El pasado 21 de febrero de 2020 se publicó el Decreto Nº 64/020, reglamentario de los artículos 37 a 40 de la Ley 19.670 de 15 de octubre de 2018, que introdujo modificaciones a la Ley de Protección de datos con el objetivo de brindar a las personas un nivel de protección acorde a los nuevos desarrollos tecnológicos y a la evolución en las formas de tratamiento de los datos personales.

En su considerando II) se menciona que para la redacción del Decreto se han tomado en cuenta el Reglamento Europeo Nº 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; los Estándares en Protección de Datos Personales para los Estados Iberoamericanos emitidos por la Red Iberoamericana de Protección de Datos en junio de 2017; el Convenio N° 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal y su Protocolo Adicional de 8 de noviembre de 2001, ambos aprobados por Ley Nº 19.030 de 27 de diciembre de 2012; y el Protocolo de Modernización del citado Convenio aprobado por el Comité de Ministros del Consejo de Europa el 18 de mayo de 2018, suscrito por la República Oriental del Uruguay el 10 de octubre de 2018.

A continuación resumimos su principal contenido:

Ámbito territorial

Se entiende que el responsable o encargado de tratamiento está establecido en Uruguay cuando realice en el país una actividad estable. Asimismo, se aplicará la normativa extraterritorialmente en los siguientes supuestos:

• Si se trata de una oferta de bienes o servicios dirigidos a habitantes de la República, lo cual se apreciará por el uso del idioma, la referencia al pago en moneda nacional o la provisión de servicios, en territorio uruguayo.
• Si las actividades están relacionadas con el análisis del comportamiento de los habitantes de la República, incluyendo la elaboración de perfiles.
• Cuando así lo dispongan normas de derecho internacional público o un contrato.
• En los casos en que en el tratamiento se utilicen medios situados en el país, tales como redes de información y de comunicación, centros de datos e infraestructura informática en general.

Vulneraciones de seguridad

El Decreto establece que, tanto el responsable del tratamiento como el encargado del mismo, deberán adoptar las medidas técnicas y organizativas necesarias para conservar la integridad, confidencialidad y disponibilidad de la información, de acuerdo con estándares nacionales e internacionales en seguridad de la información, de forma que se garantice la seguridad de los datos personales.

De igual forma, contempla la obligación de notificar las vulneraciones de seguridad de forma inmediata a los titulares de los datos, utilizando un lenguaje claro y sencillo, y a la Unidad Reguladora y de Control de Datos Personales (URCDP), en un plazo máximo de 72 horas desde que haya sido  constatada la existencia de un incidente de seguridad.

Medidas de responsabilidad proactiva

Las medidas adoptadas por el responsable y el encargado del tratamiento para garantizar la seguridad y confidencialidad de los datos personales deberán estar documentadas y ser revisadas periódicamente y evaluadas en su efectividad.

La documentación de las medidas deberá incluir, como mínimo, la forma, medios y finalidad del tratamiento, los procedimientos orientados a dar cumplimiento a las normas de protección de datos, la planificación de mecanismos para responder a vulneraciones de seguridad y el rol del delegado de protección de datos, cuando corresponda.

Así mismo, la evaluación de impacto en la protección de datos personales deberá contener:

• Una descripción sistemática del tratamiento a realizar y su finalidad.
• Una evaluación del tratamiento con relación al cumplimiento de la normativa de protección de datos personales.
• Una evaluación de los riesgos para los derechos de los titulares de los datos.
• Un detalle de las medidas de seguridad y de los mecanismos para demostrar el cumplimento de la normativa de protección de datos personales.

Privacidad por diseño

El Decreto incorpora el concepto de “privacidad por diseño” como requisito para cumplir con la normativa y dispone las medidas que deben incorporarse para el diseño de las bases de datos, las operaciones de tratamiento, las aplicaciones y los sistemas informáticos, entre otras técnicas de disociación, seudonimización y minimización de datos, documentación de los consentimientos, tiempo de conservación de los datos, planes de contingencia, etc.

Privacidad por defecto

En el caso de la privacidad por defecto, el responsable y el encargado del tratamiento deberán aplicar las medidas técnicas y organizativas apropiadas a los efectos de garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.

Delegado de protección de datos personales

Las siguientes entidades estarán obligadas a designar un delegado de protección de datos, que deberá tener conocimientos en derecho y especialización acreditada en protección de datos personales, y a comunicar su nombramiento a la URCDP en un plazo de 90 días desde el inicio del tratamiento:

• Entidades públicas, estatales o no estatales y las privadas total o parcialmente de propiedad estatal.
• Entidades privadas que traten datos sensibles como negocio principal. De conformidad con lo establecido por el artículo 4° literal E) de la Ley N° 18.331 de 11 de agosto de 2008, son datos sensibles aquellos que revelen origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
• Entidades privadas que realicen tratamiento de grandes volúmenes de datos.

Sanciones

Por último, el Decreto prevé la aplicación de sanciones por incumplimiento que serán fijadas por la URCDP, e incluirán desde observaciones y apercibimiento, hasta la clausura de la base de datos y la imposición de multas.