Resolución N° 37/024 denuncia
Montevideo, 19 de noviembre de 2024
VISTO: La denuncia presentada contra REPÚBLICA AFAP S.A. por presunto incumplimiento de la Ley N° 18.331, de 11 de agosto de 2008.
RESULTANDO: 1. Que en la denuncia se expresó que se habrían utilizado por la denunciada listados de BPS de empresas y nóminas de afiliados, sin su consentimiento, fomentando la compra de estos datos por parte de los trabajadores de la empresa, a muchos de los cuales, luego que BPS denunciara esa situación al descubrir a un funcionario infiel, despidió con causal notoria mala conducta, a otros los incentivó a renunciar y otros aún siguen trabajando, ya que el 90% de los asesores de la empresa trabajaban de la misma manera.
2. Que se dio vista a la denunciada, la que expresa que la situación narrada implicó el despido por notoria mala conducta de determinados funcionarios entre los que se encuentran las denunciantes, atento a la constatación de que se adquiría información de las bases de datos del BPS mediante el pago de una suma, a los efectos de generar más afiliados y por ende más comisión en beneficio de los funcionarios implicados.
3. Que se solicitó a REPUBLICA AFAP S.A. la presentación de la Evaluación de Impacto en Protección de Datos Personales.
CONSIDERANDO: 1. Que el artículo 12 de la Ley N° 18.331, de 11 de agosto de 2008, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018 establece el principio de responsabilidad (proactiva).
2. Que, en base a lo indicado, la responsabilidad por el tratamiento de los datos corresponde al responsable, por lo que las cuestiones de responsabilidad dentro de éste son de ámbito interno y se deberán medir ante los organismos competentes.
3. Que no es menester de esta Unidad determinar responsabilidades dentro del organismo o sancionar funcionarios, sino relevar el cumplimiento de las previsiones de la normativa en protección de datos personales, habiéndose vulnerado en los hechos en este caso el artículo 17 de la Ley N° 18.331, por existir una comunicación de datos fuera de las previsiones legales, el uso de datos personales sin consentimiento (artículo 9°) y la falta de medidas de responsabilidad proactiva (artículo 12°).
4. Que, sin perjuicio de lo indicado, REPUBLICA AFAP S.A. presentó la correspondiente evaluación de impacto en protección de datos personales, en la que se evaluaron los riesgos y explicitan las medidas de mitigación correspondientes.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
Indicar que REPÚBLICA AFAP S.A. debe mantener actualizadas las medidas adoptadas en cumplimiento de lo establecido en los artículos 10 y 12 de la Ley N° 18.331, de 11 de agosto de 2008, el último en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018.
Notifíquese, publíquese y archívese.
Firmado por: Federico Monteverde
Consejo Ejecutivo
URCDP