TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES. (CAMBIOS INCORPORADOS POR LA LEY N°19670)

Montevideo, 22 de enero de 2019.

En la última rendición de cuentas, Ley 19670, publicada el 25-10-18 (https://www.impo.com.uy/bases/leyes/19670-2018) se incorporan cambios relevantes en la legislación nacional de protección y tratamiento de datos personales, que entraron en vigor el 1° de enero de este año.

Naturalmente era cuestión de tiempo para que la normativa uruguaya fuese incorporando aspectos del Reglamento Europeo de Protección de Datos actualizado, que entró en vigor el  año pasado.

En esta oportunidad surgen 4 Artículos que se suman o actualizan la ley 18331 de protección de datos personales, vigente desde agosto de 2008.

Aún debemos esperar la reglamentación de dos aspectos claves de la nueva normativa, en lo que refiere al reporte de incidentes y en el ejercicio de la responsabilidad proactiva que se debe ejercer.

Ante estos cambios es importante recibir el asesoramiento adecuado para el debido cumplimiento y evitar cualquier sanción ante una denuncia de vulneración de los datos. 

El equipo de Datasec está a sus órdenes ante cualquier consulta o aclaración que puedan requerir, y a los efectos de analizar el conjunto el impacto que la nueva normativa puede tener en los procesos de gestión de seguridad de la información de vuestra organización.

A continuación, enumeramos las novedades que surgen de le ley 19670:

 

Territorialidad: en los casos donde el responsable de los datos este fuera del territorio nacional, debe cumplir con la ley uruguaya si su producto o servicio se ofrece a habitantes de Uruguay

 

Artículo 37.- El tratamiento de datos personales estará sometido a la Ley Nº 18.331, de 11 de agosto de 2008 y sus modificativas y concordantes, cuando se efectúe por un responsable o encargado de tratamiento establecido en territorio uruguayo, lugar donde ejerce su actividad. En caso de que no esté establecido en ese territorio, dicha ley regirá:

A) Si las actividades del tratamiento están relacionadas con la oferta de bienes o servicios dirigidos a habitantes de la República o con el análisis de su comportamiento.

 B) Si lo disponen normas de derecho internacional público o un contrato.

 C) Si en el tratamiento se utilizan medios situados en el país. Exceptúense los casos en que los medios se utilicen exclusivamente con fines de tránsito, siempre que el 38 responsable del tratamiento designe un representante, con domicilio en territorio nacional, ante la Unidad Reguladora y de Control de Datos Personales, a fin de cumplir con las obligaciones previstas por la Ley Nº 18.331, de 11 de agosto de 2008.

 

Comunicación de incidentes de seguridad: se vuelve obligatorio informar de cualquier vulneración de seguridad de la información al CERTuy, quienes apoyaran en la resolución del incidente y la mitigación del riesgo de su repetición.

 

Artículo 38.- Cuando el responsable o encargado de una base de datos o de tratamiento, tome conocimiento de la ocurrencia de la vulneración de seguridad, deberá informar inmediata y pormenorizadamente de ello y de las medidas que adopte, a los titulares de los datos y a la Unidad Reguladora y de Control de Datos Personales, la que coordinará el curso de acción que corresponda, con el Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy).

La reglamentación determinará el contenido de la información correspondiente a la vulneración de seguridad.

 

Proactividad y responsabilidad: el encargado de base de datos o tratamiento de datos personales deberá ejercer y demostrar proactividad para la prevención de los incidentes de seguridad, elevando así su responsabilidad y la posibilidad de recibir sanciones.

 

Artículo 39.- sustitúyase el artículo 12 de la Ley Nº 18.331, de 11 de agosto de 2008, por el siguiente:

"ARTÍCULO 12. (Principio de responsabilidad).- El responsable de la base de datos o tratamiento y el encargado, en su caso, serán responsables de la violación de las disposiciones de la presente ley. En ejercicio de una responsabilidad proactiva, deberán adoptar las medidas técnicas y organizativas apropiadas: privacidad desde el diseño, privacidad por defecto, evaluación de impacto a la protección de datos, entre otras, a fin de garantizar un tratamiento adecuado de los datos personales y demostrar su efectiva implementación.

La reglamentación determinará las medidas que correspondan según los tipos de datos, tratamientos y responsables, así como la oportunidad para su revisión y actualización". 

 

 Designación de un delegado de protección de datos:  las entidades estatales y no estatales, incluyendo las privadas total o parcialmente de propiedad estatal, las entidades privadas que tengan como negocio principal el tratamiento de datos sensibles, y, las que realicen el tratamiento de grandes volúmenes de datos, deberán obligatoriamente designar un delegado de protección de datos para asesorar, supervisar, proponer medidas y actuar como nexo entre su entidad y la URCDP

 

Artículo 40.- Las entidades públicas, estatales o no estatales, las privadas total o parcialmente de propiedad estatal, así como las entidades privadas que traten datos sensibles como negocio principal y las que realicen el tratamiento de grandes volúmenes de datos deberán designar un delegado de protección de datos. Sus funciones principales serán:

A) Asesorar en la formulación, diseño y aplicación de políticas de protección de datos personales.

B) Supervisar el cumplimiento de la normativa sobre dicha protección en su entidad.

 C) Proponer todas las medidas que entienda pertinentes para adecuarse a la normativa y a los estándares internacionales en materia de protección de datos personales.

D) Actuar como nexo entre su entidad y la Unidad Reguladora y de Control de Datos Personales. El delegado deberá poseer las condiciones necesarias para el correcto desempeño de sus funciones y actuará con autonomía técnica.

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

Más sobre Datasec >

ISO27001

Social