Uruguay se alinea a la UE en regulación de protección de datos

Se profundiza la regulación en materia de protección de datos a nivel internacional y Uruguay no se queda atrás y se alinea a la tendencia y proyecta modificaciones a su normativa vigente.

En el Proyecto de Rendición de Cuentas a estudio del Parlamento el Poder Ejecutivo introduce cambios en la ley para mantener la adecuación que en la materia el país tiene con la Comunidad Europea. La Ley N° 18.331 de 2008 tomó muchos elementos del Reglamento europeo de 1997, pero también algunos que ya eran práctica habitual en lo que era privacidad y protección de datos,  ante el avance que han tenido los temas en los últimos tiempos es que el gobierno definió proponer cambios a la norma.

La modificación se plantea en cinco artículos, el primero que toma el artículo 3º del Reglamento Europeo y el artículo 5.1 de los Estándares Iberoamericanos de Protección de Datos que determina claramente la posibilidad de un ámbito extraterritorial. Esto permitiría que Uruguay asumiera competencias en distintos temas,  que al día de hoy no puede hacer.

El segundo se refiere al tema de vulneración de seguridad, basado en el artículo 33 del Reglamento Europeo de Protección de Datos y en el artículo 22 de los Estándares Iberoamericanos de Protección de Datos. Se trata de que el responsable o encargado de base o tratamientos actúe inmediatamente cuando tome conocimiento de vulneraciones de seguridad.  Se está ampliando su deber de dar a conocer a la unidad y al titular de los datos que puede estar afectado.

El tercero se refiere al principio de responsabilidad y realiza un ajuste al artículo 12 de la ley vigente. Está inspirado en los artículos 5.2, 24 y 25 del Reglamento Europeo y en los artículos 20 y 38 de los Estándares Iberoamericanos.

El cuarto corresponde esencialmente al artículo 28.3 y a los artículos 33 a 35 del Capítulo IV de los Estándares Iberoamericanos, que tiene que ver con la relación del responsable y del encargado de tratamiento. Requerirle que se haga un contrato para que se puedan conocer, los aspectos de responsabilidad, incluso la posibilidad de que interesados puedan acceder a ellos.

Y el último que crea una figura de delegado de protección de datos obligatorio para  entidades públicas y privadas que traten datos sensibles como negocio principal y que realicen tratamiento de grandes volúmenes de datos, este artículo se inspira en el artículo 37 del Reglamento Europeo de Protección de datos y en el artículo 39 de los Estándares Iberoamericanos de Protección de Datos.