El tratamiento de datos personales

Anuncio
Dr. Fernando Vargas
El tratamiento de datos personales en sitios web
La Unidad Reguladora y de Control de Datos Personales (URCDP), publicó hace
pocos días en el Diario Oficial la Resolución 64/013 sobre utilización de datos
personales en sitios web.
La parte dispositiva de la norma reza: “Establecer que todo sitio web que efectué tratamiento de
datos personales en el Uruguay deberá publicar las condiciones relativas a dicho tratamiento, en
adecuación a lo dispuesto por la Ley 18.331.”
La terminología empleada no resulta del todo técnica ni coherente con la normativa vigente. En
efecto, un sitio web “no efectúa tratamiento de datos personales”, el que sí lo hace es el “Responsable de las bases de datos o del tratamiento”, o sea, “la personas física o jurídica, pública
o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del
tratamiento.” (art. 4, lit. K de la Ley 18.331). También puede tratar los datos el “Encargado del
tratamiento”, definido como la “persona física o jurídica, pública o privada, que sola o en conjunto
con otros trate datos personales por cuenta del responsable de la base de datos o del tratamiento.” (art. 4, lit. H de la Ley 18.331).
En consecuencia, lo que debió preverse fue que todo Responsable de una base de datos, que realice -directa o indirectamente- el tratamiento de datos en Uruguay, utilizando un sitio web, deberá
publicar las condiciones en que el mismo se realiza.
La práctica habitual de los sitios web que trabajan en forma seria y responsable, indica que los
mismos publican en la página web su política de privacidad. Desde ahora, con la sanción de esta
norma, existe la obligación jurídica de hacerlo.
A los efectos de entender debidamente el alcance de la normativa, resulta pertinente analizar
varios de los conceptos que se incluyen en la misma, a saber: a) qué se entiende por datos personales: b) qué supone su tratamiento; c) cuál es el alcance de tratar datos en Uruguay; y por último,
d) qué significa adecuar las condiciones a la Ley No. 18.331.
a) ¿Qué es un dato personal? Se entiende por tal, “la información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables” Y esta información puede ser “numérica,
alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que refiera a ellas”, ya sea que se
le brinde un “tratamiento automatizado o no, bajo cualquier soporte y modalidad de uso, tanto en
el ámbito público como privado.”
Sólo se excluyen del régimen tuitivo algunas modalidades muy específicas de bases de datos, que la
ley y el decreto reglamentario (414/009) identifican a texto expreso (las personales o domésticas;
las de seguridad pública, defensa, seguridad del Estado o las creadas por leyes especiales).
b) ¿Cuándo trato datos personales? El tratamiento de datos personales supone las “operaciones
y procedimientos sistemáticos, de carácter automatizado o no, que permitan el procesamiento de
datos personales, así como también su cesión a terceros a través de comunicaciones, consultas,
interconexiones o transferencias.”
www.vargasabogados.com.uy
Dr. Fernando Vargas
Como se dijo, el tratamiento de los datos los puede realizar directamente el Responsable de la
base de datos o el Encargado del tratamiento. Por tanto, en una primera gran aproximación, podemos decir que si el Responsable de la base de datos (entendido éste como el “dueño de la base”)
contrata a una persona o a una empresa para realizar cualquier tipo de servicio que implique el
manejo de esos datos por parte del contratante (por ej. acciones de marketing directo a clientes;
servicios de call center; minería de datos; procesamiento informatizado de datos; hospedaje web
o de bases de datos en servidores de terceros; contabilidad de la empresa; administración de edificios; seguridad y vigilancia en edificios; etc.), se estará bajo el ámbito de aplicación de la Ley en
cuanto a la figura del Encargado del tratamiento de datos.
Es una tercera entidad (persona física, empresa o profesional independiente) a la cual se le contrata un servicio determinado y en tal condición deberá tratar datos por cuenta del Responsable
de la base de datos. El relacionamiento jurídico que se establecerá entre ambos será de orden
contractual y se regirá por el derecho comercial, civil o administrativo, según corresponda. Normalmente, consistirá en un contrato de arrendamiento de servicios (aunque pueda ser de obra
en determinadas circunstancias) que tendrá por objeto principal que el comitente encargue a un
tercero la prestación de un servicio o la realización de una obra, y en esa condición podrá tratar
los datos que contengan las bases propiedad del comitente.
No quedan comprendidos en el alcance de esta figura los empleados o funcionarios dependientes
del Responsable de la base de datos, los cuales se regirán por el derecho laboral o administrativo
(según se trate de trabajadores privados o públicos).
c) ¿Cuándo se tratan datos personales en el Uruguay? La expresión utilizada por la Resolución
que analizamos (“sitio web que efectué tratamiento de datos personales en el Uruguay”) debe
entenderse a la luz del art. 3 del Decreto reglamentario, que regula el ámbito territorial aplicable.
Dice esta norma que los tratamientos están sometidos a la Ley cuando “sean efectuados por un
responsable de base de datos o tratamiento establecido en territorio uruguayo, siendo éste el
lugar donde ejerza su actividad, cualquiera sea su forma jurídica”; o cuando “no esté establecido
en territorio uruguayo pero utilice en el tratamiento de datos medios situados en el país”.
