El Sistema Uruguayo de Protección de Datos Personales y su posicionamiento global
Ana Brian Nougreres [1]
La República Oriental del Uruguay se ha afiliado al sistema europeo de protección de datos, del que ha obtenido el status de “país con un adecuado nivel de protección de datos según la Directiva 95/46 del Parlamento Europeo y del Consejo” en el año 2012.
Asimismo, por Ley N° 19.030, de enero de 2013, ratificó el Convenio 108 del Consejo de Europa y su Protocolo Adicional, el cual quedó en efecto a partir del 1º de agosto de 2013. Esto convirtió a Uruguay en el 45º país en ser parte del Convenio 108 y en el primer país no europeo en signar el Convenio.
Ahora bien, es un hecho sabido por todos que el 25 de mayo del presente año 2018 entró en vigencia y aplicación el Reglamento Europeo de Protección de Datos, que ha traído modificaciones sustanciales en el sistema europeo de protección de datos.
Este Reglamento fue objeto de análisis durante cinco años previo a su aprobación, que se concretó el 25 de mayo de 2016. Se previó un plazo de dos años para su vigencia y aplicación a efectos de permitir una adaptación fluida a las nuevas disposiciones normativas. Su aplicación, por tanto, comenzó el 25 de mayo del presente año 2018.
El texto consta de 99 artículos, precedidos de 173 Considerandos. Los diez capítulos que integran el texto refieren a los principios en la materia, a los derechos de los distintos sujetos involucrados (titular de los datos objeto del tratamiento, responsable, encargado del tratamiento, delegado de protección de datos), a las medidas de seguridad, a los códigos de conducta, a las transferencias internacionales de datos, a las autoridades independientes de supervisión de la protección de datos personales, a cooperación y consistencia de sus resoluciones, así como a responsabilidad (administrativa, civil y penal). Contiene normas especiales relativas a la necesaria conciliación del procesamiento de datos personales con la libertad de expresión y de información, al acceso a documentos oficiales, al procesamiento del número de identificación nacional, al procesamiento de datos en el contexto del empleo, así como especificaciones relativas al procesamiento de datos en aras del interés público o científico, de la investigación histórica o con una finalidad estadística. Establece el secreto profesional. Tiene asimismo normas específicas para iglesias y asociaciones religiosas. Por último, contiene un capítulo con disposiciones de carácter transitorio.
Algunas de las modificaciones más importantes que impone el Reglamento son: su directa aplicabilidad en los estados miembros de la Unión Europea que procura mejores grados de uniformidad en el sistema europeo de protección de datos personales, sus especiales requerimientos de educación y concientización en protección de datos personales, el mayor empoderamiento de los ciudadanos para determinar qué información personal quieren compartir y cuál no, la instauración de un sistema de protección del dato con un carácter más proactivo que elimina la obligatoriedad del registro, la implementación del sistema de privacidad por diseño y por defecto, la regulación de las evaluaciones de impacto, la reglamentación del derecho al olvido y del derecho a la portabilidad de los datos, la obligatoriedad de las denuncias ante quiebres en los sistemas de seguridad, la dotación al sistema de sanciones más severas para casos de incumplimiento, entre otras.
Nos preguntamos, entonces: ¿cómo está posicionado Uruguay ante estos cambios? ¿Ha cambiado su status de “país adecuado”?
Es de interés destacar que, en el año 2016, las Decisiones 2000/518/CE, 2002/2/CE, 2003/490/CE,2003/821/CE, 2004/411/CE, 2008/393/CE, 2010/146/UE, 2010/625/UE, 2011/61/UE de la Comisión y las Decisiones de Ejecución 2012/484/UE, y 2013/65/UE relativas a la protección adecuada de los datos personales por varios países, en aplicación del art. 25, apartado 6, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo han sufrido una modificación. Uno de los países mencionados en dichas disposiciones normativas es Uruguay, a él refieren los hoy modificados arts. 2º y 3º de la Decisión de Ejecución 2012/484/UE. Tal modificación se funda en el hecho de que el nivel de protección que los terceros países han garantizado puede estar sujeto a cambios, y en que le corresponde a la Comisión comprobar periódicamente si la conclusión relativa a la adecuación del nivel de protección por el tercer país en cuestión está objetiva y jurídicamente justificada.
En tal sentido, la Comisión[2] asume un compromiso de realizar un seguimiento continuo de los cambios que puedan afectar estas decisiones, tanto en aspectos de legislación como en aspectos prácticos, especialmente en lo que regula la evolución de las normas sobre el acceso a los datos personales por parte de las autoridades públicas.
La disposición normativa que así lo determina puede consultarse aquí: https://eur-lex.europa.eu/ legal-content/ ES/TXT/?qid=15371 14231731&uri =CELEX:32016D2295.
En el mismo sentido, debemos tener presentes las palabras del señor Andrea Nicolai, Primer Secretario de la Delegación de la Unión Europea, quien –en evento de la Unidad Reguladora y de Protección de Datos Personales organizado en Montevideo el día 28 de mayo ppdo.– manifestó que “el nuevo Reglamento europeo establece la posibilidad de realizar evaluaciones periódicas a los países a efectos de confirmar que sus respectivas normativas continúan siendo adecuadas respecto de los estándares europeos”[3].
