Ley de Protección de Datos de Carácter Personal de Uruguay

La Ley Nº 18.331 de Protección de Datos Personales de Uruguay, también conocida como Ley de Protección de Datos, es una política de privacidad que fue aprobada en 2018. Con respecto a la protección de datos el país, Uruguay fue el segundo país latinoamericano en ser declarado adecuado por la Comisión Europea, después de que la comisión revisara las políticas de protección de datos del país en 2012. Además, Uruguay fue la primera nación no europea en ratificar el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, o el Convenio 109 original para abreviar. En este contexto, la Ley de Protección de Datos se aprobó para proporcionar a los uruguayos un nivel de protección de datos equiparable al Reglamento General de Protección de Datos de la UE o GDPR.

¿Cuál es el alcance y aplicación de la Ley de Protección de Datos?

En cuanto al ámbito de aplicación personal de la ley, la Ley de Protección de Datos se aplica a cualquier persona física identificada o identificable, así como a las personas jurídicas en su caso, ya sean privadas o públicas. “En cuanto a los datos personales de los fallecidos, el artículo 14 de la ley establece que el derecho de acceso puede ser ejercido por cualquier sucesor legal de pleno derecho”. En cuanto al ámbito de aplicación territorial de la ley, la Ley de Protección de Datos “se aplica cuando el tratamiento de datos personales es realizado por responsables ubicados en Uruguay, cuando ejecutan sus actividades en Uruguay (Artículo 3(a) del Decreto)”.

En cuanto a las actividades de tratamiento de datos que tienen lugar fuera de Uruguay, la ley se aplica en las siguientes circunstancias:

• Si las actividades de tratamiento de datos están relacionadas con la oferta de bienes o servicios a personas físicas residentes en Uruguay, o tienen por objeto controlar el comportamiento de ciudadanos uruguayos.
• Si las leyes internacionales privadas o las obligaciones contractuales así lo exigen.
• Si las actividades de tratamiento de datos se llevan a cabo utilizando medios establecidos en el país, con la excepción de los casos en que dichos medios se utilizan con el único propósito de tránsito, y hay una persona que es responsable del tratamiento de la residencia en Uruguay, según lo designado por el controlador de datos aplicable ante la URCDP (La Autoridad de Protección de Datos de Uruguay).

¿Cuáles son los requisitos que la Ley de Protección de Datos impone a los responsables del tratamiento?

Como ocurre con muchas otras leyes de protección de datos de todo el mundo, la Ley de Protección de Datos exige que los responsables del tratamiento se atengan a una serie de principios en lo que respecta al tratamiento de datos personales. Estos principios incluyen la legalidad, la veracidad, la finalidad, el consentimiento, la seguridad, la calidad de los datos, la proporcionalidad, la transparencia, la integridad, la confidencialidad, la responsabilidad, el principio de limitación de las transferencias ulteriores y la autonomía de la URCDP. Además, existen otras muchas obligaciones que los responsables del tratamiento deben cumplir en virtud de la Ley de Protección de Datos. Algunas de estas obligaciones son

• Notificaciones de tratamiento de datos: la Ley de Protección de Datos exige el registro de todas las bases de datos que contengan datos personales de los interesados, ya sean privadas o públicas. Además, esta base de datos también debe detallar las categorías de datos, cómo se recopilan y procesan los datos, el nombre de las bases de datos, el responsable del tratamiento, el lugar de almacenamiento y los periodos de conservación, las medidas de seguridad que se aplican para proteger los datos personales y cómo puede ejercerse el derecho del interesado a acceder, rectificar, actualizar, incluir o eliminar cualquier dato personal.
• Transferencias de datos– Según la ley, las transferencias internacionales de datos sólo están permitidas si el país u organización internacional en cuestión está dentro de un país que ofrece un nivel adecuado de protección de datos.
• Nombramiento de un responsable de la protección de datos- En determinadas circunstancias, las agencias y organizaciones empresariales pueden verse obligadas a nombrar a un responsable de la protección de datos o RPD de conformidad con la ley.
• Evaluaciones de impacto sobre la protección de datos: en virtud de la Ley de protección de datos, los responsables del tratamiento de datos deben realizar evaluaciones de impacto sobre la protección de datos (EIPD) de conformidad con las directrices establecidas por la ley.
• Notificaciones de violaciones de datos – En los casos en que se produzcan violaciones de datos, el responsable del tratamiento de datos aplicable debe notificarlas tanto a la URCDP como a los interesados que se hayan visto afectados posteriormente en un plazo de 72 horas.

¿Cuáles son los derechos de los interesados en virtud de la Ley de protección de datos?

En relación con los derechos que la ley reconoce a los interesados, la Ley de Protección de Datos otorga a los ciudadanos uruguayos diversas protecciones en relación con su intimidad personal. Estos derechos incluyen:

• El derecho a ser informado.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión.
• Derecho de oposición.
• Derecho a la portabilidad de los datos.
• Derecho a no ser objeto de decisiones automatizadas.
• Derecho a consentir que los datos personales sigan siendo utilizados por terceros.
• El derecho al consentimiento expreso por escrito en relación con los datos sensibles.

En cuanto a la aplicación de la ley, la Ley de Protección de Datos también estableció la Autoridad Uruguaya de Protección de Datos, o URCDP para abreviar, con el fin de supervisar los principales y las obligaciones de la ley. Con este fin, los responsables del tratamiento que infrinjan la ley están sujetos a una serie de sanciones y medidas coercitivas que incluyen advertencias, multas administrativas y la suspensión de la base de datos de los responsables del tratamiento. Además, la URCDP también está facultada para solicitar judicialmente el cierre de una base de datos de responsables del tratamiento.

Con la aprobación de la Ley de Protección de Datos, Uruguay proporcionó aún más derechos de protección de datos a un país que ya había estado a la vanguardia del tema dentro de su región. Este enfoque proactivo de la protección de datos se ha reflejado en la decisión del país de ratificar el Convenio 108 original en 2013, ya que el país se ha esforzado por poner su legislación sobre privacidad al mismo nivel que la del Reglamento General de Protección de Datos de la UE. Como tal, Uruguay sirve de modelo para la forma en que otros países de América del Sur pueden proporcionar mejores derechos de privacidad de datos a sus respectivos ciudadanos.