Resolución N° 6/024 .
Montevideo, 9 de abril de 2024
VISTO: La denuncia presentada contra DEREMATE.COM DEL URUGUAY S.A. (MERCADO LIBRE) por presunto incumplimiento de la Ley N° 18.331, de 11 de agosto de 2008.
RESULTANDO: I. Que el denunciante expresa que la denunciada está obligando a sus usuarios a colocar el rostro junto a su cédula de identidad como una forma de identificación obligatoria.
II. Que se dio vista a la denunciada, quien expresa que la finalidad del uso de la foto de la cédula es para validar la identidad de los usuarios, fundados entre otros en la Ley N° 19.574, de 20 de diciembre de 2017 y la Circular N° 2246 de la Recopilación de Normas del Sistema de Pagos del Banco Central del Uruguay.
III. Que se se solicitó a la denunciada la presentación de la correspondiente Evaluación de Impacto en la Protección de Datos Personales de conformidad con el artículo 12 de la Ley N° 18.331, en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018 y el decreto N° 64/020, de 17 de febrero de 2020, la que fue presentada en tiempo y forma.
IV. Que, adicionalmente, se solicitó y se mantuvo una serie de reuniones con el delegado de protección de datos y otros asesores de la denunciada a efectos de que expusieran algunos aspectos de funcionamiento del sistema y de los antecedentes relevados al momento de instalar la operativa citada.
CONSIDERANDO: I. Que, en el presente caso se realiza tratamiento de datos biométricos con fines de comprobación de identidad, tratamiento que debe cumplir con todos los principios de la protección de datos, y en particular con lo establecido en el artículo 18 bis de la Ley N° 18.331, que requiere en forma obligatoria una evaluación de impacto en la protección de datos personales.
II. Que la denunciada realizó la citada evaluación de impacto, e incluyó la información en su declaración de privacidad, que los usuarios deben consentir al momento de crear la cuenta y luego acceder a ella en todo momento, dando cumplimiento al artículo 13 de la Ley N° 18.331, en la redacción dada por el artículo 62 de la Ley N° 20.075, de 20 de octubre de 2022.
III. Que el sistema de validación de identidad se fundamenta en el caso de la denunciada en el cumplimiento de un requisito regulatorio asociado a la validación de identidad de los usuarios, y el uso de datos biométricos se encuentra precedido de la correspondiente evaluación de impacto en protección de datos previa, siendo necesario valorar el cumplimiento en especial con los principios de veracidad y finalidad establecidos en los artículos 7° y 8° de la Ley N° 18.331.
IV. Que, en el presente caso, de la evaluación de impacto presentada por la empresa surge el cumplimiento del requisito mencionado y la justificación para el uso de dichos datos, considerando las normas asociadas a la validación de identidad ya referidas, sin perjuicio de que corresponde señalar que la denunciada deberá evaluar otros mecanismos para alcanzar el mismo resultado, disponibles en la legislación nacional vigente.
V. Que los mecanismos de mitigación de riesgos indicados en la evaluación de impacto presentada parecen adecuados al actual estado del arte, lo que no implica una convalidación de estos en forma permanente, debiendo ser revisados en forma periódica y constante.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
- Indicar que en el actual estado de situación el tratamiento de datos biométricos realizado por DEREMATE DEL URUGUAY S.A. es ajustado a los principios establecidos en la Ley N° 18.331, de 11 de agosto de 2008, sin perjuicio de que ésta deberá realizar un análisis de otras alternativas que puedan incluirse dentro de las opciones a ser utilizadas por sus clientes para la validación de su identidad y autenticación.
- Indicar que las medidas de seguridad adoptadas deberán ser revisadas en forma permanente y periódica en el ejercicio de una responsabilidad proactiva.
- Notifíquese, publíquese y archívese.
Firmado por: Federico Monteverde
Consejo Ejecutivo
URCDP