Nacional > Rgulación
¿Cuáles son las nuevas obligaciones de las empresas para proteger los datos de sus clientes?
Las bases de datos personales son más cuantiosas a medida que pasan los años, y eso obliga a que la normativa tanto internacional como nacional tenga que acoplarse a la realidad y brindar más garantías para proteger a las personas.
La Unión Europea, organismo de referencia en la elaboración del reglamento –que en 1995 formuló la Directiva 95 bajo la cual se rigieron muchos países, incluido Uruguay- ya dio el primer paso en 2018 y actualizó el Reglamento General de Protección de Datos 2016/679, que sustituyó esa esa directiva.
Uruguay hizo lo mismo y en la última Rendición de Cuentas -del año pasado- introdujo cuatro obligaciones para las empresas que utilicen bases de datos para realizar sus actividades y que deberán ajustarse a las nuevas reglas cuando termine de elaborarse el decreto reglamentario, algo que las autoridades estiman que ocurrirá a mediados de este año.
Según esos cambios, serán más las empresas obligadas, deberán contratar personal para dedicarse a velar por el cumplimiento de las normas, tendrán que comunicar de inmediato si las informaciones de los clientes se vieron vulneradas por ataques externos y se esperará de ellas que asuman una actitud "proactiva" a la hora de demostrar que no se falla en el control de los datos. Así lo explicaron los abogados de la firma Martín Pesce y Cecilia Alberti, expertos en privacidad y tecnologías de la información del estudio jurídico Ferrere, quienes este miércoles organizaron una charla sobre el tema.
De no cumplirse con la reglamentación, la ley de datos personales prevé una serie escalonada de sanciones, que van desde la observación al apercibimiento, hasta multas de 500 mil Unidades Indexadas -US$ 62.272 a valor actual- y la suspensión transitoria o clausura definitiva de la base de datos de la empresa.
Sin embargo, Laura Nahabetián, representante de la Unidad Reguladora y de Control de Datos Personales –el organismo de contralor creado en 2008, junto con la primera ley- que también participó de la presentación de este miércoles, dijo a El Observador que al momento, el organismo no tiene por cometido implementar una política sancionatoria, sino instar a que las empresas se acoplen a las nuevas medidas.
Delegado de protección de datos
Es una figura que hoy no existe pero las autoridades la exigirán a aquellas compañías que traten datos sensibles como negocio principal -como puede ser información relativa a la salud- o también empresas que manejen grandes niveles de información.
El delegado “no tiene por qué ser abogado, pero sí idóneo para cumplir con el rol de manera correcta y alineada con la norma”, dijo Celiberti.
La ley, agregó la abogada, también dispone que esa figura tenga “autonomía técnica” y deberá cumplir con estos roles: “Supervisar el cumplimiento de la normativa y hacer sugerencias para adecuar procesos si no se cumplen; informar y asesorar en complementación de políticas de protección, y ser nexo entre la empresa y la Unidad Reguladora”.
Comunicar de inmediato las vulneraciones de seguridad
Ante un ataque de hackers inminente, como el que ocurrió a comienzos de marzo con tres de los principales bancos de la plaza financiera, cuyos sitos web colapsaron durante unas horas, las empresas estarán obligadas a reportar a sus clientes lo ocurrido y hasta qué punto sus datos quedaron expuestos.
Hasta ahora, explicaron los abogados, la decisión de informar quedaba a criterio de las empresas, en su balance de costos y beneficios en función de los efectos de hacer público el inconveniente y cómo ello podría resentir el prestigio de la firma.
“Ahora pasó a ser una obligación legal –dijo Celiberti- y no solamente debe comunicarse a las personas afectadas, sino que además se debe informar a la Unidad Reguladora”.
En esa notificación deberán incluirse los siguientes puntos: la naturaleza del incidente, la calidad de los datos involucrados, la cantidad de los clientes vulnerados, las consecuencias que dejaron los ataques así como las medidas adoptadas para mitigar los daños.
Extensión del ámbito de aplicación
La ley de 2008 tenía un criterio de territorialidad tradicional: las empresas sujetas a la normativa debían estar instaladas dentro de fronteras. Pro ese criterio, ahora, es más laxo, y es por eso que son más las compañías que deberán cumplir con la ley.
Por ejemplo, explicaron los abogados, se interpretará que una empresa opera en Uruguay cuando la prestación de viene so servicios que ofrece está dirigida a uruguayos, y eso puede determinarse en función de algunos “indicios”, como el lenguaje con l que ofrecen sus productos, la moneda con la que comercializan y qué dominio utilizan para su sitio web.
Responsabilidad proactiva
De ahora en más, las compañías deberán asumir una actitud proactiva en el control de los datos, y demostrar por iniciativa propia que cumple con los protocolos, y no solo cuando alguien –autoridad o cliente- requiera conocer cómo se cuida la información.
“Es esperable que todo esto se haga en procesos”, advirtió Pesce. “Las empresas se están aggiornando porque además de cumplir con una norma ayudarán a que la información que se maneje sea la estrictamente necesaria. Muchos pensarán que esto es un lío, pero en realidad agrega valor: cada vez más los clientes van a querer contratar e presas que sean cuidadosas con la información”, concluyó.
