Resolución N° 60/020 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 8 de diciembre de 2020
VISTO: La denuncia presentada contra UBER TECHNOLOGIES URUGUAY S.A. (en adelante Uber).
RESULTANDO: I. Que el denunciante manifiesta que había descargado la aplicación Uber, y que, al ingresar al celular, le solicitaba la contraseña del correo electrónico. Al ingresarla se dio cuenta que figuraba la información personal de otra persona, y ante ello intentó comunicarse con la empresa por teléfono y por correo electrónico en forma infructuosa. Agrega que intentó cambiar los datos personales sin éxito y que le llegan correos de Uber Support que le generan preocupaciones.
II. Que con la denuncia presentada se procedió a dar vista a Uber mediante telegrama colacionado el cual fue rechazado expresamente por la empresa. A los efectos de continuar con el trámite con fecha 27 de enero de 2020, se realiza una notificación notarial de la presente denuncia.
III. Que transcurrido el plazo sin recibir ningún tipo de comunicación por parte de la empresa denunciada, se procedió a solicitar una inspección a Uber a los efectos de constatar si los procesos de utilización de sus servicios se adecuan a la normativa de protección de datos personales, la que se realizó una vez que las condiciones de la emergencia sanitaria así lo permitieron.
IV. Que en la inspección realizada no se obtuvo colaboración por parte del responsable, y tampoco existe información que permita determinar el cumplimiento de los requisitos legales en materia de protección de datos personales por parte de la empresa para poder prestar servicios en el país.
V. Que oportunamente se realizó el informe jurídico, el cual fue elevado de conformidad.
CONSIDERANDO: I. Que en este caso, se debe analizar si los medios disponibles por Uber permiten el pleno ejercicio del derecho a la protección de datos personales, de conformidad con lo establecido en la Ley N° 18.331, de 11 de agosto de 2008, concordantes y modificativas.
II. Que en ese sentido, Uber cuenta en su página web con una extensa política de privacidad que permite elegir la jurisdicción de Uruguay, sin perjuicio de que no existe ninguna remisión a la normativa o a la jurisdicción nacional. En dicha política se indica que se cuenta con un soporte al cliente pero no existe ninguna referencia a correo, dirección o teléfono para ejercer los derechos, por lo que se observa la necesidad de que la denunciada ajuste sus procesos a la normativa nacional a los efectos de solucionar los problemas de datos personales que puedan surgir dentro del territorio nacional.
III. Que no surge que Uber cuente con bases de datos inscritas ante esta Unidad existiendo la presunción de la existencia de más de una base de datos como puede ser la de clientes, la de funcionarios, la de conductores, entre otras, y que por tanto, se entiende que existe una vulneración al principio de legalidad regulado en el artículo 6° de la Ley N° 18.331, lo que hace ilícito todo el tratamiento de datos personales realizado por la denunciada.
IV. Que, además, si Uber realiza un tratamiento de más de 35.000 personas, deberá proceder a designar un delegado de protección de datos debiendo comunicar este extremo a esta Unidad, y en su caso, realizar una evaluación de impacto.
V. Que Uber debe indicar qué datos personales tiene, brindando acceso al titular de los datos, de conformidad con lo establecido en el artículo 14 de la Ley N° 18.331, de 11 de agosto de 2008, a los efectos de determinar cuáles son las acciones que el denunciante debe solicitar.
ATENTO: a lo expuesto e informado.
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
- Intimar a UBER TECHNOLOGIES URUGUAY S.A. la inscripción de las bases de datos y el ajuste en sus procedimientos internos dando cuenta a esta Unidad en un plazo de 30 días, bajo apercibimiento de ulteriores sanciones.
- Exhortar a UBER TECHNOLOGIES URUGUAY S.A. a realizar el correspondiente análisis que determine la necesidad de designar un delegado de protección de datos personales y una evaluación de impacto en la protección de datos.
- NOTIFÍQUESE Y PUBLÍQUESE
Fdo: Dr. Felipe Rotondo
Consejo Ejecutivo
URCDP