El 25 de Octubre fue publicada en el Diario Oficial la Ley N° 19.670, Ley de Rendición de Cuentas y Balance de Ejecución Presupuestal correspondiente al ejercicio 2017 (“Ley de Rendición de Cuentas”).

La Ley de Rendición de Cuentas introduce varios cambios entre los que se encuentran cambios en materia de Datos Personales que comienzan a regir el 1ro. de enero de 2019.

Los cambios en materia de datos personales más relevantes son los siguientes:

• se amplía el alcance de la Ley de Protección de Datos Personales N° 18.331,
• se incluye la necesidad de notificar a la Unidad Reguladora y de Control de Datos Personales (“URCDP”) en caso de vulneraciones de seguridad,
• se incluyen cambios respecto de la responsabilidad que asumen los responsables y encargados de tratamiento, y
• se incluye la necesidad de designar un delegado de protección de datos personales respecto de determinadas entidades.

 

A continuación desarrollamos los cambios antes referidos.

 

Ámbito de aplicación de la Ley de Protección de Datos Personales

Se amplía el alcance de la Ley N° 18.331, la cual pasa a tener un alcance extraterritorial. En este sentido, la Ley N° 18.331, en forma similar al nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés), pasa a ser aplicable también cuando el responsable o encargado de tratamiento no esté establecido en el territorio uruguayo: i) si las actividades de tratamiento de datos están relacionadas con la oferta de bienes o servicios dirigidos a habitantes de Uruguay o con el análisis de su comportamiento; ii) cuando lo dispongan las normas del derecho internacional público o un contrato; y iii) si se utilizan medios situados en el país, con excepción de que se utilicen con fines de tránsito siempre que el responsable del tratamiento designe un representante ante la URCDP con domicilio en el territorio nacional.

 

Vulneraciones de seguridad

Se dispone que en caso que el responsable o encargado del tratamiento de una base de datos tome conocimiento de la ocurrencia de una vulneración de seguridad, deberá comunicarlo de forma inmediata y pormenorizadamente así como las medidas que adopte a los titulares de los datos y a la URCDP, la que coordinará el curso de acción con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy). Se prevé que la reglamentación determine el contenido de la información que deberá darse a conocer.

 

Principio de responsabilidad

Se modifica el artículo 12 de la Ley N° 18.331 relativo al principio de responsabilidad previendo que el responsable de la base de datos o el encargado de tratamiento deberá asumir un rol proactivo en la adopción de medidas técnicas y organizativas apropiadas. Lo anterior incluye el deber de prever la privacidad desde el diseño y por defecto y realizar evaluaciones de impacto a efectos de garantizar un tratamiento adecuado de los datos personales, debiendo en todo caso documentar las medidas adoptadas para poder demostrar su implementación. Se prevé que la reglamentación determinará las medidas que corresponda según los tipos de datos, tratamientos y responsables.

 

Delegado de Protección

Se incluye obligación, tanto de entidades públicas como privadas, de designar un delegado de protección de datos cuando se traten datos sensibles como negocio principal o traten grandes volúmenes de datos. Dentro de las funciones del delegado de protección de datos se encuentran la de asesorar en el diseño y aplicación de políticas de protección de datos, supervisar el cumplimiento de la normativa en la materia y actuar como nexo entre su entidad y la URCDP.