close
Share with your friends

Nuevas obligaciones en materia de protección de datos personales en el contexto de la pandemia

Nuevas obligaciones en protección de datos personales

Reciente reglamentación de la normativa uruguaya que se alinea con el Reglamento Europeo

Autora

paullier
Dra. Valentina Paullier

Gerente del Departamento de Asesoramiento Tributario y Legal

KPMG Uruguay

Contacto

Contenido relacionado

mobile

En febrero de 2020 se aprobó el Decreto 64/020 que reglamenta ciertos artículos de la Ley N° 19.670 (Rendición de Cuentas) que incorporó modificaciones a la Ley N° 18.331 (Ley de Protección de Datos Personales) en los que se establecieron nuevas obligaciones en la materia.

Las modificaciones recientemente reglamentadas recogen los principales aspectos de la normativa internacional, en particular del Reglamento Europeo de Protección de Datos. Las nuevas obligaciones recaen sobre los responsables y encargados de tratamiento de datos personales.

En el actual contexto producto de la pandemia por el COVID-19, las cuestiones vinculadas a la protección de datos personales deben ser especialmente atendidas en particular con respecto a los datos personales relativos a la salud, en materia de teletrabajo y también a nivel del e-commerce y otras transacciones online, las que obviamente se vieron intensificadas en su uso.  

Medidas de seguridad - Vulneraciones

Se deben adoptar medidas técnicas y organizativas necesarias para conservar la integridad, confidencialidad y disponibilidad de la información, de forma de garantizar la seguridad de los datos personales. En tal sentido, se valorará la adopción de estándares nacionales e internacionales en la materia, tales como el Marco de Ciberseguridad elaborado por la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (AGESIC). Constatada la existencia de incidentes, se deben iniciar los procedimientos previstos para minimizar el impacto dentro de las 24 horas de constatados.

En caso de constatarse alguna vulneración de seguridad que incida en la protección de datos, el responsable del tratamiento deberá comunicarlo a la Unidad Reguladora y de Control de Datos Personales (URCDP) en un plazo máximo de 72 hs. de comprobada la vulneración, proporcionando cierta información relevante.   

Responsabilidad Proactiva

La Ley 19.670 incluyó el principio de responsabilidad proactiva, según el cual los responsables y encargados de tratamiento de datos personales deben adoptar medidas técnicas y organizativas apropiadas (privacidad desde el diseño, privacidad por defecto, evaluación de impacto a la protección de datos, entre otras).

Las medidas adoptadas deben ser documentadas (además de revisadas periódicamente y evaluadas en cuanto a su efectividad) y contener como mínimo: la forma, medios y finalidad del tratamiento, los procedimientos orientados a dar cumplimiento a las normas de protección de datos; la planificación de los mecanismos para responder a las vulneraciones de seguridad y el rol del delegado de protección de datos (cuando corresponda).  

Evaluación de impacto

En determinados casos, en forma previa al inicio del tratamiento se deberá realizar una evaluación de impacto en la protección de datos personales. Ello resulta aplicable cuando en las operaciones de tratamiento de datos: a) se utilicen datos sensibles como negocio principal (ej. datos relativos a la salud); b) se proyecte un tratamiento permanente de datos especialmente protegidos o vinculados a infracciones penales, civiles o administrativas; c) impliquen una evaluación de aspectos personales con el fin de crear o utilizar perfiles personales; d) se realice el tratamiento de datos de grupos de personas en situación de vulnerabilidad (ej. menores, personas con discapacidad); e) se realice un tratamiento de grandes volúmenes de datos personales (más de 35.000 personas); e) se transfieran datos a países que no ofrezcan un nivel de protección adecuado.

El decreto establece el contenido mínimo que debería tener la evaluación de impacto, fijando un plazo de 1 año a partir de su publicación (es decir hasta el 21/02/2021) para su realización, en el caso de los tratamientos ya iniciados que queden comprendidos en las hipótesis antes mencionadas. 

Delegado de Protección de Datos

Las entidades públicas, estatales o no estatales y las privadas total o parcialmente de propiedad estatal, así como las entidades privadas que traten datos sensibles como negocio principal y aquellas que realicen tratamiento de grandes volúmenes de datos (más de 35.000 personas), deberán designar un Delegado de Protección de Datos Personales.

Las entidades comprendidas tendrán un plazo de 90 días desde el inicio del tratamiento o desde la publicación del decreto (para aquellas entidades que ya se encuentran alcanzadas) para comunicar a la URCDP la designación.

El delegado deberá cumplir las funciones determinadas en el decreto siendo una especie de “oficial de cumplimiento” de la normativa de protección de datos, debiendo contar con conocimientos especializados en la materia. 

Relevancia en el contexto COVID-19

En el actual contexto, en ciertas áreas adquiere especial relevancia tener presente tanto las obligaciones a cargo de las empresas y organizaciones, como los derechos de los titulares de datos personales.

La información relacionada con la salud es un “dato sensible” y por lo tanto, además de las obligaciones que resultan aplicables a los prestadores de salud con respecto a los datos recabados, es también importante que ello sea considerado por las empresas al momento de realizar monitoreos relacionados con la salud de sus empleados y el posible contagio del COVID-19.

En este contexto, el empleador debería evaluar si la empresa cuenta con niveles de seguridad adecuados para dar tratamiento de datos sensibles y garantizar su integridad.

Adicionalmente, debería considerar si esos niveles de seguridad se mantienen cuando el tratamiento de datos se da fuera de la oficina o a través de otros dispositivos que no pertenecen a la organización. Llegado el caso, se deberá analizar si existen restricciones de privacidad para comunicar a la interna de la empresa (o a nivel del grupo de empresas) a aquellos empleados que hayan dado positivo a un testeo de COVID-19 o que tenga síntomas sospechosos.

En cuanto al teletrabajo, es claro que el COVID-19 ha llevado a muchas empresas a poner en práctica medidas masivas de teletrabajo. Ello puede plantear desafíos especialmente para aquellas empresas que no estaban ni habituadas ni preparadas para el uso masivo del teletrabajo. Por un lado, es clave poder garantizar que el trabajo se lleve a cabo desde dispositivos que cuenten con medidas de seguridad adecuadas. Este riesgo se ve incrementado cuando los empleados usan sus dispositivos personales para realizar su trabajo. También es importante tomar precauciones cuando se realizan videollamadas para fines laborales.

En términos generales, es importante que las empresas cuenten con lineamientos internos de privacidad y seguridad respecto del uso de herramientas informáticas.

La explosión del comercio electrónico y otras transacciones que se realizan online no debería ir en desmedro del cumplimiento de las obligaciones en materia de protección de datos. En este sentido, los comercios necesitan los datos de sus clientes para ejecutar las transacciones electrónicas, pero no deben ser utilizados para otras finalidades. Las empresas deben prestar atención a la protección de datos en el comercio electrónico, tanto en lo que respecta a los clientes (titulares de los datos personales) como para evitar encontrarse en incumplimiento de la normativa vigente y las consecuencias que ello puede acarrear. 

© 2020 KPMG Sociedad Civil, sociedad civil uruguaya y firma miembro de la red de firmas miembro independientes de KPMG afiliadas a KPMG International Cooperative (“KPMG International”), una entidad suiza. Derechos reservados.

Contáctenos

 

¿Desea hacer negocios con KPMG?

 

loading image Solicitud de propuesta de servicios