El pasado 24 de enero, la Unidad Reguladora y de Control de Datos Personales (Urcdp) publicó una guía sobre el Derecho a la Protección de Datos Personales y los medios para facilitar su ejercicio, cuyo contenido es una puesta a punto de todos los aspectos fundamentales que regulan los datos personales, respecto de los cuales destacaremos en el presente.
Por: Dra. Karen Elorza (*)
¿Qué son los datos personales?
Sin perjuicio de la existencia de otras normas a nivel nacional e internacional, la ley 18.331 es la norma madre que regula la protección de los datos personales en virtud de su carácter de derecho humano y por tanto también protegido por nuestra Constitución. Dicha norma brinda su concepto definiéndolo como “información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables”. En consecuencia, a los efectos de la Ley de Datos Personales, sería dato personal cualquier tipo de información que identifique directamente a una persona (física o jurídica) o la haga identificable (tales como nombre, domicilio, teléfono, número de documento de identidad o de RUT, huella digital, número de socio o estudiante, fotografía, entre otros).
¿Cuál es la normativa aplicable a la protección de los datos personales?
Como indicamos al inicio, la protección de los datos personales ha sido reconocidapor un derecho humano, estableciéndose así expresamente el artículo 1 de la Ley 18.331.
A su vez, dicho derecho tiene reconocimiento a nivel internacional en diversos instrumentos que han sido adheridos por Uruguay, tales como: la Declaración Universal de los Derechos Humanos y la Convención Americana sobre Derechos Humanos (Pacto de San José de Costa Rica), el Convenio No. 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal (Estrasburgo, 28 de enero de 1981), así como del Protocolo Adicional al Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las Autoridades de Control y a los Flujos Transfronterizos de Datos (Estrasburgo, 8 de noviembre de 2011) y el más recientemente aprobado, el Protocolo de Enmienda del Convenio para la Protección de las Personas con respecto al Tratamiento de Datos Personales (“Convenio 108+” – Estrasburgo, 10 de octubre de 2018).
Resultan asimismo aplicables a la materia, los Decretos No. 664/008 (22 de diciembre de 2008), No. 414/009 (31 de agosto de 2009) y No. 64/020 (17 de febrero de 2020), todos reglamentarios de la Ley de Datos Personales.
¿Cuál es el ámbito de aplicación de la ley?
Todos los datos personales que estén registrados en cualquier soporte y a toda modalidad de uso posterior de estos datos tanto en ámbitos público o privado están alcanzados por la Ley 18.331, salvo aquellas que surgen expresamente excluidas, como ser: (i) las que sean mantenidas por personas físicas con fines exclusivamente personales o domésticos, como por ejemplo agendas personales; (ii) las que tengan por objeto la seguridad pública, defensa, seguridad del Estado y sus actividades en materia penal, investigación y represión del delito; o (iii) las que fueran creadas y reguladas por leyes especiales, las que deben de contar con un detalle de cuál es la forma de tratamiento de dicho información personal.
¿Quién es quién?
En relación a cuáles son los roles principales que se destacan en el tratamiento y manejo de datos la Guía destaca los siguientes:
- Titular de los datos: “Toda persona física o jurídica”.
- Responsable del tratamiento: “Persona física o jurídica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento”.
- Encargado del tratamiento: “Persona física o jurídica, pública o privada, que sola o en conjunto con otros trate datos personales por cuenta del responsable de la base de datos o del tratamiento”.
- Tercero: “Persona física o jurídica, pública o privada, distinta del titular del dato, del responsable de la base de datos o tratamiento, del encargado y de las personas autorizadas para tratarlos datos bajo la autoridad directa del responsable o del encargado del tratamiento”.
- Delegado de protección de datos: “Persona física o jurídica que tiene como funciones asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales, supervisar el cumplimiento de la normativa sobre dicha protección en su entidad, proponer todas las medidas que entienda pertinentes para adecuarse a ésta y a los estándares internacionales en la materia”.
¿Quiénes deben dar cumplimiento a la ley y cuál es el ámbito territorial de la protección?
Todos los habitantes de Uruguay deben dar cumplimiento a la ley en virtud de la calidad de derecho humano que ostenta. En el caso de los responsables y encargados del tratamiento de datos personales que están radicados en el exterior, de acuerdo al artículo 37 de la Ley N° 19.670, de 15 de octubre de 2018, y reglamentada por los artículos 1° y 2° del decreto Nº 64/020, se entiende que aplica la normativa si las actividades de tratamiento está relacionada a la oferta de bienes y servicios dirigidos a habitantes de Uruguay. A tales efectos, la guía propone como caso de laboratorio de este supuesto: “un hotel o una empresa de reparto internacional que ofrece servicios a habitantes de Uruguay mediante promociones específicamente diseñadas para nuestro país, con la posibilidad de abonar en moneda local y en idioma español”, respecto de los cuales entiende se encuentran alcanzados por el ámbito territorial de la ley en función de las presunciones establecidas en el decreto referido.
