Cuáles son los requisitos obligatorios para las empresas que manejan bases de datos en Uruguay
En la era de la información es inevitable que una empresa —por más pequeña que sea— no cuente con una o varias bases de datos, por lo que la protección de estas pasa a ser una responsabilidad, una obligación más y el cuidado indirecto de un activo de la compañía.
En ese sentido, las empresas que cuentan con bases de datos deben registrar todas y cada una de ellas en la Unidad Reguladora y Control de Datos Personales (URCDP).
Según el artículo 4 de la Ley N° 18.331 de protección de datos personales, constituye una base de datos el “conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, —electrónico o no—, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”.
Y por dato personal se entiende a cualquier tipo de información que permita identificar a alguien o que nos haga identificables; como nombre, cédula, huella, afiliación política o religiosa, entre otros.
“Hay otra definición que es importante tener en cuenta, que es la de dato sensible”, señaló Ignacio Pérez Crisafulli, director de Quinta Disciplina Consultores, en el webinar “Protección de Datos Personales en Uruguay”, realizado el miércoles por la Cámara de Comercio e Industria Franco-Uruguaya.
Los datos llamados sensibles revelan “origen racial y étnico, preferencias políticas, convicciones religiosas o morales, afiliación sindical e informaciones referentes a la salud o a la vida sexual”, según el mismo artículo de la ley mencionada. Ejemplos de organizaciones que manejan datos sensibles son las entidades de salud y los sindicatos.
Sean sensibles o no, las empresas que tengan en su poder bases de datos deben registrarlas y cumplir con ciertas condiciones para poder usarlos, según el decreto 414/009.
Lo que tienen que saber las empresas es lo siguiente:
Las empresas públicas, las que manejen datos sensibles como negocio principal y las que realicen tratamiento de datos personales de más de 35 mil personas, deben designar un delegado de Protección de Datos, que se encargará de asesorar en la aplicación y el diseño de políticas de datos personales, así como en proponer todas las medidas que entienda pertinentes para adecuarse a las normativas internacionales de protección de datos o al marco de ciberseguridad de Agesic.
El próximo domingo 21 de febrero vence el plazo para realizar una evaluación de impacto para aquellas empresas que ya se encontraban haciendo tratamiento de datos a la fecha de entrada del decreto 64/20.
Los riesgos a los que están expuestos estos datos personales pueden ser externos o internos a la organización; externos, en el caso de que un atacante cibernético logre acceder a los datos con el fin de extorsionar a la empresa con su publicación o cometer phishing con los titulares, por ejemplo; o pueden ser riesgos internos, si son los propios empleados quienes pueden hacer algo malicioso con ellos.
Plazos para las empresas a tener en cuenta
Si bien los plazos están fijados y pueden generarse sanciones por parte de la URCDP, según los expertos de Quinta Disciplina Consultores, la institución está actualmente más en un rol proactivo de ayuda a las empresas con la regularización que de fiscalización.