datos personales - ctu mcr - Cámara de Telecomunicaciones del

Anuncio
El presente documento fue confeccionado para la exposición
de los temas tratados. No puede ser considerado como
opinión legal del Estudio o sus autores.
REGISTRO DE BASES DE DATOS
Martín Colombo
[email protected]
FERRERE
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
BASE DE DATOS:
1- Con información personal
2- Que sea susceptible de ser tratada
3- En cualquier soporte…..
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
Comprendidas
Excluidas
Todas las bases
de datos de
empresas (¿?),
públicas o
privadas
Las creadas por
leyes especiales,
razones de
seguridad, etc.
Algunas de las
personas físicas
Las de personas
físicas con fines
personales o
domésticos
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
El Decreto trató de evitar la fuga de bases de datos de
empresas. Pero, se contradice que la ley.
¿ENTONCES?
A los bancos de datos de empresas destinados a fines
personales y domésticos les aplica toda la ley. La única
obligación que puede no aplicarles es la de registro.
Pero, esta lectura es contraria a la postura de la
URCDP y es contraria a toda la normativa internacional.
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
Y…….¿QUÉ PASA CON LAS BASE DE DATOS
QUE NO ESTAN ACÁ?
Se regula el procesamiento de los datos. Cuando
el procesamiento se realiza en Uruguay
corresponde registrar la base de datos.
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
No hay que olvidar, también se inscriben:
Los códigos de conducta de práctica profesional
que establezcan normas para el tratamiento de
datos personales. Los códigos o reglas sobre
manejo de la información personal de las
empresas.
Las transferencias internacionales cuando
corresponda.
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
¿Dónde se realiza la inscripción?
Presentación del formulario
(www.datospersonales.gub.uy) con certificado
notarial de representación y existencia en la
URCPD
Antes del 14 de diciembre del 2009
Antes de los 90 días desde la creación
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
OJO: Inscribir NO es entregar la base de datos a
la URCDP
Por el contrario significa presentar una descripción
de la base de datos, los campos que se maneja, la
cantidad de información con que cuentan, etc.
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
Problemas más comunes en el llenado de formularios:
El certificado notarial:
a.
Debe ser del día en que se presenta el formulario (24 o 48 hrs
máximo)
b.
Debe tener representación, existencia y certificación de firma del
formulario
c.
Un certificado o testimonio notarial por cada base de datos
A- ¿QUÉ HAY QUE INSCRIBIR Y EN DONDE?
Problemas más comunes en el llenado de formularios:
Tiempo de conservación de los datos:
a.
¿A quién se le ocurre poner “Indefinido”?
b.
Debe existir una razón para este plazo: Prescripción de deudas
laborales, prescripción de pagos al Banco de Previsión Social,
comportamiento estadístico de los clientes, etc.
c.
Es preferible incluir plazos medianos o cortos y luego comunicar un
cambio de la base de datos ampliando el plazo, que presentar
plazos de 50 años.
B- ¿PARA QUE SE INSCRIBE?
Permitir ejercer las facultades de control al órgano
regulador.
Permitir informar a los titulares de los datos sobre la
existencia de la base de datos, para que estos puedan
ejercer sus derechos.
Identificar a los responsables.
C- ¿QUÉ PASA SI NO SE INSCRIBE?
El banco de datos será considerado ilegal.
No importa si cumple o no con los principios aplicables al
manejo de las bases de datos personales, por la falta de
inscripción la base de datos es irregular y el responsable
puede ser sancionado.
Las sanciones varían desde amonestación, multa hasta
U$S 50,000 y suspensión de la base de datos.
Aun en caso que no se haya registrado la base de datos, la
URCDP podrá inspeccionar.
D- OBLIGACIONES POSTERIORES A LA
INSCRIPCIÓN
Comunicar las actualizaciones cada 3 meses. Se
recomiendo dejar constancia de los
accesos/correcciones/agregados, etc. cuando se haya
realizado por pedido del titular del dato.
Comunicar las modificaciones.
El registro no tiene costo. Tiene un plazo de vigencia de un
año.
Publicar en lugar accesible al público el número y fecha de
la Resolución de la URCDP
2- BUENAS PRÁCTICAS
DIAGNÓSTICO: Revisar mis prácticas de
recolección y tratamiento de datos
ACCIONES PARA MANTENER EL VALOR:
- Cambio de contratos y formularios
- Normas de funcionamiento
IMPLEMENTACIÓN Y REGISTRO
TRANSFERENCIA INTERNACIONAL
DE DATOS
Martín Colombo
[email protected]
FERRERE
1- ¿POR QUÉ SE REGULAN LAS
TRANSFERENCIAS INTERNACIONALES DE
DATOS?
a. Para brindar que las garantías otorgadas por la
norma no sean burladas por uso tecnológicos
b. Para evitar los “data heavens”
2- ¿CÓMO SE REGULA?
El origen de todo: La Directiva 95/46/EC art. 25 y 26
El objetivo:
que los datos personales debidamente tratados
por la UE tengan el mismo nivel de protección
cuando sean enviados a terceros países
2- ¿CÓMO SE REGULA?
Se permite la transferencia cuando:
1. País de destino:
a- Es un país de la UE
b- Es un país que calificado como de protección adecuada
O
2. Medidas supletorias para garantizar la protección
de los datos personales (contractuales o códigos
de conducta)
O
3. Excepciones
3- ¿QUIÉN DECIDE QUÉ PAÍS BRINDA UNA
PROTECCIÓN ADECUADA?