¿Cuáles son los principios contenidos dentro de la protección de los datos personales?
La Ley de Datos Personales consagra un conjunto de principios rectores bajo los artículos 5 a 12, en tanto los mismos se imponen al responsable de una base de datos y, en general, a toda persona (física o jurídica, pública o privada) que actúe en relación a datos personales de terceros, o quiera acceder y disponer de los mismos en los términos autorizados legalmente. Dichos principios son: legalidad, veracidad, finalidad, previo consentimiento informado, seguridad de los datos, reserva y responsabilidad.
En el marco del principio de legalidad, la formación de base de datos es lícita siempre y cuando se encuentre debidamente inscripta ante la Urcdp en virtud de su rol de organismo regulador. De igual forma, como otra arista de dicho principio, no es admisible que se formen bases de datos que tengan finalidades violatorias de los derechos humanos, contrarios a la ley o a la moral pública.
Referente al principio de veracidad, los datos personales recabados deben ser veraces, adecuados y no excesivos en relación con el fin para el cual fueron recolectados. Tampoco es posible que su obtención se realice mediante medios fraudulentos, desleales, abusivos, extorsivos o en contradicción a las disposiciones de la normativa. Por tanto, deberá procederse a la supresión, sustitución o completamiento de los mismos, de constatarse inexactitudes o falsedades a su respecto.
En la misma línea, los datos personales solo pueden ser utilizados en relación a la finalización para la cual fueron recolectados, por lo que deberán existir tantas bases de datos como finalidades tenga el tratamiento de los datos personales recolectados.
De igual forma, si en algún momento los datos recolectados ya no son necesarios o pertinentes, deben ser eliminados, salvo que los mismos atiendan a un valor histórico, estadístico o científico. Esta salvedad se encuentra expresamente prevista en el artículo 37 del decreto N° 414/009, estableciendo el procedimiento que debe seguirse a los efectos de que se autorice la conservación de datos en el marco de dichas finalidades, en cuyo caso el responsable debe identificar el tratamiento de datos al que pretende aplicar a la excepción, detallar las causas que justificaron la declaración, presentar las medidas que se implementaran para proteger y garantizar los derechos de los titulares de los datos, todo ello acompañados de los documentos respectivos.
En principio de previo consentimiento informado implica que es prioritario y necesario que el responsable de la base de datos obtenga en forma libre, previa e informada el consentimiento de los titulares de los mismos; consentimiento que puede recabarse por distintas modalidades pero del cual debe existir constancia. Adicionalmente, es necesario que al momento en que se recabe el mismo se informe la finalidad a la que se destinarán los datos y el tipo de actividad desarrollada por el responsable de la base de datos o tratamiento, ya que de lo contrario se entiende que el consentimiento es nulo.
No obstante, no será necesario recabar el previo consentimiento informado cuando: (i) los datos provengan de fuentes públicas de información (registros o publicaciones en medios masivos de comunicación); (ii) se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; (iii) se trate de listados limitados a datos identificatorios de personas físicas (nombres completos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento) o de personas jurídicas (razón social, nombre de fantasía, RUT, domicilio, teléfono e identidad de personas a cargo de la misma); (iv) refiera a datos derivados de una relación contractual, científica o profesional de su titular y sean necesarios para su desarrollo o cumplimiento; o (v) se realice el tratamiento por parte de personas físicas, con fines exclusivamente personales, individuales o domésticos.
En cuanto a la seguridad de los datos, tanto el responsable como el usuario de la base deben de garantizar la seguridad y confidencialidad de los datos personales y así evitar su adulteración, pérdida, consulta o tratamiento no autorizado y detectar desviaciones de información. En tal sentido, está prohibido registrar datos personales en bases de datos que no sean seguras y puedan significar una vulneración de los mismos.
Como arista del referido principio también podemos observar el principio de reserva, en tanto quien accede a la base de datos debe utilizar la información a la que tenga acceso en forma reservada y para el tratamiento dispuesto, quedando prohibida toda difusión a terceros.
Si bien lo enunciado es el régimen general, hay ciertos datos que por su complejidad y sensibilidad tienen un tratamiento especial, tales como los datos sensibles, de salud, relacionados al ámbito laboral, de telecomunicaciones, publicidad, de la actividad comercial o crediticia y biométricos, cuyo análisis abordaremos en una próxima entrega.
(*) Integrante del equipo legal de Galante & Martins