Dr. Fernando Vargas El tratamiento de datos personales en sitios web La Unidad Reguladora y de Control de Datos Personales (URCDP), publicó hace pocos días en el Diario Oficial la Resolución 64/013 sobre utilización de datos personales en sitios web. La parte dispositiva de la norma reza: “Establecer que todo sitio web que efectué tratamiento de datos personales en el Uruguay deberá publicar las condiciones relativas a dicho tratamiento, en adecuación a lo dispuesto por la Ley 18.331.” La terminología empleada no resulta del todo técnica ni coherente con la normativa vigente. En efecto, un sitio web “no efectúa tratamiento de datos personales”, el que sí lo hace es el “Responsable de las bases de datos o del tratamiento”, o sea, “la personas física o jurídica, pública o privada, propietaria de la base de datos o que decida sobre la finalidad, contenido y uso del tratamiento.” (art. 4, lit. K de la Ley 18.331). También puede tratar los datos el “Encargado del tratamiento”, definido como la “persona física o jurídica, pública o privada, que sola o en conjunto con otros trate datos personales por cuenta del responsable de la base de datos o del tratamiento.” (art. 4, lit. H de la Ley 18.331). En consecuencia, lo que debió preverse fue que todo Responsable de una base de datos, que realice -directa o indirectamente- el tratamiento de datos en Uruguay, utilizando un sitio web, deberá publicar las condiciones en que el mismo se realiza. La práctica habitual de los sitios web que trabajan en forma seria y responsable, indica que los mismos publican en la página web su política de privacidad. Desde ahora, con la sanción de esta norma, existe la obligación jurídica de hacerlo. A los efectos de entender debidamente el alcance de la normativa, resulta pertinente analizar varios de los conceptos que se incluyen en la misma, a saber: a) qué se entiende por datos personales: b) qué supone su tratamiento; c) cuál es el alcance de tratar datos en Uruguay; y por último, d) qué significa adecuar las condiciones a la Ley No. 18.331. a) ¿Qué es un dato personal? Se entiende por tal, “la información de cualquier tipo referida a personas físicas o jurídicas determinadas o determinables” Y esta información puede ser “numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo que refiera a ellas”, ya sea que se le brinde un “tratamiento automatizado o no, bajo cualquier soporte y modalidad de uso, tanto en el ámbito público como privado.” Sólo se excluyen del régimen tuitivo algunas modalidades muy específicas de bases de datos, que la ley y el decreto reglamentario (414/009) identifican a texto expreso (las personales o domésticas; las de seguridad pública, defensa, seguridad del Estado o las creadas por leyes especiales). b) ¿Cuándo trato datos personales? El tratamiento de datos personales supone las “operaciones y procedimientos sistemáticos, de carácter automatizado o no, que permitan el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.” www.vargasabogados.com.uy Dr. Fernando Vargas Como se dijo, el tratamiento de los datos los puede realizar directamente el Responsable de la base de datos o el Encargado del tratamiento. Por tanto, en una primera gran aproximación, podemos decir que si el Responsable de la base de datos (entendido éste como el “dueño de la base”) contrata a una persona o a una empresa para realizar cualquier tipo de servicio que implique el manejo de esos datos por parte del contratante (por ej. acciones de marketing directo a clientes; servicios de call center; minería de datos; procesamiento informatizado de datos; hospedaje web o de bases de datos en servidores de terceros; contabilidad de la empresa; administración de edificios; seguridad y vigilancia en edificios; etc.), se estará bajo el ámbito de aplicación de la Ley en cuanto a la figura del Encargado del tratamiento de datos. Es una tercera entidad (persona física, empresa o profesional independiente) a la cual se le contrata un servicio determinado y en tal condición deberá tratar datos por cuenta del Responsable de la base de datos. El relacionamiento jurídico que se establecerá entre ambos será de orden contractual y se regirá por el derecho comercial, civil o administrativo, según corresponda. Normalmente, consistirá en un contrato de arrendamiento de servicios (aunque pueda ser de obra en determinadas circunstancias) que tendrá por objeto principal que el comitente encargue a un tercero la prestación de un servicio o la realización de una obra, y en esa condición podrá tratar los datos que contengan las bases propiedad del comitente. No quedan comprendidos en el alcance de esta figura los empleados o funcionarios dependientes del Responsable de la base de datos, los cuales se regirán por el derecho laboral o administrativo (según se trate de trabajadores privados o públicos). c) ¿Cuándo se tratan datos personales en el Uruguay? La expresión utilizada por la Resolución que analizamos (“sitio web que efectué tratamiento de datos personales en el Uruguay”) debe entenderse a la luz del art. 3 del Decreto reglamentario, que regula el ámbito territorial aplicable. Dice esta norma que los tratamientos están sometidos a la Ley cuando “sean efectuados por un responsable de base de datos o tratamiento establecido en territorio uruguayo, siendo éste el lugar donde ejerza su actividad, cualquiera sea su forma jurídica”; o cuando “no esté establecido en territorio uruguayo pero utilice en el tratamiento de datos medios situados en el país”. Sólo se exceptúan los casos en que los medios se utilicen exclusivamente con fines de tránsito y siempre que el responsable de la base de datos