Protección de datos personales: nuevas exigencias para tratamiento automatizado de datos.

El 1° de enero de 2023 entraron en vigor las nuevas obligaciones que deben cumplir los responsables de recabar y tratar los datos personales, incluso cuando éstos no sean obtenidos directamente de sus titulares.

Uruguay reconoce el derecho de todas las personas -tanto físicas como jurídicas- a que sus datos personales, almacenados en bases de datos públicas o privadas, sean tratados adecuadamente, y a que no sean empleados para fines que no hubieran sido previamente informados (Ley No. 18.331 - “Ley de Protección de Datos Personales”- y sus Decretos reglamentarios No. 414/009 y 64/020). 

Con la aprobación de la Ley No. 20.075 (“Ley de Rendiciones de Cuentas y Balance de Ejecución Presupuestal. Balance 2021”) se introdujeron modificaciones vinculadas al tratamiento automatizado de datos personales. 

¿Cuáles son las principales modificaciones? 

1)  Desde el 1° de enero, el responsable de la base de datos tiene el deber de informar a los titulares de datos personales, en forma expresa, precisa e inequívoca:

(i) cuando los datos personales vayan a ser transferidos fuera de Uruguay (“transferencia internacional”), y

(ii) en el caso de tratamiento automatizado de datos, cuáles son los criterios de valoración de los mismos, programas empleados y procesos aplicados.

Como consecuencia de esta modificación, el titular tiene derecho a conocer -en forma previa- las soluciones tecnológicas empleadas para evaluar aspectos tales como: rendimiento laboral, crédito, fiabilidad, conducta, entre otros. 

Ello se suma a las condiciones ya establecidas por la Ley de Protección de Datos Personales frente al tratamiento y recolección de datos personales, que exigía informar:

1. Finalidad para el tratamiento de los datos personales, así como destinatario/s de los mismos.
2. Existencia de la base de datos e información de su responsable.
3. Cuando se le proponga un cuestionario al titular -y especialmente en caso de datos sensibles-, indicar si las respuestas son obligatorias u opcionales.
4. Consecuencias de proporcionar los datos o de negarse a ello (o de hacerlo en forma inexacta).
5. Su derecho de acceder a la información recabada, solicitar su rectificación, actualización, e incluso su supresión. 

2)  Finalmente, se le atribuye a la Unidad Reguladora y Control de Datos Personales la facultad de establecer los criterios y procedimientos que deban seguir los responsables y encargados de bases de datos, en caso de tratamiento automatizado de datos personales. 

^{*Artículo de carácter meramente informativo elaborado con colaboración de la Proc. Gabriela Ripoll.}
 

Montevideo, 13 de enero de 2021.