Los casos comunicados se tramitan mediante expedientes y son analizados por el equipo jurídico de la Unidad
Durante los últimos meses se registraron incidentes de ciberseguridad en varios organismos públicos uruguayos. Entre ellos, el Banco Hipotecario del Uruguay (BHU), la Administración Nacional de Educación Pública (ANEP), el Sistema Único de Cobro de Ingresos Vehiculares (Sucive), entre otros.
La Unidad Reguladora y de Control de Datos Personales (URCDP) informó que “todos los organismos mencionados han comunicado formalmente las vulneraciones de seguridad”, en cumplimiento de los artículos 38 de la Ley N° 19.670 y 4 del Decreto N° 64/020.
Según la Unidad, los responsables deben “comunicar la vulneración en un plazo de 72 horas” a través de los canales oficiales dispuestos por el organismo. Luego, “se analiza el caso de acuerdo con lo previsto en la normativa de protección de datos”.
Para ello, la URCDP cuenta con “un formulario de comunicación de vulneración con preguntas especialmente diseñadas”. Los responsables también pueden “presentar una nota redactando los aspectos más relevantes de la vulneración”.
La URCDP señaló que en los últimos tres años “no ha realizado actuaciones o inspecciones de oficio” relacionadas con filtraciones de datos personales. Todas las intervenciones derivaron de “comunicaciones enviadas por los responsables a la Unidad, conforme al marco normativo vigente”.
En consecuencia, “no existen resoluciones a citar al respecto”, indicó el organismo.
Sobre la publicación de sanciones, la Unidad precisó que “todas las resoluciones están publicadas en la página web de la URCDP, una vez que se culminan los procesos administrativos o los posteriores recursos que se presenten”.
La URCDP agregó que “el grado de sanciones se encuentra establecido en la Ley, siendo el Consejo Ejecutivo quien determina la sanción correspondiente”.
En relación con los casos del BHU, ANEP y Sucive, el organismo comunicó que “todos los casos están en proceso de análisis, tramitándose a través de los expedientes correspondientes y siendo analizados por el equipo jurídico de la Unidad”.
Respecto a su función institucional, la URCDP señaló que “el rol de la Unidad está basado en los cometidos establecidos en los artículos 34 y 35 de la Ley N° 18.331”, que determinan sus competencias en materia de supervisión y control del cumplimiento de la normativa de protección de datos personales.
La URCDP se expidió solo en ocho denuncias entre 2024 y 2025.
En 2025, la Unidad archivó una denuncia contra una empresa por el uso de un lector de tarjetas, tras comprobar que no almacenaba datos personales, aunque sí le exigió regularizar la inscripción de sus bases de datos.
En paralelo, la URCDP intimó a una particular, denunciada por instalar cámaras de videovigilancia que apuntaban a la casa de un vecino , a presentar explicaciones en 10 días tras no haber respondido a las vistas previas.
Finalmente, la autoridad también debió ratificar sus competencias ante un denunciado, aclarando que investiga la eventual vulneración de un derecho humano y no "meros conflictos entre particulares".
En 2024, en tanto, una vecina fue sancionada por instalar una cámara que grababa la entrada de un edificio y violaba la privacidad ; la autoridad le dio 15 días para retirar la cámara o registrarla legalmente.
Además, un hombre fue sancionado por ignorar repetidamente las notificaciones de la autoridad de datos personales , tras haber sido denunciado por instalar cámaras de videovigilancia.
También tras una denuncia contra un canal de TV por exponer datos privados (fotos y nombres) , la autoridad archivó el caso y recomendó a los afectados ir a la Justicia , aunque advirtió al canal que debe equilibrar la libertad de prensa con la privacidad.