Sólo se exceptúan los casos en que los medios se utilicen exclusivamente con fines de tránsito
y siempre que el responsable de la base de datos o tratamiento designe un representante, con
domicilio y residencia permanente en territorio nacional.
Entonces, ¿cuáles son los casos que alcanza la disposición? Resulta claro que cualquier empresa
situada en Uruguay o en el exterior, que tenga un sitio web en un dominio uruguayo (.uy) en el
que trate datos personales, está alcanzada por la Resolución de la URCDP. En consecuencia, debe
registrar sus bases de datos personales (si las tiene), y además, publicar la política de privacidad
en el sitio.
En cambio, una empresa uruguaya que tenga su sede en el país pero que trabaje con un dominio
extranjero (.com, .ar, .br) en el que trate datos personales, sólo deberá registrar sus bases de datos pero no tendrá por qué publicar la política de privacidad.
www.vargasabogados.com.uy
Dr. Fernando Vargas
d) ¿Qué significa adecuar las condiciones a la Ley No. 18.331? La política de privacidad debe
contemplar los PRINCIPIOS y los DERECHOS que establecen la normativa.
En este sentido, se destacan dentro de los primeros (Principios), el previo consentimiento informado (no se pueden tratar datos sin el consentimiento libre, previo, expreso, informado y documentado del titular); veracidad y finalidad (los datos deben ser veraces, adecuados, ecuánimes,
no excesivos ni utilizados en forma distinta en relación a la finalidad con la cual fueron recogidos);
utilizados con reserva, seguridad y confidencialidad.
El titular de los datos tendrá que tener toda la información necesaria para poder ejercer los Derechos que la norma le otorga.
Así, la empresa deberá establecer a texto expreso los mecanismos para que los titulares de datos personales, que suban información al sitio, puedan ejercer su derecho de acceso (conocer la
información que tiene la empresa sobre el solicitante); modificación o supresión (lo que incluye
la rectificación, actualización, inclusión o supresión por error, falsedad o exclusión en la información).
En caso de tratarse de situaciones especiales, tales como las previstas para datos sensibles, de
salud, de telecomunicaciones, de publicidad o crediticios, las precauciones deberán ser mayores.
Nuestra experiencia indica que hay dos aspectos que, por su trascendencia, deben tratarse especialmente.
El primero de ellos es la utilización de los datos por parte de terceros. Dice el art. 17 de la Ley que
los “… datos personales objeto de tratamiento sólo podrán ser comunicados para el cumplimiento
de los fines directamente relacionados con el interés legítimo del emisor y del destinatario y con
el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de
la comunicación e identificar al destinatario o los elementos que permitan hacerlo.” A continuación, el propio artículo, prevé una serie de excepciones a este principio (si existe una ley que lo
permita, si son datos de salud y se trata de emergencias; si se trasmiten disociados, etc.).
Esta situación se plantea habitualmente con la utilización de los datos por parte de la misma empresa para servicios diferentes, o para la utilización de los datos por los socios de negocios de la
empresa responsable de la base de datos.  
Entendemos que el sitio web donde se recolectan los datos, deberá informar expresamente en su
Política de Privacidad qué hará la empresa con esos datos, si los utilizará para todos sus servicios,
si permitirá su uso por parte de sus socios de negocios u otras empresas que pertenecen al mismo
grupo económico, etc. Esta información resulta vital a la hora de cumplir con la normativa y evitar
sanciones de la URCDP.
Pero el problema mayor se presenta con el cloud computing o datos en la nube, entendiéndose
por tal “un tipo de computación en el que la información, datos o aplicaciones están en servidores en todo el mundo sirviendo de infraestructura a servicios externos a los que se podrá acceder
con cualquier dispositivo con conexión a Internet. El usuario podrá ejecutar aplicaciones vía Web
sin necesidad de tenerlas instaladas en sus equipos, quedando la administración en manos del
proveedor, que se financiará con sistemas publicitarios y suscripciones, frente a la clásica venta
www.vargasabogados.com.uy
Dr. Fernando Vargas
de licencias de software.” (www.theinquirer.es)
Es frecuente que las empresas suban a la nube sus bases de datos y que los contratos los realicen
con proveedores internacionales, cuyos servidores están distribuidos por el mundo.
El art. 23 de la Ley prevé que se encuentra prohibida la “transferencia de datos personales de cualquier tipo con países u organizaciones internacionales que no proporcionen niveles de protección
adecuada …”, agregando a continuación una serie de excepciones a dicho principio.
La más relevante -a los efectos de este trabajo- es la prevista en el literal A de este artículo “… que
el interesado haya dado su consentimiento inequívocamente a la transferencia prevista.”
Por ello, en caso de encontrarse en la situación que analizamos (utilización de un servicio de
computación en la nube), la empresa debiera requerir la autorización al titular de los datos, como
forma de prevenir futuras reclamaciones por parte de éste o sanciones de la URCDP.
 En conclusión, la Resolución 64/013 sobre utilización de datos personales en sitios web, dictada
por la Unidad Reguladora y de Control de Datos Personales, establece una serie de obligaciones
jurídicas para las empresas que operan sitios web en Uruguay. La forma natural y segura de dar
cumplimiento a la misma, es mediante la publicación en el propio sitio de una Política de Privacidad que contemple los aspectos jurídicos previstos en la normativa vigente, que fueron analizados
en este trabajo.
www.vargasabogados.com.uy
Descargar