Legislación y proyectos normativos - Uruguay

Tratamiento de datos personales

Ley 19.948

El pasado 16 de abril el Ejecutivo uruguayo promulgó la Ley 19.948 por la que se aprueba el Protocolo de enmienda del Convenio 108 del Consejo de Europa, para la Protección de las Personas con respecto al Tratamiento de Datos Personales[1].

Con la promulgación de la Ley 19.948 se ratifica la adhesión de Uruguay al modelo de protección de datos personales seguido por los países europeos y constituye un hecho de relevancia considerando los hitos ya realizados por Uruguay en esta materia.

Protección de datos en Uruguay

Uruguay ha seguido la tendencia de la Unión Europea y es uno de los países de la Región con mayor regulación en materia de protección de datos personales. En el año 2008 aprobó la Ley 18.331 sobre Protección de datos Personales en la que se reconocían expresamente una serie de principios que protegen este tipo de datos y se exigía la limitación de su uso por parte de terceros. Cinco años después y mediante la Ley 19.030, Uruguay se convirtió en el primer país no europeo en incorporar a su ordenamiento jurídico el Convenio N° 108 junto con su Protocolo Adicional[2].

Estos antecedentes permitieron a Uruguay obtener en el año 2012, mediante la Decisión Nº 2012/484/EU, el estatus de país adecuado en los términos de la Comisión Europea y así hacer posible los flujos transfronterizos de datos entre la Unión Europea y Uruguay sin restricciones adicionales.

Además, cabe destacar que a nivel regional europeo se aprobó el Reglamento (UE) 2016/679 relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos (Reglamento General de Protección de Datos)[3]. Una norma que ha generado impactos directos e indirectos en la forma en que se realiza el tratamiento de datos personales en países fuera de la Unión Europea, todos ellos tomados en cuenta por el Ejecutivo uruguayo para considerar la aprobación del Protocolo de enmienda.

Protección de datos en el resto de Latinoamérica

Aunque a día de hoy tan solo México y Argentina han ratificado el Convenio 108, la mayor parte de países latinoamericanos han ido adaptando sus ordenamientos jurídicos a las nuevas tendencias normativas internacionales.

Tomando en consideración los países en los que la Fundación Microfinanzas BBVA tiene presencia, Panamá es un ejemplo de ello; con la Ley 81 comentada en Progreso 19 y que, aunque fue publicada en el año 2019, ha entrado en vigor recientemente y espera ser reglamentada en los próximos meses.

Además, otros de estos países cuentan con normativa no tan reciente, si bien modificada parcialmente durante los últimos años, o con nueva normativa sectorial que contempla los últimos estándares internacionales. En este sentido, Chile cuenta con la Ley 19628 cuya última modificación tuvo lugar en agosto de 2020; o Colombia, en el que rige la Ley 1581-12, y donde asimismo está en trámite el Proyecto de Ley[4] sobre habeas data financiero que fue comentada en Progreso 20-. Y Perú, que a pesar de tener la Ley 29733 del año 2011, ha ido adaptando su normativa a las nuevas realidades; ejemplo de ello es la resolución del Ministerio de Justicia y Derechos Humanos sobre el Tratamiento de Datos Personales mediante Sistemas de Videovigilancia.

Por su parte, República Dominicana regula la protección de los datos personales en la Ley 172-13 que no ha sufrido modificaciones sustantivas desde su aprobación y ya se comenta la necesidad de actualizar la norma.

Protocolo de enmienda del Convenio 108

El Protocolo de enmienda del Convenio pretende modernizar las disposiciones contenidas en el Convenio 108 ante nuevas realidades, y así hacer frente a los desafíos derivados del uso de nuevas tecnologías en materia de protección de datos personales. Se trata de una actualización con fines similares a la realizada en febrero de 2020 y comentada en Progreso 22, fecha en la que se reglamentó Ley 19.670 que introduciendo modificaciones a la Ley de Protección de datos para brindar a las personas un nivel de protección acorde a los nuevos desarrollos tecnológicos y formas de tratamiento de los datos personales.

Entre los aspectos más relevantes contenidos en el Protocolo de enmienda destacan:

  • Garantizar el derecho de protección de los datos personales, sin importar su nacionalidad o residencia.
  • Se incluye la referencia al tratamiento no automatizados de datos, y se excluye del ámbito del Convenio el tratamiento doméstico de datos personales.
  • Se abandonan conceptos como el de archivo modificándolo por el de tratamiento.
  • Se extiende el catálogo de datos sensibles para incluir los genéticos y biométricos, entre otros.
  • Se procura facilitar el libre flujo de datos entre Partes.
  • Se regulan aspectos relacionados a la seguridad de los datos y transparencia en su tratamiento.
  • Se establece la posibilidad de que se controle el cumplimiento del Convenio por parte de las signatarias.

 

Con esta Ley que aprueba el Protocolo de enmienda del Convenio 104, Uruguay vuelve a estar a la vanguardia de la protección y regulación de datos personales y aunque ya cuenta con el estatus de país adecuado será relevante para el mantenimiento del mismo.

 

[1] El Convenio n. 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal fue el primer instrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos. Tiene como fin garantizar a cualquier persona física el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona. Con el Protocolo que ha modificado el Convenio se pretende ampliar su ámbito de aplicación, aumentar el nivel de protección de los datos y mejorar su eficacia

[2] Protocolo Adicional con Respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las Autoridades de Control y a los Flujos Transfronterizos de Datos adoptado en Estrasburgo, el 8 de noviembre de 2001.

[3] Con aplicación a partir del 25 de mayo de 2018 y que deroga la Directiva 95/46/CE

[4] Ley tiene por objeto modificar y adicionar la Ley 1266 de 2008, fortaleciendo el derecho al hábeas data.