La Ley de Protección de Datos y la obligación de las empresas de cumplir con sus exigencias

Aquellas empresas que procesan más de 35.000 datos personales o cuyo negocio principal sean datos sensibles o que realicen transferencia de información al exterior, deben designar a un delegado de Protección de Datos

Entrevistamos a Andrés Saravia Morales, abogado y también Delegado de Protección de Datos (DPD), especialista en el cumplimiento de los requisitos de privacidad por parte de las empresas y compañías, en Uruguay, Unión Europea y EEUU.

 

– Hace poco publicó un libro sobre este nuevo tema, que ya se encuentra vigente y se exige en Uruguay. ¿Es así?
– Si, junto con dos colegas, María Balsa, en Uruguay y Ricardo Morte, en Alemania, publicamos a través de Thomson – Reuters, “Nuevos Estándares en Protección de Datos” que explica con detalles lo nuevo en esa materia y cómo repercute en todas las empresas en Uruguay.

-¿Qué sucede en la actualidad y por qué ahora más que nunca las empresas deben cumplir con la Ley de Protección de Datos en Uruguay?
– Hace tres años, en la Unión Europea, entraba en vigor el Reglamento General de Protección de Datos (RGPD). Una norma muy exigente y con sanciones económicas muy fuertes. El objetivo de esa norma es darle mayor control al titular, al dueño de sus propios datos personales frente a quienes tratan o procesan los mismos. Pero, además, el propio reglamento europeo tiene como objetivo, la protección de las personas frente al tratamiento automatizado, especialmente porque la privacidad es un Derecho Fundamental que no puede limitarse, al igual que lo es la vida.

-¿Y cómo repercuten esas nuevas exigencias en Uruguay y en la región?
-Esa es una muy buena pregunta, porque el Reglamento Europeo, se volvió la norma de referencia y la que marca el terreno de aquí en más, y de esa manera ha impuesto sus exigencias a nivel mundial, porque además, no solo protege a los europeos o residentes en ese bloque, sino que esa protección se expande fuera de las fronteras. Eso quiere decir, por ejemplo, que si un turista español se encuentra en Punta del Este y sus datos personales van a ser recogidos en un hotel para ser procesados, esa persona puede estar protegida por el RGPD. Debido a ello, países como Uruguay, Brasil, Argentina, así como los estados de California y ahora Colorado, han publicado normas de protección de datos, o han adaptado las ya vigentes, para continuar la línea de exigencia y de protección de las personas frente al tratamiento de datos. Y eso es lo que sucedió en Uruguay precisamente: en febrero de 2020 entró en vigor la modificación de la Ley madre de protección de datos, la 18331 y con ello sigue ahora la línea dura del actual reglamento europeo.

– ¿En qué consisten esas exigencias?
– A partir del año pasado, a cada responsable del tratamiento de datos personales (empresa) se le exige:
Responsabilidad proactiva. Esto quiere decir que a una empresa no le basta con demostrar que cumple con la ley y que protege la información: ahora debe demostrarlo. No puede esperar a que vengan a fiscalizarlo porque la van a multar. A partir de este momento, debe proteger la información y debe documentar todo lo que hace. Protección de datos desde el diseño. Esto también es parte de la responsabilidad proactiva. Lo voy a explicar con un ejemplo: supongamos que una inmobiliaria en Maldonado, tiene disponible en su sitio Web, varias propiedades para alquilar en zonas de playas, en épocas de verano. A ella ingresan y consultan muchas personas que buscan aprovechar sus vacaciones en Uruguay. Para que la protección desde el diseño sea efectiva, ese sitio Web debe ser seguro (https en vez de http), solicitar el previo consentimiento de cada usuario que vaya a realizar una reserva, encriptar la información personal que recoge, utilizar medidas de seguridad para evitar fugas de información o hackeo de los datos, utilizar un sistema seguro de pasarela de pagos, autenticación en dos pasos, avisarle de manera inmediata a su cliente y al órgano de control si se produjo una fuga de información y muchos requisitos más, que demuestran que toda la información personal se procesa de manera segura, “desde el vamos”, o sea, desde el diseño del servicio. Protección de datos por defecto. Siguiendo con el ejemplo anterior, cuando el futuro o actual cliente avanza para concretar un alquiler para sus vacaciones de verano en Piriápolis, no puede encontrarse con casillas premarcadas que indican que acepta dar su consentimiento para que sus datos personales sean compartidos con una tercera compañía a los efectos de recibir promociones acordes con su perfil. Eso justamente va en contra de la ley. Las casillas de solicitud de consentimiento o de aceptación de un servicio, deben mostrarse “sin marcar” y debe, además, de manera clara, solicitarse el previo consentimiento informado para cada finalidad del uso o tratamiento de los datos personales de un cliente. Eso es protección de datos “por defecto”.
Realizar una Evaluación de Impacto de los Datos Personales (EIPD) o en su defecto, auditorías para determinar si una empresa cumple con la ley y para detectar posibles riesgos de vulneración de los datos personales.