¿Cómo nos encontraría hoy posicionados una evaluación periódica al estilo de las anunciadas por el mencionado funcionario de la Unión Europea?
En Uruguay, en julio del presente año 2018, se han comenzado a vislumbrar algunas iniciativas de adaptación de la normativa de protección de datos al Reglamento europeo.
Destacamos en tal sentido cinco artículos del proyecto de ley de Rendición de Cuentas y Balance de Ejecución Presupuestal del año 2017, que fuera presentado por el Poder Ejecutivo al Parlamento nacional con fecha 30 de julio del corriente año 2018.
Estos artículos son los N° 35 a N° 39. Refieren al ámbito territorial para el tratamiento de datos personales (35), al procedimiento ante la ocurrencia de vulneraciones de seguridad (36), a la ampliación del alcance del principio de responsabilidad (37), a la responsabilidad y contratación de servicios de terceros (38) y a la designación del delegado de protección de datos (39).
Su texto puede ser consultado aquí: https://www.mef.gub.uy/innovaportal/file/24846/1/fundamentacion-del-articulado.pdf.
El proyecto de ley al día de la fecha fue aprobado por la Cámara de Diputados, que le introdujo algunos cambios de escasa trascendencia y un cambio importante.
Entre los cambios de escasa trascendencia podemos mencionar que la numeración de los artículos pasó a ser del N° 36 al N° 40, manteniendo su ordenación temática, y una corrección de redacción en el nuevo art. 37.
Mayor importancia tiene la modificación introducida por la Cámara de Diputados en el nuevo art. 39. Este artículo refiere a los casos en que para realizar el tratamiento de datos personales se requiere servicios de terceros y a los requerimientos contractuales al efecto. La Cámara de Diputados agregó en esta disposición una excepción: “exceptuando aquellos que pertenecen a las instituciones o entidades estatales”. No surge con cristalinidad si la excepción consagrada es a efectos de requerir servicios de terceros o a efectos de la documentación contractual pertinente.
El texto aprobado por la Cámara de Diputados puede consultarse aquí: https://mail.google.com /mail/u/0/#sent/ 165bb6a1dfe7 81e9?projector =1&message PartId=0.1.
Actualmente, este proyecto de ley de Rendición de Cuentas y Balance de Ejecución Presupuestal del Ejercicio 2017 se encuentra a estudio del Senado de la República.
Podemos apreciar en este proyecto de ley un intento por conciliar las normas uruguayas con las del Reglamento Europeo de Protección de Datos. Este intento –una vez aprobado por el Parlamento de la República– habrá de ser complementado con más disposiciones que se adecuen a los nuevos estándares europeos, si es que Uruguay procura mantener la posición de privilegio que ha ostentado hasta la fecha en lo que concierne a la protección de los individuos en lo que refiere al tratamiento de sus datos personales y a la libre circulación de dicha información.
Notas
[1] Doctor en Derecho y Ciencias Sociales por la Facultad de Derecho, Universidad de la República Oriental del (desde 1985). Docente en la Cátedra de Informática Jurídica, Facultad de Derecho, Universidad de la República (desde 2001) y en la Cátedra de Derecho Telemático, Facultad de Ingeniería, Universidad de Montevideo (desde 2014). Cofundador del Centro de Derecho Informático (y de su antecesor Instituto de Derecho Informático), Facultad de Derecho, Universidad de la República (2016, 2000). Asesor letrado en el Parlamento de la República, Cámara de Senadores y Cámara de Representantes (desde 1992). Ejerce la profesión de manera independiente y también como consultante. Sus áreas corrientes de investigación e interés son el derecho informático y la protección de datos personales.Integra la Red Iberoamericana de Protección de Datos Personales desde su creación (2003) y el Capítulo Uruguay de FIADI (desde 2006). Miembro del International Working Group on Data Protection in Telecommunications (Grupo de Berlín, desde 2004) y de la International Association of Privacy Professionals (desde 2007). Embajadora de Privacy by Design (2011) y miembro de la Mesa Directiva de la Red Académica Internacional de Protección de Datos de Nuevo León (2011). En su campo de expertise acostumbra dar charlas y conferencias, tanto en su país como en el exterior, ha participado en numerosos programas de educación, y es autora de numerosos trabajos científicos, editados en publicaciones periódicas en su país (Anuario del Instituto de Derecho Informático, Grupo de Investigaciones en Derecho Civil, Facultad de Derecho de la Universidad de la República; Tribuna del Abogado, Colegio de Abogados del Uruguay) y en el exterior (Chile, Colombia, Italia, Japón, Estados Unidos de Norteamérica, Perú, España, Panamá, Inglaterra), así como también en internet. Autora del libro “Protección de datos personales en Uruguay” (2008). Mail de contacto: ana.brian@estudiojuridicobriann.com.uy.
[2] DECISIÓN DE EJECUCIÓN (UE) 2016/2295 DE LA COMISIÓN de 16 de diciembre de 2016.
[3] https://www.datospersonales.gub.uy /inicio/institucional/ noticias?WCM_PI= 1&WCM_Page.d498e4004 a2666e4973effc1 a0d93899=2
https://www.datospersonales.gub.uy /inicio/institucional /noticias/reglamento_ europeo_de_proteccion _de_datos_personales_ en_el_ciclo_charlas _de_cafe (Consultas del 15 de setiembre de 2018).
|