Economía y Empresas > TECNOLOGÍA

Las empresas frente al manejo de datos de clientes

Garantizar la seguridad de la información personal de los usuarios exige cada vez más a las empresas adoptar medidas de acceso para el titular y de protección respecto de terceros 

Tiempo de lectura: -'

03 de septiembre de 2018 a las 08:34

Por Adrián A. Gutiérrez
Departamento Legal Baker Tilly Uruguay
Prof. de Derecho Administrativo y Prof. de Protección de Datos Personales y Acceso a Información Pública en la Udelar.

La adecuada utilización de la tecnología dirigida al procesamiento y uso de datos personales de los clientes constituye una herramienta estratégica que hace a una mejora de la competitividad. El conocimiento de los clientes, así como la satisfacción inmediata de sus necesidades, son factores que establecen la diferencia entre los competidores.

Desde hace algunos años Uruguay, siguiendo una tendencia cada vez más acentuada a nivel mundial, ha regulado la utilización de los datos personales, entre ellos, aquellos obtenidos en el ámbito de una relación comercial o profesional y que se encuentren en una base de datos (Ley No 18.331 y sus decretos reglamentarios).

Ello impone que las empresas deban designar a una persona responsable del manejo de la base de datos, quien deberá definir políticas concretas dirigidas al cumplimiento de la normativa vigente y adoptar medidas de seguridad adecuadas con la finalidad de impedir o mitigar los riesgos asociados al uso de datos.

Los datos personales hacen el ámbito de nuestra privacidad y constituyen un derecho humano fundamental, por lo que debemos partir de una premisa esencial: el titular de dichos datos es la persona, y la empresa es un mero destinatario y depositario de esa información.

Lea también: Cómo afecta a las empresas uruguayas la norma de datos personales europea

Por tal motivo, nuestro régimen jurídico estipula una serie de obligaciones dirigidas a las empresas que refieren a: a) establecer procedimientos que faciliten al titular de los datos conocer en tiempos breves (cinco días) qué información posee una empresa sobre su persona; b) establecer procedimientos que faciliten al titular de los datos solicitudes dirigidas a suprimir o rectificar cualquiera de ellos; c) adoptar medidas concretas para la adecuada protección de los datos, y d) la inscripción de las bases de datos ante el órgano de control (Unidad Reguladora y de Control de Datos Personales).

El incumplimiento de alguna de estas obligaciones podrá determinar que el órgano de control aplique alguna de las sanciones previstas en la ley, que van desde el apercibimiento, la multa, hasta la clausura de la base datos. Lo expuesto es sin perjuicio de la pérdida de reputación y el daño que esto puede causar a la imagen de la empresa.

Por ello insistimos en la necesidad de establecer procedimientos y manuales de actuación que permitan cumplir con la normativa vigente y así fiscalizar la actividad desarrollada por todas las personas que manejan o pueden manejar datos en la empresa, que, en definitiva, serán la mayoría de los empleados e incluso los prestadores de servicios.

Una mención especial debe realizarse respecto de la necesaria inscripción de las bases de datos que poseen las empresas, entendidas estas como “el conjunto organizado de datos personales que puedan ser objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”, quedando incluidas también en este concepto las bases de datos que registren imágenes, como las captadas por las cámaras existentes en un local comercial o industrial.

Lea también: El nuevo reglamento europeo de protección de datos (GDPR) en Uruguay

Cabe además considerar que, en todo caso, el uso de los datos personales por parte de las empresas se encuentra limitado a la finalidad para la cual fueron brindados y, por ende, fuera de esa situación —salvo casos expresamente previstos—, no pueden utilizarse ni transmitirse válidamente dichos datos sin el previo consentimiento expreso e informado del titular.

Sin perjuicio de la situación hoy presente respecto de las empresas que recopilan, usan y comparten datos de personas residentes en Europa, las que deben cumplir con los nuevos requisitos de transparencia impuestos por la nueva Regulación General de Protección de Datos de la Unión Europea, las firmas   radicadas en Uruguay deberán, tal como lo dispone el proyecto de ley de rendición de cuentas, adoptar “las medidas técnicas y organizativas apropiadas dirigidas a la privacidad y evaluación de impacto a la protección de datos, a fin de garantizar un tratamiento adecuado de los datos personales y demostrar su efectiva implementación”.

Como viene de verse, las nuevas exigencias que se avecinan requieren de un “aggiornamiento” de las empresas en lo que hace a sus políticas referentes al tratamiento de datos personales.

Si bien ello podría implicar que las empresas deban invertir en mayores recursos humanos y económicos, el proyecto de ley de rendición de cuentas prevé específicamente que se podrán requerir servicios de terceros a estos efectos.

Con un adecuado diagnóstico jurídico de la situación y el apoyo de los técnicos competentes se podrán implementar las medidas necesarias que permitan garantizar el adecuado cumplimiento de la normativa aplicable, en observancia a la debida seguridad de la información que las empresas deben brindar a sus clientes.

 

REPORTAR ERROR

Comentarios

Contenido exclusivo de

Sé parte, pasá de informarte a formar tu opinión.

Cargando...