En la Unión Europea:
(a) La “Comisión”. Es un órgano asesor. Recibe
comentarios y recomendaciones de:
- WP 29. Representantes de las URCDP locales y con
un integrante de la Comisión (emite opinión no
vinculante)
- Comité de representantes de países miembros
- Parlamento europeo que puede revisar si la Comisión
trabajó de acuerdo con sus facultades
4- ¿QUÉ SE TIENE EN CUENTA PARA
DECIDIR?
Para considerar a un país como de protección
adecuada se considera
La legislación general y sectorial sobre protección
de datos
La independencia de criterio y autonomía del
órgano de control
El enforcement de las normas
5- LA TRANSFERENCIA DE DATOS
PERSONALES
SE TRANSMITE
INFORMACIÓN
PERSONAL?
SI
FUE RECOLECTADA Y
TRATADA EN
CUMPLIMIENTO CON LA
NORMATIVA?
NO
TRANSFIERA!
NO
NO SE PUEDE!
LA TRANSFERENCIA ES
COINCIDENTE CON LA
FINALIDAD CON LA QUE SE
RECOLECTO?
SI
SE TRA
5- LA TRANSFERENCIA DE DATOS
PERSONALES
TRANSFIERA!
SE TRANSMITE A UN
ESTADO DE LA UE?
NO
SI
ES UN PAÍS ADECUADO?
NO
SI
BRINDÓ MECANISMOS DE
PROTECCIÓN
ALTERNATIVOS
TRANSFIERA!
NO
SI
NO SE PUEDE!
TRANSFIERA!
5- LA TRANSFERENCIA DE DATOS
PERSONALES
ESTA DENTRO DE LAS
EXCEPCIONES?
SI
TRANSFIERA!
NO
NO SE PUEDE!
5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE
LA TRANSFERENCIA?
COPIAMOS A LA EU Y ARGENTINA
De regla, se establece la prohibición de transferir
datos personales a países u organismos
internacionales que no tengan un nivel de protección
legal conforme al Derecho Internacional o
Regional en la materia.
La URCDP dijo que todo lo que diga la Comisión lo
dice ella…
5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE
LA TRANSFERENCIA?
En caso que el país al que se transfieren los datos no
se encuentre dentro de los considerados “seguros”,
se debe solicitar una habilitación especial de la
UCRDP o en su defecto, estar comprendido en
alguna de las excepciones previstas en las norma.
Para esto, es probable que se permite la
transferencia con la firma de las condiciones
contractuales estándar aprobadas por la Comisión
5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE
LA TRANSFERENCIA?
Excepciones:
1) Datos de carácter médico cuando así lo exija el tratamiento
del afectado por razones de salud o higiene públicas
2) Transferencias bancarias o bursátiles
3) Necesaria para la ejecución de un contrato entre el interesado
y el responsable del tratamiento o para la ejecución de medidas
precontractuales tomadas a petición del interesado
5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE
LA TRANSFERENCIA?
Excepciones:
4) Sea necesaria para la celebración o ejecución de un contrato
celebrado o por celebrar en interés del interesado, entre el
responsable del tratamiento y un tercero
5) Cuando la transferencia sea necesaria o legalmente exigida
para la salvaguardia de un interés público importante o para el
reconocimiento, ejercicio o defensa de un derecho en
un procedimiento judicial
6) Cuando la transferencia sea necesaria para la salvaguardia
del interés vital del interesado
5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE
LA TRANSFERENCIA?
Excepciones:
7) Cuando la transferencia tenga lugar desde un registro que
esté concebido para facilitar información al público
8) Cuando el interesado haya consentido inequívocamente la
transferencia
9) Todos los casos es posible transferir datos
internacionalmente entre la matriz y sus afiliadas cuando dicha
compañía (multinacional) registre su código de conducta ante la
URCDP
5- ¿QUÉ DICE LA NORMA URUGUAYA SOBRE
LA TRANSFERENCIA?
Excepciones:
10) Cooperación internacional judicial
11) Acuerdos o tratados internacionales ¿Con la AFIP?
6- ¿EN QUÉ ESTAMOS CON LA
CALIFICACIÓN?
Va a tomar un año más…
Está siendo analizada por el WP. Ellos contrataron a la
Universidad de Namur (Bélgica).
Según la información que tenemos, este Grupo ya recibió un
informe favorable de la Universidad de Namur (Bélgica) quien
actúa como asesor de este Grupo en el análisis de regulaciones
de protección de Datos Personales de terceros países.
Cuando el WP termine el análisis de la Ley, emitirá un dictamen
dirigido a la Comisión de la UE para que realice la declaración
de adecuación.
7- MITOS
1. Mientras no tengamos la calificación adecuada NO
podemos recibir bancos de datos de clientes UE
2. USA es un país de protección adecuada
3. Argentina está por perder la calificación
internacional
8- PAÍSES ADECUADOS
1.
2.
3.
4.
5.
6.
7.
ARGENTINA
CANADA (no todo)
USA- SAFE HARBOUR POLICY
ISLA DE MAN
JERSEY
GERNSEY
UE
http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm
¡MUCHAS GRACIAS!
Martín Colombo
[email protected]
FERRERE
Descargar