La protección de datos personales es una prioridad en cualquier operativa, por lo que en atención a la importancia de los temas que la misma regula, acercamos algunos comentarios en relación a sus aspectos más relevantes.
Por: Dra. Giorgina Galante (*)
Aspectos relevantes de la Ley Nº 18.331
En nuestro país, la Ley Nº 18.331, aprobada en el mes de agosto del año 2008, es la norma madre de la regulación de la protección de datos personales.
Tal como establece la normativa, la protección de los datos personales es un derecho humano que no solo comprende a personas físicas sino también a personas jurídicas.
La protección de la ley es aplicable respecto de todos aquellos datos personales que se encuentren registrados en cualquier soporte que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los ámbitos público o privado.
Como excepciones a lo anterior, podemos mencionar las bases de datos que (i) son mantenidas por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas; (ii) tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito; y (iii) son creadas y reguladas por leyes especiales.
A los efectos de la Ley Nº 18.331, se entiende por “dato personal” a toda información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables, mientras que por “dato sensible” se entiende a todo aquel dato personal que revele origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual.
Es necesario destacar que el tratamiento de datos personales es lícito cuando el titular hubiere prestado su consentimiento libre, previo, expreso e informado, el que debe, en todo caso, documentarse. Sin embargo, en los siguientes casos, la normativa determina que no será necesario el previo consentimiento expreso, a saber:
- Cuando los datos provengan de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación.
- Cuando los datos se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal.
- Cuando se trate de listados cuyos datos se limiten en el caso de personas físicas a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento. En el caso de personas jurídicas, razón social, nombre de fantasía, registro único de contribuyentes, domicilio, teléfono e identidad de las personas a cargo de la misma.
- Cuando deriven de una relación contractual, científica o profesional del titular de los datos, y sean necesarios para su desarrollo o cumplimiento.
- Cuando se realice por personas físicas para su uso exclusivo personal, individual o doméstico.
Obligaciones de los responsables de las bases de datos
Los titulares de bases de datos que posean datos personales deberán actuar conforme a los siguientes principios establecidos en la Ley de Protección de Datos Personales:
- Principio de seguridad de los datos: deben adoptar toda medida necesaria para garantizar la seguridad y confidencialidad de los datos. Estas medidas deberán evitar su adulteración, pérdida, consulta o tratamiento no autorizado, así como detectar desviaciones de información. Adicionalmente, los datos deberán ser almacenados de modo que permitan el ejercicio del derecho de acceso de su titular.
Existe una prohibición expresa respecto a registrar datos personales en bases de datos que no reúnan condiciones técnicas de integridad y seguridad.
- Principio de reserva: Todo aquel que obtenga de forma legítima información que provenga de una base de datos se encuentra obligado a utilizarla en forma reservada y exclusivamente para las operaciones habituales de su giro o actividad, estando prohibida toda difusión de la misma a terceros.
- Principio de responsabilidad: El responsable de la base de datos o tratamiento y el encargado, en su caso, serán responsables de la violación de las obligaciones establecidas en la Ley de Protección de Datos Personales.
Derechos de los titulares de datos personales
Los titulares de los datos tienen derecho a ser informados de forma expresa e inequívoca respecto de la finalidad para la cual serán tratados sus datos y quiénes serán sus destinatarios. Adicionalmente, se les deberá indicar las consecuencias de proporcionar dichos datos y de la negativa a hacerlo.
La normativa establece la posibilidad de todo titular de acceder a la información que sobre sí se halle en bases de datos públicas o privadas, previa exhibición del documento de identidad.
El titular de dicha información tendrá derecho a solicitar la rectificación, actualización, inclusión o supresión de sus datos personales incluidos en una base de datos, al constatarse error o falsedad o exclusión en la información de la que es titular. El responsable de la base de datos o del tratamiento deberá proceder a realizar la rectificación, actualización, inclusión o supresión, mediante las operaciones necesarias a tal fin en un plazo máximo de cinco días hábiles de recibida la solicitud por el titular del dato o, en su caso, informar de las razones por las que estime no corresponde.
La normativa específicamente determina que procede la eliminación o supresión de datos personales en los siguientes casos: (i) cuando causen perjuicios a los derechos e intereses legítimos de terceros; (ii) cuando exista notorio error; y (iii) cuando sea en contravención a lo establecido por una obligación legal.
Regulación de los datos sensibles
Los datos sensibles son datos especialmente protegidos, por lo cual ninguna persona puede ser obligada a proporcionarlos. Solo podrán obtenerse en el caso de que su titular otorgue consentimiento expreso y escrito. Además, dichos datos solo podrán ser recolectados y ser objeto de tratamiento cuando medien razones de interés general autorizadas por ley, o cuando el organismo solicitante tenga mandato legal para hacerlo. Se encuentra prohibida la formación de bases de datos que almacenen información que directa o indirectamente revele datos sensibles, salvo excepciones.
Por otro lado, hay datos que la normativa determina como especialmente protegidos, a saber: datos relativos a la salud, a las telecomunicaciones, a bases de datos con fines de publicidad, a la actividad comercial o crediticia y datos transferidos internacionalmente, los cuales serán objeto de estudio de una próxima entrega.
Consideraciones finales
En atención a la importancia que reviste este tema, existe un órgano específico llamado Unidad Reguladora y de Control de Datos Personales dentro de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic), que se encarga de controlar el cumplimiento de las obligaciones y demás disposiciones establecidas en la Ley de Protección de Datos Personales.
En caso de constatarse un incumplimiento, dicha unidad podrá aplicar sanciones a los responsables de las bases de datos, encargados del tratamiento de datos personales, las que se graduarán en atención a la gravedad, reiteración o reincidencia de la infracción cometida, pudiendo ser: (i) observación; (ii) apercibimiento; (iii) multa de hasta 500.000 UI; (iv) suspensión de la base de datos respectiva por el plazo de cinco días; o (v) clausura de la base de datos respectiva.
La información brindada en la presente entrega es un paneo general de la regulación existente en relación a los datos personales, sin perjuicio de que existen ciertos tipos de datos, tales como los relativos a la salud, telecomunicaciones y demás que tienen su regulación específica tendiente a su protección y salvaguarda.
(*) Integrante del Equipo Legal de Galante & Martins.