Resolución N° 41/021 .

Se resuelve sobre lo dispuesto por el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 respecto a las transferencias internacionales a territorios no adecuados.

Montevideo, 8 de setiembre de 2021

VISTO Y CONSIDERANDO: Lo dispuesto por el artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008 respecto a las transferencias internacionales a territorios no adecuados,

RESULTANDO: I. Que, de conformidad con el artículo indicado, “la Unidad Reguladora y de Control de Protección de Datos Personales podrá autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el responsable del tratamiento ofrezca garantías suficientes respecto a la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. Dichas garantías podrán derivarse de cláusulas contractuales apropiadas.

II. Que, por Resolución N° 23/021, de 8 de junio de 2021, este Consejo Ejecutivo determinó los territorios considerados adecuados para la transferencia internacional de datos, así como instrumentos para brindar garantías a la protección de la vida privada que deben considerar los responsables, entre los que se encuentran las cláusulas contractuales apropiadas.

III. Que, en ese sentido, se estima pertinente adoptar una guía para la redacción de cláusulas contractuales que aseguren un contenido ajustado a las normas en materia de protección de datos personales, el que deberá complementarse con otros aspectos relativos a las operaciones de tratamiento que se pretendan realizar.

ATENTO: a lo expuesto e informado,

El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales

RESUELVE:

  1. Recomendar a los responsables y encargados de tratamiento que pretendan realizar transferencias internacionales de datos en el marco del artículo 23 de la Ley N° 18.331, de 11 de agosto de 2008, la adopción de cláusulas contractuales como las indicadas en el Anexo I de la presente resolución.
  1. NOTIFÍQUESE Y PUBLÍQUESE

 

FIRMADO POR: FELIPE ROTONDO TORNARÍA

CONSEJO EJECUTIVO

URCDP

 

Anexo I a Resolución 41/2021 del Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales

 

CONTENIDO MÍNIMO DE CLÁUSULAS CONTRACTUALES PARA TRANSFERENCIAS INTERNACIONALES A PAÍSES NO ADECUADOS[1]

ANTECEDENTES

En lo que respecta a las transferencias internacionales de datos a países no adecuados -de conformidad con la resolución indicada-, los responsables y encargados deben adoptar determinadas salvaguardas para asegurar la debida protección de datos de titulares, que son objeto de tratamiento.

En el marco de los mecanismos habilitantes de las transferencias, se encuentra la adopción de cláusulas contractuales que determinen claramente las responsabilidades de las partes involucradas.

El presente anexo presenta un contenido mínimo indispensable que deben contener los contratos a suscribir entre un responsable o encargado en territorio nacional con responsables o encargados situados fuera de éste. En primer lugar se presentan contenidos de cláusulas comunes a todas las transferencias y en los apartados siguientes contenidos específicos, adicionales a los primeros, según el tipo de emisor o destinatario.

La naturaleza del vínculo entre la parte exportadora e importadora de los datos determina la existencia de distintos tipos de obligaciones y responsabilidades que deben encontrarse claramente definidas. En esta definición, y de conformidad con lo establecido en el artículo 40 de la Ley N° 19.670, debe participar cuando corresponde, el delegado de protección de datos.

Por otra parte, la transferencia internacional, en tanto se realiza a territorio no adecuado, debe ser antecedida en todos los casos de una evaluación de impacto en la protección de datos, de conformidad con lo establecido en el artículo 6° literal f del decreto N° 64/020.

 

CLAUSULAS COMUNES A TRANSFERENCIAS ENTRE TODO TIPO DE IMPORTADOR Y EXPORTADOR DE DATOS

Finalidad – Se debe establecer claramente cuál es la finalidad que se persigue con la transferencia que se pretende realizar, sin perjuicio del detalle que se realice según se trate de transferencia a responsable o a encargado.

Normativa aplicable – En todos los casos debe preverse la aplicación de la normativa uruguaya, Leyes N° 18.331, de 11 de agosto de 2008, N° 19.670, de 15 de octubre de 2018, decretos N° 414/009, de 31 de agosto de 2009 y N° 64/020, de 17 de febrero de 2020, normas modificativas y concordantes.

Definición de los términos de protección de datos aplicables – Deben definirse los términos más comunes aplicables a la regulación de la transferencia, remitiéndose a las definiciones previstas legal y reglamentariamente, en lo pertinente (artículos 4° de la Ley N° 18.331 y 4° del decreto N° 414/009). En especial no debe omitirse la definición de importador, exportador, responsable, encargado, sub-encargado, titular del dato, dato personal y tratamiento.

Contenido de la transferencia – Deberá detallarse el listado de datos transferidos con la mayor exactitud y completitud posible. En caso de datos sensibles, deberá en lo posible detallarse adicionalmente el contenido y propósito para la transferencia de cada dato.

Transferencias posteriores – Establecer, en caso de corresponder, las condiciones para habilitar transferencias posteriores de información desde el destino del importador, que en todos los casos deberán cumplir con la normativa habilitante (artículo 23 de la Ley N° 18.331).

Derecho de información – En todos los casos deberán explicitarse los contenidos mínimos previstos en el artículo 13 de la Ley N° 18.331. Adicionalmente, deberá incluirse la identificación de los encargados y sub-encargados de tratamiento, cuando corresponda. La información deberá estar disponible en forma permanente o a solicitud del titular del dato, según corresponda.

Operaciones de tratamiento – En todos los casos deberán identificarse las operaciones de tratamiento específicas a realizar y las medidas operativas y de seguridad necesarias para dar cumplimiento al principio de seguridad de los datos y de responsabilidad proactiva (artículos 10 y 12 de la Ley N° 18.331, este último en la redacción dada por el artículo 39 de la Ley N° 19.670, y decreto N° 64/020).

