjeta. Los seguros se ofrecen y contratan telefónicamente a nombre de Midinero. Esto se hace en el marco de un contrato existente entre RUA y Midinero, en el que se establece que los clientes son de Midinero. Por su parte, en el contrato del tarjetahabiente con Midinero, el titular presta su consentimiento para recibir ofertas de productos. Redpagos considera que se debe firmar un Contrato de Encargado de Tratamiento con RUA, que especifique las obligaciones y responsabilidades de cada parte”. Se solicita con respecto a lo indicado, la opinión de esta Unidad.

II. Que NUMMI S.A. explicita las razones por las que estima que RUA es encargado de tratamiento, indicando que la llamada para ofrecer el servicio se realiza en nombre de MiDinero sin mencionar a RUA, la finalidad del nuevo servicio es compatible con la finalidad del servicio de la tarjeta, el llamado se realiza desde MiDinero, y se ampara en el art. 8 de la Ley N° 18.331, de 11 de agosto de 2008, por lo cual no sería necesario recabar el consentimiento informado, no configurándose un nuevo vínculo entre el titular y el encargado.

CONSIDERANDO: I. Que la consulta involucra el tratamiento de datos personales de personas físicas y jurídicas, y la aplicación de la Ley N° 18.331. 

II. Que el art. 4 lit. H) de la Ley N° 18.331 define al encargado del tratamiento como “persona física o jurídica, pública o privada, que sola o en conjunto con otros trate datos personales por cuenta del responsable de la base de datos o del tratamiento.” De la información y documentación resulta que RUA no actúa por cuenta y orden del responsable y no gestiona la tarjeta MiDinero, sino que ofrece servicios ajenos a la tarjeta, por lo que no estamos frente a un encargado de tratamiento en la definición precitada.

III. Que respecto del principio de finalidad, la cláusula 18 del contrato agregado (folios 16) tiene la siguiente redacción: “El Usuario consiente expresamente que Redpagos utilice sus datos personales…a efectos de ofrecerle otros productos desarrollados por el Emisor actualmente o en el futuro”. E indica luego que: “Asimismo, el Usuario consiente expresamente que el Emisor pueda dar a conocer sus datos u otra información a terceros en caso de que el suministro de información sea necesario para el desarrollo o cumplimiento de la relación contractual entre el Emisor y el Usuario, como ser a modo de ejemplo y sin que ello implique limitación de clase alguna, a efectos de prestar servicios en forma más eficiente o por razones de seguridad del Usuario.”

IV. Que del contrato que se celebra con los titulares de la tarjeta MiDinero, no surge que estén informados de cómo se van a tratar sus datos en relación con los beneficios que plantea RUA. Se expresa que los clientes podrán recibir ofertas sobre “otros productos desarrollados por el Emisor”, pero los productos no son desarrollados por el propio Emisor, sino por un tercero con quien el Emisor contrata para ofrecer dichos servicios. Por tal razón, la finalidad para la cual se recabó el consentimiento no es la misma.

V. Que dado lo anterior, resulta de vital importancia la aplicación del principio del previo consentimiento informado a los clientes de la Tarjeta MiDinero en relación con los servicios que presta RUA y el tratamiento que éste realiza de sus datos personales.

VI. Que resulta necesario que la consulta planteada sea analizada por el Delegado de Protección de Datos de NUMMI S.A. en aplicación de la normativa vigente, así como la realización de la evaluación de impacto en protección de datos personales correspondiente.

ATENTO: A lo expuesto e informado,

El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales

DICTAMINA:

  1. Indicar que en el caso concreto y de acuerdo a la documentación presentada la empresa RUA no es encargada de tratamiento, sino que tiene la calidad de tercero, por lo cual se deberá recabar el previo consentimiento de los titulares de los datos para la comunicación a dicha empresa por parte de NUMMI S.A.
  2. Notifíquese a todos sus efectos y archívese.

 

 

Fdo: Dr. Felipe Rotondo

Consejo Ejecutivo

URCDP

Expediente N° 2021-2-10-0000059

Descargas

Etiquetas