Cargando...
EY

Economía y Empresas > Análisis EY

Exclusión de marco jurídico para transferencias de datos personales a EEUU obliga a Responsables de Bases de Datos a adecuarse

Reflejando la decisión del Tribunal de Justicia Europeo, la URCDP ha excluido al “Escudo de Privacidad” como marco jurídico habilitante para la transferencia de datos personales hacia Estados Unidos

Tiempo de lectura: -'

14 de octubre de 2021 a las 05:04

Dra. Lorena Giovine (integrante del Departamento de Asesoramiento Impositivo de EY Uruguay)

La protección de los datos personales es un asunto que ha cobrado vital importancia con la creciente interconexión de las personas, empresas y estados.

El vertiginoso proceso de globalización, y la imposición de la virtualidad en casi todos los aspectos de nuestra vida, ha resultado en la necesidad de aumentar los controles respecto a la colección y al tráfico de datos personales.

Con el objetivo de proteger el uso y acceso a esos datos, la Unión Europea ha sido arquitecta de un marco jurídico de avanzada, que ha inspirado nuestra legislación. En concreto, la Ley N° 18.331 de Protección de Datos Personales y Habeas Data - pilar de nuestra normativa de protección de datos - considera “dato personal” a la información que pueda identificar directamente, o hacer identificable, a una persona física o jurídica, pública o privada, ya sea que se trate de un nombre, dirección, teléfono, documento de identidad, huella digital, entre otros, y además ha creado a la Unidad Reguladora de Control de Datos Personales (URCDP), con facultades de vigilancia en la materia.

El “Privacy Shield” (o “Escudo de privacidad”) fue un marco regulatorio acordado entre los Estados Unidos y la Unión Europea, diseñado con el objetivo de garantizar un nivel adecuado de protección a la transferencia de datos, y que habilitaba a las entidades adheridas a intercambiar datos personales internacionalmente, sin necesidad de habilitaciones legales adicionales.

Esta Ley distingue entre los distintos tipos de datos, identificando especialmente a aquellos datos transferidos internacionalmente para ser procesados en territorio extranjero.

Es importante tener en cuenta que, en principio, la transferencia internacional de datos no está autorizada cuando el país u organismo de destino no proporciona niveles de protección adecuados. Sin perjuicio de ello, la Ley habilita estas transferencias en ciertas circunstancias, así como también otorga a la URCDP discrecionalidad para autorizarlas aun cuando tengan como destino un territorio donde, a juicio de la Unidad, no se garantice un nivel adecuado de protección y siempre que el responsable del tratamiento ofrezca garantías suficientes, por ejemplo, mediante la inclusión de cláusulas contractuales adecuadas.

¿Por qué se ven afectadas las transferencias de datos desde Uruguay a Estados Unidos?

Por sí solo, y desde la perspectiva local, Estados Unidos no ha sido considerado un país que garantice una protección adecuada a efectos de la transferencia internacional de datos, considerando que las políticas estadounidenses priorizan la seguridad nacional sobre los derechos y libertades individuales. No obstante, en mérito de la Resolución N° 4/019 de la URCDP, se consideraron hasta el momento adecuadas las transferencias amparadas en el referido “Privacy Shield”.

EY

En julio de 2020, este “Escudo” - al cual se adherían numerosas organizaciones y empresas - fue invalidado por una Sentencia del Tribunal de Justicia Europeo. Como consecuencia de ello, la URCDP, siguiendo este mismo criterio, excluye al “Privacy Shield” como un marco válido para la transferencia internacional de datos desde Uruguay a Estados Unidos, otorgando un plazo de 6 meses a contar desde el 16 de setiembre de 2021 para la adecuación.

En consecuencia, las transferencias realizadas a partir de la finalización del plazo de adecuación deberán ampararse en alguna de las excepciones dadas por la referida Ley N° 18.331.

Con esta misma finalidad, la URCDP ha recomendado también la inclusión de cláusulas contractuales apropiadas, la reubicación de los encargados de tratamiento de datos en terceros Estados con normas protectoras, el registro de códigos de conducta sobre el tratamiento de datos, entre otras alternativas.

El “Privacy Shield” es el segundo marco jurídico de su tipo que ha sido revocado por el Tribunal de Justicia Europeo luego de la invalidación del marco “Safe Harbour” (“Puerto Seguro”), por lo que, si bien hay mucha presión por parte de empresas internacionales para generar otro similar, se espera que el próximo pueda satisfacer las exigencias de la Unión Europea.  

 

Comentarios

Registrate gratis y seguí navegando.

¿Ya estás registrado? iniciá sesión aquí.

Pasá de informarte a formar tu opinión.

Suscribite desde US$ 245 / mes

Elegí tu plan

Estás por alcanzar el límite de notas.

Suscribite ahora a

Te quedan 3 notas gratuitas.

Accedé ilimitado desde US$ 245 / mes

Esta es tu última nota gratuita.

Se parte de desde US$ 245 / mes

Alcanzaste el límite de notas gratuitas.

Elegí tu plan y accedé sin límites.

Ver planes

Contenido exclusivo de

Sé parte, pasá de informarte a formar tu opinión.

Si ya sos suscriptor Member, iniciá sesión acá

Cargando...