Resolución de disputas – Podrán preverse mecanismos específicos para la resolución de disputas, pero ello de ningún modo podrá alterar las operaciones de tratamiento que son de interés del titular del dato, o afectar de modo alguno sus derechos, o suponer un incumplimiento de la normativa aplicable, o que establezcan una retención indebida de información que de conformidad con la normativa aplicable deba ser suprimida.

Autoridad de control administrativa – En todos los casos deberá preverse que la autoridad de control para el caso de determinación de incumplimientos será la autoridad uruguaya, salvo en caso de incumplimientos específicos del importador del dato que se encuentren sujetos al contralor de la autoridad homónima en el país de destino. Ello sin perjuicio de la aplicabilidad, en su caso, del artículo 37 de la Ley N° 19.670 y artículos 1° y 2° del decreto N° 64/020.

Cumplimiento de medidas de responsabilidad proactiva previas – En todos los casos deberá agregarse en forma de anexo la Evaluación de Impacto en la Protección de Datos de carácter obligatorio de conformidad con el artículo 6° literal f del decreto N° 64/020.

Resguardo de documentación – Deberán establecerse las condiciones para el resguardo de la documentación tanto por el importador como por el exportador y otros interesados (como por ejemplo eventuales sub-encargados), la que deberá conservarse en la forma establecida en el artículo 5° del decreto 64/020, y estar a disposición de la Unidad de conformidad con el artículo 34 literal D de la Ley N° 18.331.

Confidencialidad – Establecer el contenido de las obligaciones de confidencialidad asumidas por el personal del importador y el exportador.

Acceso a información por autoridades extranjeras – Deberá preverse que sólo podrá accederse a información en el destino del importador del dato por parte de autoridades del tercer país en el marco de normas legales vigentes que otorguen las debidas garantías a los titulares de los datos y con orden judicial. En todos los casos deberán tomarse las medidas para que el acceso no se realice a todos los datos sino únicamente a los estrictamente necesarios para el cumplimiento de la orden judicial correspondiente. Deberá preverse que se brinde al responsable situado en territorio nacional información de la solicitud en forma inmediata, en los casos en que ello sea posible; en caso contrario deberá brindarse la información en la primera oportunidad posible.

 

CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE RESPONSABLES Y RESPONSABLES

Base de legitimación para la comunicación – Deberá justificarse la aplicación de alguna de las causales previstas en el artículo 17 de la Ley N° 18.331, por tratarse de una comunicación de datos.

Base de legitimación para el tratamiento previsto – Deberá justificarse la aplicación de alguna de las causales previstas en el artículo 9° o 18°, y concordantes, de la Ley N° 18.331, para el tratamiento que se pretende realizar.

Responsabilidad solidaria – Remarcar la responsabilidad solidaria aplicable de conformidad al artículo 17 de la Ley 18.331 para la comunicación de datos, lo que en ningún caso podrá implicar que se prohíba la reclamación correspondiente por parte del titular del dato al responsable situado en territorio nacional.

Contratación de encargados de tratamiento – Deberán preverse las condiciones para la contratación de encargados de tratamiento por el importador de los datos, dando cumplimiento en lo pertinente, a las condiciones previstas en las cláusulas que siguen.

Comunicación de vulneraciones de seguridad – Deberá preverse un mecanismo de comunicación de vulneraciones de seguridad a los titulares de los datos y a la Unidad dando cumplimiento a las condiciones y plazos previstos en el artículo 38 de la Ley N° 19.670 y artículos 3° y 4° del decreto N° 64/020.

 

CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE RESPONSABLES Y ENCARGADOS

Retención y supresión de información – Deberá establecerse el plazo específico de conservación de la información –que no podrá exceder el determinado por el propósito den encargo- y los medios para su devolución y supresión. Ello sin perjuicio de lo establecido en el inciso segundo del artículo 30 de la Ley N° 18.331.

Comunicación de vulneraciones de seguridad – Deberá preverse un mecanismo de comunicación inmediata al responsable de eventuales vulneraciones de seguridad. Eventualmente, podrá establecerse la obligación de comunicación directa a la URCDP.

Contratación de sub-encargados – Deberá prohibirse la contratación de sub-encargados salvo autorización expresa del responsable, lo que deberá además informarse en forma fehaciente a los titulares de los datos.

Ejercicio de derechos por los titulares – Deberán preverse mecanismos para la respuesta al ejercicio de derechos ante los encargados por parte de los titulares de los datos.

Responsabilidades – No podrá eximirse al responsable de su responsabilidad por la actuación del encargado, de conformidad con lo establecido en el artículo 12 de la Ley N° 18.331, sin perjuicio de la responsabilidad directa que pueda caberle a este último en caso de vulneración a lo preceptuado en la normativa vigente.

 

CLÁUSULAS ESPECÍFICAS APLICABLES A TRANSFERENCIAS ENTRE ENCARGADOS Y ENCARGADOS

Habilitación – La transferencia a otros encargados debe realizarse en el marco de un contrato previo con el responsable, y con los límites en él establecidos, el que deberá adjuntarse como anexo o referenciarse en las cláusulas correspondientes. Dicho contrato deberá contener como mínimo, las previsiones expresadas en el presente anexo para los contratos entre responsables y encargados, las que deberán extenderse a los sub-encargados en lo pertinente.

 

[1] Si bien estas cláusulas deberán emplearse de principio para las transferencias a territorios no adecuados que no se enmarquen en alguna de las restantes hipótesis habilitantes del artículo 23 de la Ley N° 18.331, se exhorta su aplicación a todo tipo de transferencia internacional, en lo pertinente.

Descargas

Etiquetas