-¿Qué pasa en caso de que exista una fuga de información?
-En caso de fuga de información, brecha de seguridad, ransomware o robo de información, inmediatamente deberá comunicarse de ello a los titulares de datos afectados, a la autoridad de control y además deberán adoptarse medidas de seguridad para contrarrestar el daño. No hacerlo, supone arriesgarse a multas muy severas, al posible bloqueo o secuestro de la base de datos, así como a un daño directo en la reputación de la empresa. Documentar absolutamente todos los pasos relacionados con el tratamiento y el consentimiento obtenido en base a la protección de datos. Elaborar y publicar una Política de Privacidad que sea de fácil entendimiento, que se encuentre disponible en la Web y app, y que cumpla con la Ley de Protección de Datos. Cumplir con las solicitudes de los titulares, de que se ejecuten sus derechos de acceso, supresión y actualización de sus datos, entre otros. Designar a un Delegado de Protección de Datos, cuando lo exige la ley o en determinadas situaciones, como por ejemplo, procesar más de 35.000 datos personales, en casos de que el negocio principal sean datos sensibles o se realicen transferencia de información al exterior.

-Esto es demasiado para que una empresa pueda cumplir con todo lo que exige la Ley sin equivocarse.
-Exacto. Es aquí que entra en juego el rol del Delegado de Protección de Datos. Para que tengas una idea, muchas empresas ya llegaron a la marca de los 35.000 datos personales, como por ejemplo, prensa, periódicos, laboratorios, inmobiliarias, mutualistas, hoteles. Otros tratan datos sensibles, relativos a la salud, partidos políticos, sindicatos, menores de edad. También las instituciones gubernamentales entran dentro de este paraguas.

-A eso es que usted se dedica ¿Cierto? ¿Cuál es su rol entonces como Delegado de Protección de Datos?
-Exacto. Mi labor es trabajar en conjunto con las empresas (clientes) y la Unidad Reguladora y de Control de Datos Personales (URCDP) para ayudarles a cumplir con todas las exigencias de la ley. En ese aspecto, generalmente entra en juego un proceso de 4 etapas, que permite establecer primero, la situación de cada empresa, sus riesgos, cómo cumple y cómo no cumple con la Ley de Protección de Datos; una segunda etapa dónde elaboramos en conjunto un plan de acción para poder cumplir con la normativa; una tercera etapa de capacitación y enseñanza a todo el personal de una empresa, y por último, una etapa evolutiva dónde se realizan auditorías periódicas y se ajustan las acciones de cada empresa para que cumplan con nuevos requisitos y normativas exigibles. Esa es la manera adecuada en la que cumple sus funciones un DPD. En verdad, somos independientes tanto del órgano de control, como también de las empresas, por eso nuestra tarea se vuelve más sencilla y objetiva: somos el nexo que busca guiar a las empresas a que cumplan con todos los requisitos de la ley para llegar a ser proactivos. Basta con que no se cumpla uno solo de lo que mencionábamos antes (por ejemplo: no documentar la solicitud del consentimiento), para que la empresa incumpla con la Ley 18331, y a su vez sea pasible de fuer-tes multas, del bloqueo de su base de datos y de que se le afecte su reputación. Y en el caso de Uruguay, existe un requisito más, que no lo exige el reglamento europeo: la base de datos debe registrarse en la Unidad Reguladora de Control y Datos Personales. No hacerlo, vuelve a esa base de datos, ilegal. Por lo tanto, los delegados de protección de datos somos un bien.

 


Sexting, grooming y cyberbullying

– Además, dedica mucho tiempo a enseñar a respetar la privacidad ¿Cierto?
– Si, tal cual. Esa es mi otra parte dentro del servicio de protección de datos. Justamente, el haber sido aspirante en la UdelaR, así como trabajar en protección de datos por más de una década, y dedicarme a la docencia, me permitió trabajar directamente con distintos colegios, padres y alumnos en Uruguay y en EEUU, así como para enseñarles a proteger su privacidad y a actuar en casos de ataques. En otras palabras, para que hagan buen uso de la tecnología.

– Exactamente ¿qué les enseña?
– Tanto a padres, niños, docentes y deportistas, les enseño a no publicar cualquier información, a que la privacidad es algo muy importante para sus vidas. A que todo lo que sube a la Web, nunca más baja, para que no abusen del Sexting, a que principalmente puedan detectar ataques de Grooming (acoso sexual simulando ser un niño de la misma edad) y de Cyberbullying para contar con las herramientas e instrumentos necesarios para neutralizar dichos ataques. Porque una enseñanza y educación temprana respecto a saber cómo proteger su intimidad y su privacidad, permite evitar en gran medida, el ser víctimas de ataques, a prevenir vulneraciones en sus derechos fundamentales, y especialmente, a generar conciencia y práctica en la protección de datos y prevención de fugas de información, lo que significa que lo aprendido será un activo muy importante para las empresas en el futuro, a la hora de contratar recursos que sean efectivos en sus finalidades.