Acaba de conocerse la promulgación por parte del Poder Ejecutivo de Uruguay de la Ley Nº 19.670 de 15 de octubre de 2018 (Ley de Rendición de Cuentas y Balance de Ejecución Presupuestal) que introduce importantes modificaciones a la Ley Protección de Datos Personales y Habeas Data Nº 18.331 de 11 de agosto de 2008 ("LPD").

Este año se conmemoran los 10 años de la aprobación de dos normas de fundamental importancia en la Agenda Digital de Uruguay:
- La Ley 18.331 de Protección de Datos (“LPD”)
- La Ley 18.381 de Acceso a la Información Pública

Uruguay es unos de los países más avanzados en infraestructura digital de la región y es pionero en la protección de privacidad y datos personales.

Aprobó en el año 2011 el Convenio Nº 108 del Consejo de Europa y fue uno de los primeros países en ser declarado “adecuado” por la Unión Europea en materia de Protección de Datos Personales, de conformidad con la Directiva 95/467CE.

La autoridad de control en materia de Protección de Datos Personales (la URCDP) tiene un fuerte liderazgo en el control y en la protección de los datos personales y en la observancia del cumplimiento de las obligaciones y estándares que establece la LPD.

Las modificaciones ahora aprobadas responden al impacto en Uruguay de la aprobación en el 2016 del Reglamento General de Protección de Datos (“RGPD” y por sus iniciales en inglés también conocido como “GDPR”), que entró en vigencia el 25 de mayo de 2018.

Las autoridades en materia de protección de datos personales en Uruguay han resaltado que la normativa requiere de permanente actualización, debido a los desafíos que plantea el constante avance tecnológico. En este marco se inscribe la aprobación de estas nuevas reglas de juego.

En este primer avance hemos de abordar un breve análisis del contenido de las modificaciones y cómo impactan las obligaciones de cumplimento y buenas prácticas en la materia.

¿En qué consisten las modificaciones introducidas a la LPD?

  • Aplicación extraterritorial de la LPD en algunos supuestos:
    - oferta de bienes y servicios dirigida a Uruguay;
    - análisis de comportamiento de personas que habiten en Uruguay;
    - si así lo dispone un contrato o el Derecho Internacional Público:
    - si para el tratamiento de datos se utilizan medios situados en Uruguay;
  • Obligación de notificar las vulneraciones de seguridad (“data breach”) de forma inmediata a los titulares de los datos y a la autoridad de control (URCDP)
  • Consagración del principio de la Responsabilidad Proactiva (“Accountability”).
  • Obligación de implementar Privacidad desde el Diseño y Privacidad por Defecto así como Evaluaciones de Impacto.
  • Obligación de documentar por contrato los servicios de tratamiento de datos personales realizados por terceros.
  • DPO. Consagración de la obligación para determinadas entidades de designar un Delegado de Protección de Datos.

¿Cómo impactan estas nuevas reglas de juego en materia de Privacidad y Protección de Datos en su empresa u organización?

  • Analizar su operativa para determinar si se encuentra alcanzado por la LPD ya sea porque realice actividad de tratamiento en Uruguay o bien en virtud de la aplicación extraterritorial de la Ley que ahora se consagra.
  • Realizar una evaluación y auditoría a los efectos de constatar su grado actual de cumplimiento de las obligaciones y estándares de la LPD y los cambios y modificaciones requeridos para cumplir con el principio de Responsabilidad Proactiva (“Accountability”).
  • Elaborar un protocolo de actuación para Vulneraciones de Seguridad. Capacitación del personal para incidentes de seguridad de la información y vulneraciones de seguridad.
  • Determinar si ha existido tercerización de servicios de tratamiento de datos, revisar y adecuar los contratos existentes o celebrar los nuevos que sean requeridos.
  • Modificar y adecuar las políticas de privacidad y términos y condiciones, códigos de conducta y protocolos de buenas prácticas en materia de privacidad y datos personales para adaptarlos a los nuevos estándares y obligaciones.
  • Determinar si su empresa u organización requiere contar o no con un Delegado de Protección de Datos y en caso afirmativo designarlo y definir su protocolo de actuación.
Esta Ley será reglamentada por el Poder Ejecutivo, y entrará en vigencia a partir del 1 de enero de 2019. Estaremos atentos a la reglamentación y les informaremos de las novedades que se produzcan

Nuestro equipo en FISCHER Privacidad & Protección de Datos con gusto se encuentra a la orden para brindarles cualquier aclaración o ampliación que puedan requerir en relación con el contenido de esta Alerta Legal.

Compartir en: