Exclusión de marco jurídico para transferencias de datos personales a EEUU obliga a Responsables de Bases de Datos a adecuarse

La protección de los datos personales es un asunto que ha cobrado vital importancia con la creciente interconexión de las personas, empresas y estados.

El vertiginoso proceso de globalización, y la imposición de la virtualidad en casi todos los aspectos de nuestra vida, ha resultado en la necesidad de aumentar los controles respecto a la colección y al tráfico de datos personales.

Con el objetivo de proteger el uso y acceso a esos datos, la Unión Europea ha sido arquitecta de un marco jurídico de avanzada, que ha inspirado nuestra legislación. En concreto, la Ley N° 18.331 de Protección de Datos Personales y Habeas Data - pilar de nuestra normativa de protección de datos - considera “dato personal” a la información que pueda identificar directamente, o hacer identificable, a una persona física o jurídica, pública o privada, ya sea que se trate de un nombre, dirección, teléfono, documento de identidad, huella digital, entre otros, y además ha creado a la Unidad Reguladora de Control de Datos Personales (URCDP), con facultades de vigilancia en la materia.

Esta Ley distingue entre los distintos tipos de datos, identificando especialmente a aquellos datos transferidos internacionalmente para ser procesados en territorio extranjero.

Es importante tener en cuenta que, en principio, la transferencia internacional de datos no está autorizada cuando el país u organismo de destino no proporciona niveles de protección adecuados. Sin perjuicio de ello, la Ley habilita estas transferencias en ciertas circunstancias, así como también otorga a la URCDP discrecionalidad para autorizarlas aun cuando tengan como destino un territorio donde, a juicio de la Unidad, no se garantice un nivel adecuado de protección y siempre que el responsable del tratamiento ofrezca garantías suficientes, por ejemplo, mediante la inclusión de cláusulas contractuales adecuadas.

¿Por qué se ven afectadas las transferencias de datos desde Uruguay a Estados Unidos?

Por sí solo, y desde la perspectiva local, Estados Unidos no ha sido considerado un país que garantice una protección adecuada a efectos de la transferencia internacional de datos, considerando que las políticas estadounidenses priorizan la seguridad nacional sobre los derechos y libertades individuales. No obstante, en mérito de la Resolución N° 4/019 de la URCDP, se consideraron hasta el momento adecuadas las transferencias amparadas en el referido “Privacy Shield”.

EY

En julio de 2020, este “Escudo” - al cual se adherían numerosas organizaciones y empresas - fue invalidado por una Sentencia del Tribunal de Justicia Europeo. Como consecuencia de ello, la URCDP, siguiendo este mismo criterio, excluye al “Privacy Shield” como un marco válido para la transferencia internacional de datos desde Uruguay a Estados Unidos, otorgando un plazo de 6 meses a contar desde el 16 de setiembre de 2021 para la adecuación.

En consecuencia, las transferencias realizadas a partir de la finalización del plazo de adecuación deberán ampararse en alguna de las excepciones dadas por la referida Ley N° 18.331.

Con esta misma finalidad, la URCDP ha recomendado también la inclusión de cláusulas contractuales apropiadas, la reubicación de los encargados de tratamiento de datos en terceros Estados con normas protectoras, el registro de códigos de conducta sobre el tratamiento de datos, entre otras alternativas.

El “Privacy Shield” es el segundo marco jurídico de su tipo que ha sido revocado por el Tribunal de Justicia Europeo luego de la invalidación del marco “Safe Harbour” (“Puerto Seguro”), por lo que, si bien hay mucha presión por parte de empresas internacionales para generar otro similar, se espera que el próximo pueda satisfacer las exigencias de la Unión Europea.