Transcripción de la columna en Radio Carve del 17 de enero, 2024
Recientemente La Unidad Reguladora y de Protección de Datos Personales de Uruguay (URCDP) emitió las Resoluciones 63/2023 y 70/2023, que introdujeron modificaciones en materia de transferencias internacionales de datos, conversamos de las implicancias de esta decisión con la Dra. Magdalena Cuñarro integrante del departamento de derecho corporativo del Estudio Posadas.
A modo contextual, ¿en qué consiste la protección de los datos personales?
Bueno, la protección de datos personales es un tema muy interesante y amplio que no podemos abarcar en su totalidad en estos minutos, pero a modo de referencia, nuestra Ley 18.331 reconoce el derecho humano a la protección de los datos personales. Y define al dato personal como aquella información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables.
Nuestro marco regulatorio está recogido principalmente en la Ley 18.331, sus decretos reglamentarios, artículos 37 a 40 de la Ley N° 19.670 , su Decreto reglamentario Nº 64/020 y las resoluciones de la autoridad en la materia que es la Unidad Reguladora y de Protección de Datos Personales.
En esa normativa se regulan diferentes aspectos relacionados con el tratamiento de datos personales. Entre esos aspectos, y lo que aquí nos convoca, regula lo relativo a la transferencia internacional de los datos personales.
Si bien la Ley de Protección de Datos personales es del año 2009 el tema de la protección de los datos personales ha tomado relevancia a nivel internacional y en consecuencia a nivel nacional en los últimos años.
¿En qué consisten y como se regulan las transferencias internacionales de datos personales?
Las transferencias internacionales de datos suponen su transmisión fuera del territorio nacional y constituye una cesión o comunicación que se hace por una organización a un tercero y que tiene por objeto la realización de un tratamiento por cuenta del responsable de la base de datos o tratamiento establecido en territorio uruguayo.
Lo que aquí nos convoca específicamente es la transferencia internacional de datos personales a países sin niveles adecuados de protección.
El artículo 23 de la Ley Nº 18.331 dispone la prohibición de realizar transferencias internacionales de datos a países o que no proporcionen niveles de protección adecuado, salvo que se configure alguna de las excepciones expresamente establecidas en la ley -como ser el consentimiento previo, expreso e informado del titular de los datos- o, si no se configura alguna de las excepciones previstas, la obtención de autorización de la Unidad Reguladora y de Protección de Datos Personales para realizar tal transferencias esta Unidad el órgano encargado de establecer los países y organismos que brindan dichos niveles de protección.
En el marco de las competencias que le brinda la Ley, la Unidad es quien determina los territorios con niveles adecuados para la transferencia de datos personales.
Así, a lo largo de los años la Unidad Reguladora y de Protección de Datos Personales se ha ido pronunciando respecto a los países o entidades que considera que tiene un nivel adecuado de protección en materia de datos personales. Para ello, se evalúa -según estándares internacionales- si el país o entidad en cuestión tiene una protección equivalente a la uruguaya.
¿Cuál fue el cambio reciente concreto a este respecto?
Lo que sucedió es que hubo una nueva modificación en los países o entidades considerados por la autoridad nacional con nivel adecuado de protección en materia de protección de datos personales.
Así, por Resolución Nº 63/2023 del Consejo Ejecutivo de la Unidad Reguladora y de Control de Datos Personales, se incluyó dentro de las jurisdicciones que a criterio de la autoridad presentan nivel adecuado en la materia a ciertas entidades de Estados Unidos, concretamente las organizaciones incluidas en el “Listado del Marco de Privacidad de Datos” publicado por el Departamento de Comercio de EE. UU.
y entidades sujetas a la Ley de Protección de la Información Personal de la República de Corea. Eso facilita el funcionamiento de muchas organizaciones uruguayas que por una u otra razón realizan transferencias de datos a Estados Unidos, por ejemplo, para almacenar en servidores que se encuentran allí.
Esta decisión se toma en el marco de un Acuerdo entre Estados Unidos y la Unión Europea: “Marco de Privacidad de Datos”.
La última modificación de este punto había sido en 2021 que justamente había excluido a las entidades ubicadas en Estados Unidos.
¿y luego se dictó una nueva resolución?
Efectivamente, es una Resolución relacionada con la anterior, que viene a regular ciertos aspectos de funcionamiento.
La autoridad por Resolución Nº 70/023 estableció que para que las entidades en territorio estadounidense incluidas en el Marco de Privacidad de UE-EEUU sean consideradas con nivel adecuado de protección, los responsables y encargados uruguayos que procuren realizar dichas transferencias deberán presentar ante la autoridad, en la oportunidad de la inscripción de la Base de Datos o en forma previa a la transferencia, una declaración expresa en la que la respectiva organización estadounidense importadora de los datos declare haber extendido la aplicación de las salvaguardas del Marco de Privacidad de UE-EEUU a los datos transferidos desde Uruguay.
Además, según lo dispuesto en esta última Resolución, los responsables de la transferencia internacional de datos deben informar a los titulares de los datos el destino de sus datos, el rol del importador, el plazo de transferencia, la base de legitimación y las operaciones de tratamiento realizadas por el importador.
Para finalizar, ¿están previstas consecuencias en caso de incumplimiento a las disposiciones en materia de transferencia internacional de datos? Por ejemplo, si se transfiere a un país sin niveles adecuados de protección sin que se configure una excepción o se obtenga autorización de la autoridad
No hay una sanción específica para la vulneración a las obligaciones en materia de transferencia internacional de datos, sino que se debe considerar el régimen sancionatorio previsto en la ley 18.331 que incluye desde una observación o apercibimiento, multas de hasta 500.000 unidades indexadas e incluso la posibilidad de suspender el funcionamiento de la base de datos o, promover ante el órgano judicial competente la clausura de la base de datos.
Escuchá la columna completa aquí.
Autora: