Estimados clientes,

Ponemos en su conocimiento que la Unidad Reguladora y de Control de Datos Personales de Uruguay ("URCDP”) emitió la Resolución Nº 70/2023,que viene a complementar la reciente Resolución Nº 63/2023 de fecha 22 de noviembre de 2023 en la cual se incluyó como adecuadas las transferencias internacionales de datos personales realizadas a las organizaciones incluidas en el “Listado del Marco de Privacidad de Datos” publicado por el Departamento de Comercio de los Estados Unidos de América y a las entidades sujetas a la Ley de Protección de la Información Personal de la República de Corea. Adjuntamos link a nuestra alerta anterior.

En dicho marco, la nueva Resolución Nº 70/2023, dispone nuevas obligaciones para aquellas entidades que deseen transferir datos personales a organizaciones que se encuentren amparadas en el referido Marco de Privacidad.

1. Implicaciones de la Resolución Nº 70/2023:

Registro de Bases de Datos - Transferencias Internacionales de Datos:

Antes de realizar transferencias internacionales de datos personales, es necesario inscribir/actualizar la base de datos correspondiente en el Registro de Bases de Datos de la URCDP (indicando los países a los cuales se realizan trasferencias de datos personales).

Información a los Titulares de Datos:

Los responsables y encargados de tratamiento deben comunicar a los titulares de los datos el destino de sus datos, el rol del importador, el plazo de la transferencia, la base de legitimación y las operaciones de tratamiento realizadas por el importador, en cumplimiento con el artículo 13 de la Ley Nº 18.331.

Adaptación de Políticas de Privacidad:

Se dispone de un plazo de 6 meses para adaptar las políticas de privacidad a las nuevas disposiciones, esto por ejemplo a efectos de cumplir con el punto anterior.

Transferencias a Organizaciones en el Marco de Privacidad de UE-EE. UU.:

Los responsables y encargados de tratamiento que procuren realizar transferencias internacionales a organizaciones incluidas en el referido Marco de Privacidad deberán presentar ante la URCDP, en la oportunidad de la inscripción de la Base de Datos o en forma previa a la transferencia, una declaración expresa en la que la respectiva organización importadora declare haber extendido la aplicación de las salvaguardas de dicho Marco de Privacidad a los datos transferidos desde Uruguay. Lo anterior no se aplicaría en caso de que la transferencia se fundamente en alguna otra excepción y no en dicho Marco de Privacidad, por ejemplo, en caso de que la transferencia se aprobada por la URCDP en base a cláusulas contractuales o un código de conducta, o bien se cuente con el consentimiento expreso e informado de los titulares de los datos u alguna otra excepción.

2. Recomendaciones Prácticas:

Revisión de Procesos de Transferencia de Datos:

Revisar y actualizar las políticas y procedimientos internos relacionados con la protección de datos y las transferencias internacionales asegurándose de que reflejen los requisitos referidos anteriormente.

Revisar encargados de tratamiento o proveedores externos a efectos de que los mismos regulen adecuadamente el tratamiento que debe darse a los datos personales y las responsabilidades de cada parte.

El equipo de Protección de Datos Personales está a disposición para brindarles asesoramiento y apoyo en la adaptación a estos cambios, asegurando que sus operaciones de transferencia de datos se realicen en cumplimiento de la normativa vigente.