o tratamiento designe un representante, con domicilio y residencia permanente en territorio nacional. Entonces, ¿cuáles son los casos que alcanza la disposición? Resulta claro que cualquier empresa situada en Uruguay o en el exterior, que tenga un sitio web en un dominio uruguayo (.uy) en el que trate datos personales, está alcanzada por la Resolución de la URCDP. En consecuencia, debe registrar sus bases de datos personales (si las tiene), y además, publicar la política de privacidad en el sitio. En cambio, una empresa uruguaya que tenga su sede en el país pero que trabaje con un dominio extranjero (.com, .ar, .br) en el que trate datos personales, sólo deberá registrar sus bases de datos pero no tendrá por qué publicar la política de privacidad. www.vargasabogados.com.uy Dr. Fernando Vargas d) ¿Qué significa adecuar las condiciones a la Ley No. 18.331? La política de privacidad debe contemplar los PRINCIPIOS y los DERECHOS que establecen la normativa. En este sentido, se destacan dentro de los primeros (Principios), el previo consentimiento informado (no se pueden tratar datos sin el consentimiento libre, previo, expreso, informado y documentado del titular); veracidad y finalidad (los datos deben ser veraces, adecuados, ecuánimes, no excesivos ni utilizados en forma distinta en relación a la finalidad con la cual fueron recogidos); utilizados con reserva, seguridad y confidencialidad. El titular de los datos tendrá que tener toda la información necesaria para poder ejercer los Derechos que la norma le otorga. Así, la empresa deberá establecer a texto expreso los mecanismos para que los titulares de datos personales, que suban información al sitio, puedan ejercer su derecho de acceso (conocer la información que tiene la empresa sobre el solicitante); modificación o supresión (lo que incluye la rectificación, actualización, inclusión o supresión por error, falsedad o exclusión en la información). En caso de tratarse de situaciones especiales, tales como las previstas para datos sensibles, de salud, de telecomunicaciones, de publicidad o crediticios, las precauciones deberán ser mayores. Nuestra experiencia indica que hay dos aspectos que, por su trascendencia, deben tratarse especialmente. El primero de ellos es la utilización de los datos por parte de terceros. Dice el art. 17 de la Ley que los “… datos personales objeto de tratamiento sólo podrán ser comunicados para el cumplimiento de los fines directamente relacionados con el interés legítimo del emisor y del destinatario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la comunicación e identificar al destinatario o los elementos que permitan hacerlo.” A continuación, el propio artículo, prevé una serie de excepciones a este principio (si existe una ley que lo permita, si son datos de salud y se trata de emergencias; si se trasmiten disociados, etc.). Esta situación se plantea habitualmente con la utilización de los datos por parte de la misma empresa para servicios diferentes, o para la utilización de los datos por los socios de negocios de la empresa responsable de la base de datos. Entendemos que el sitio web donde se recolectan los datos, deberá informar expresamente en su Política de Privacidad qué hará la empresa con esos datos, si los utilizará para todos sus servicios, si permitirá su uso por parte de sus socios de negocios u otras empresas que pertenecen al mismo grupo económico, etc. Esta información resulta vital a la hora de cumplir con la normativa y evitar sanciones de la URCDP. Pero el problema mayor se presenta con el cloud computing o datos en la nube, entendiéndose por tal “un tipo de computación en el que la información, datos o aplicaciones están en servidores en todo el mundo sirviendo de infraestructura a servicios externos a los que se podrá acceder con cualquier dispositivo con conexión a Internet. El usuario podrá ejecutar aplicaciones vía Web sin necesidad de tenerlas instaladas en sus equipos, quedando la administración en manos del proveedor, que se financiará con sistemas publicitarios y suscripciones, frente a la clásica venta www.vargasabogados.com.uy Dr. Fernando Vargas de licencias de software.” (www.theinquirer.es) Es frecuente que las empresas suban a la nube sus bases de datos y que los contratos los realicen con proveedores internacionales, cuyos servidores están distribuidos por el mundo. El art. 23 de la Ley prevé que se encuentra prohibida la “transferencia de datos personales de cualquier tipo con países u organizaciones internacionales que no proporcionen niveles de protección adecuada …”, agregando a continuación una serie de excepciones a dicho principio. La más relevante -a los efectos de este trabajo- es la prevista en el literal A de este artículo “… que el interesado haya dado su consentimiento inequívocamente a la transferencia prevista.” Por ello, en caso de encontrarse en la situación que analizamos (utilización de un servicio de computación en la nube), la empresa debiera requerir la autorización al titular de los datos, como forma de prevenir futuras reclamaciones por parte de éste o sanciones de la URCDP. En conclusión, la Resolución 64/013 sobre utilización de datos personales en sitios web, dictada por la Unidad Reguladora y de Control de Datos Personales, establece una serie de obligaciones jurídicas para las empresas que operan sitios web en Uruguay. La forma natural y segura de dar cumplimiento a la misma, es mediante la publicación en el propio sitio de una Política de Privacidad que contemple los aspectos jurídicos previstos en la normativa vigente, que fueron analizados en este trabajo. www.vargasabogados.com.uy