Resolución N° 35/024 denuncia
Montevideo, 22 de octubre de 2024
VISTO: La denuncia presentada por presunto incumplimiento de la Ley Nº 18.331, de 11 de agosto de 2008.
RESULTANDO: I. Que el denunciante se presenta argumentando un presunto incumplimiento de la normativa vigente en lo que respecta a la inscripción de bases de datos y transferencia internacional de datos personales respecto a la información contenida en el “Sistema de Control Vehicular (SISCONVE)”;
II. Que se dio vista a los denunciados, contestando ANCAP a fojas 56 y siguientes, manifestando que la base de datos se encuentra inscripta por resolución de esta Unidad número 155/021 de 30 de agosto de 2021, y que, de conformidad con lo informado por la proveedora del servicio, la base de datos indicada se encuentra alojada en territorio nacional. Adjunta informe técnico elaborado por la empresa LENATIR S.A. y de DUCSA, en la que ratifican dicha información.
III. Que a fojas 67 obra nota suscrita por DUCSA en la que se manifiesta que se emplea un servicio estándar de doble factor de autentificación provisto por MICROSOFT CORPORATION, habiéndose suscrito un contrato con dicha empresa que incluye las cláusulas analizadas por esta Unidad. De todo ello se dio nueva vista, la que fue evacuada por el denunciante y por ANCAP.
IV. Que este Consejo intimó a ANCAP a iniciar el procedimiento de solicitud de autorización de transferencia internacional respecto de la información transferida en el marco del contrato de servicios con MICROSOFT CORPORATION, quien inició dicho proceso, el que se está tramitando en expediente separado.
CONSIDERANDO: I. Que de las actuaciones que emergen del expediente no resulta un incumplimiento en lo que respecta a la inscripción de la base de datos de ANCAP, ni se requiere una autorización para transferencia internacional de datos personales con respecto a la base de SISCONVE, en atención a lo dispuesto en los artículos 6ª y 23 de la Ley Nº 18.331;
II. Que, en lo que respecta a la transferencia internacional de datos asociada al uso del servicio de autentificación con MICROSOFT CORPORATION, el empleo de cláusulas contractuales que esta Unidad ya ha analizado en el marco de la del dictamen Nº 11/020, de 30 de junio de 2020, no exime al exportador de solicitar la autorización correspondiente, de conformidad con lo dispuesto en el inciso final del artículo 23 de la Ley Nº 18.331.
Atento a lo manifestado anteriormente,
El Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
1°. Archivar estos obrados con relación al registro del sistema SISCONVE, atento a la constatación de su inscripción, y al hecho de que se encuentra situado en territorio nacional.
2°. Estar a las resultancias del trámite de solicitud de autorización de transferencia internacional solicitado con respecto al uso del servicio de autentificación con MICROSOFT CORPORATION por parte de ANCAP, exhortándolo además a realizar una revisión de sus bases de datos con la colaboración de su delegado de protección de datos personales y realizar las adecuaciones que sean necesarias, dando cuenta a esta Unidad.
3°. Indicar, con carácter general, que el hecho de que esta Unidad haya realizado un análisis de cláusulas contractuales de proveedores de servicios, o haya recomendado el uso de modelos de cláusulas contractuales no exime a los exportadores de solicitar la autorización correspondiente, de conformidad con lo establecido en el inciso final del artículo 23 de la Ley Nº 18.331, de 11 de agosto de 2008.
4°. Notifíquese y publíquese.
Firmado por: Federico Monteverde
Consejo Ejecutivo
URCDP