Transcripción de la columna en Radio Carve de 07 de enero, 2026
En Uruguay existe una regulación de avanzada sobre lo relativo a la protección de datos personales. Para conocer sobre esta normativa, recibimos a la Dra. Valentina Viola del integrante del Departamento Contencioso y Consultoría Legal del Estudio Posadas.
En primer lugar, ¿Cuál es la normativa que regula la protección de datos y cómo se define al “dato personal” y a las “bases de datos”?
El régimen de protección de datos personales en Uruguay está establecido, principalmente, en la Ley de Protección de Datos N°18.331 – que reconoce que el derecho a la protección de datos personales es un derecho inherente a la personalidad humana – la Ley N°19.670, los Decretos reglamentarios del Poder Ejecutivo y las Resoluciones de la Unidad Reguladora y de Control de Datos Personales.
La normativa define a los datos personales como “información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables”.
Y a las bases de datos como el conjunto organizado de datos personales objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.
Es importante tener en cuenta estas definiciones ya que determinan que el alcance de la normativa, y en consecuencia, las obligaciones que esta impone para quienes son responsables de bases de datos y tratan datos personales, es muy amplio.
¿Y qué tipo de obligaciones se imponen a quienes tratan datos personales y son responsables de bases de datos?
La normativa impone distintos tipos de obligaciones. Algunas de ellas son:
- Inscripción de las bases de datos ante la autoridad
- Obtención del consentimiento del titular para el tratamiento de sus datos personales
- Cumplir con el derecho de información de los titulares frente al tratamiento de datos personales.
- Eliminación de los datos luego del periodo necesario para lograr el propósito para que fueran recabados.
- Adopción de medidas de seguridad para prevenir adulteración, pérdida, consulta o tratamiento no autorizado de las bases de datos.
- Dar respuesta en tiempo y forma ante el ejercicio de derechos por parte de los titulares de los datos. En este sentido, el responsable de la base de datos tiene un plazo de 5 días para responder a las solicitudes de acceso, rectificación, actualización, inclusión y eliminación de datos personales que formulen sus titulares.
Además, la normativa incorporó en el año 2020 el concepto de responsabilidad proactiva y determinó que esta implica la adopción de medidas como:
- Realizar Evaluación de Impacto en los casos que la norma especifica
- Privacidad por diseño
- Privacidad por defecto
Quiénes están obligados a tener un Delegado de Protección de Datos?
Según lo establecido en el artículo 40 de la Ley N° 19.670 las entidades públicas, estatales o no estatales, las privadas total o parcialmente de propiedad estatal, así como las entidades privadas que traten datos sensibles como negocio principal y las que realicen el tratamiento de grandes volúmenes de datos deberán designar un delegado de protección de datos.
De acuerdo con la normativa vigente son datos sensibles aquellos que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Por otra parte, se considera tratamiento de grandes volúmenes de datos cualquier actividad en la que se realice un tratamiento de datos personales de más de 35.000 personas.
Los obligados deben designar al delegado y comunicar tal designación a la autoridad, que evaluará si este cumple con la formación que exige la normativa para desempeñar su rol.
Es cada vez más común escuchar que suceden “hackeos” o “robo de datos”, existen obligaciones ante vulneraciones de seguridad?
Ante la constatación de una vulneración de seguridad, tanto el responsable como el encargado en su caso, deben iniciar los procedimientos necesarios para minimizar el impacto de los incidentes dentro de las primeras 24 horas.
En el caso de quienes son responsables, al conocer la ocurrencia de una vulneración de seguridad debe informar dentro del plazo de 72 horas, dando los mayores detalles posibles del hecho y de las medidas que adoptó hasta el momento de la comunicación, a la URCDP.
Además, si esta vulneración ocasionó una afectación significativa de los derechos de los titulares de los datos, deberá comunicársela a éstos en un lenguaje claro y sencillo
Y por último, se prevén sanciones para quienes incumplan con lo dispuesto en la regulación?
Efectivamente, la normativa confiere potestades sancionatorias a la autoridad de aplicación, que van desde observación o apercibimiento, multas de hasta 500.000 UI y la posibilidad de suspender la base de datos respectiva. Además, la autoridad puede promover ante los órganos jurisdiccionales correspondientes la clausura de la base de datos.
Escuchá la columna completa aquí.
Autora:
