Los siguientes pasos a dar en la protección de datos

En nuestra publicación en El Observador en octubre de 2019 mencionábamos los 4 artículos nuevos que actualizaban la normativa vigente en materia de protección de datos personales, de la ley 19670. Si bien aún no se contaba con el decreto reglamentario, sugeríamos algunas medidas de seguridad que las organizaciones podían realizar para cumplir con la norma y con los titulares de los datos personales. Durante el pasado mes de febrero, el Poder Ejecutivo aprobó el decreto reglamentario 64/020, que define con mayor precisión algunos conceptos que en los artículos de la ley 19.670 no quedaban definidos. ¿Me aplica designar un Delegado de Protección de Datos (DPO)? ¿Debo hacer Análisis de Impacto sobre la Protección de Datos (DPIA)? ¿Qué significa tratar “grandes volúmenes de datos”? ¿Qué implica la privacidad por diseño y privacidad por defecto? Son algunas interrogantes que pueden plantearse las organizaciones, sin embargo, hay algunas consideraciones previas que deben tenerse en cuenta.

¿Dónde se encuentra la organización en relación al tema?

Previo a la consideración de los nuevos o preexistentes requisitos en materia de datos personales, es necesario preguntarse: ¿En qué medida mi organización está razonablemente cubierta ante los riesgos vinculados con datos personales? ¿Son solamente riesgos de cumplimiento o hay otro tipo de riesgos? ¿Qué lugar ocupa la protección de los datos personales de proveedores, clientes y empleados? Sin lugar a duda, la Dirección de cada organización deberá adoptar definiciones informadas y con conocimiento de causa, para evitar imprevistos que puedan generar impactos adversos.

¿Qué acciones deben considerarse?

En forma resumida, la nueva reglamentación requiere bajo ciertas condiciones, las siguientes acciones:

a) Si se es una entidad radicada en el exterior pero que realiza tratamiento de datos personales de habitantes de Uruguay, también tienen aspectos a cumplir en relación con la reglamentación de datos personales.

b) Implementar la “privacidad por diseño”, lo cual impacta directamente en el desarrollo o implantación de software que incluya tratamiento de datos personales, ya que deberán contemplarse requerimientos funcionales y no funcionales vinculados con la normativa.

c) Implementar la “privacidad por defecto”, implica que por defecto sean tratados el mínimo de datos personales requeridos por y para el tratamiento, teniendo en cuenta aspectos de volumen, plazo de conservación y acceso (comunicación).

d) Designación de un Delegado de Protección de Datos (DPO), el cual cumple un rol clave en el cumplimiento de las disposiciones legales, y también como asesor en la implementación de la privacidad por diseño al interior de las organizaciones. Debe designarse dentro de los 90 días de iniciado el tratamiento de datos, y comunicarse a la Unidad Reguladora y de Control de Datos Personales (URCDP) de tal designación.

e) Consideraciones especiales para la prevención y acción ante vulneraciones de seguridad sobre los datos personales. Esto incluye la implementación de controles técnicos de acceso lógico y físico para prevenir vulnerabilidades, y la definición de procesos formales de gestión de incidentes de seguridad para su debida respuesta dentro de las primeras 24 horas de haberse identificado el incidente. Asimismo, se debe considerar la comunicación oportuna y efectiva a las partes interesadas dentro de las 72 horas de ocurrido el incidente, incluyendo a la URCDP entre los destinatarios.

f) Realizar una evaluación del impacto en la protección de datos personales (DPIA), en la cual se deben identificar las actividades de tratamiento de datos personales que se realizan, evaluación de riesgos y controles implementados para otorgar seguridad sobre éstos. El decreto tiene previsto una ventana de 1 año para implementar esta evaluación, sobre actividades de tratamiento que ya se encuentren realizando, pero se debe realizar 90 días antes de poner en práctica nuevos tratamientos de datos.

g) En general, debido al concepto de “Responsabilidad Proactiva” incluido en el decreto, las organizaciones deben actuar y demostrar que se están haciendo las acciones correspondientes a fin de proteger los derechos de las personas. Esto requiere el contar con auditorías sobre los controles y contramedidas para mitigar los riesgos que han sido identificados en los DPIA.

¿Qué penalizaciones hay previstas?

Las sanciones administrativas se mantienen, según se establece en el artículo 35 de la ley 18.331 de 2008 (entre ellas, multas que pueden alcanzar las 500.000 UI, incluso el cierre definitivo de las bases de datos personales). Dichas disposiciones pueden ser tomadas por la URCDP, la cual está dotada de utilizar la fuerza pública para inspeccionar las entidades y ejecutar dichas sanciones. No obstante, existen otros costos asociados que pueden ser aún mayores, tales como los ocasionados por disminución en los ingresos por ventas y en los clientes, como consecuencia de pérdida de reputación, y otras sanciones dispuestas por la justicia en situaciones particulares.

¿Cómo abordar el tema?

El escenario planteado no puede resolverse analizando el problema desde una única perspectiva. No se trata de un problema tecnológico, ni un problema legal, ni un problema de riesgos, o de recursos humanos. La organización en su conjunto, partiendo desde la Dirección, debe comprometerse a asumir este asunto en forma general de modo de colaborar con la realización de cambios que pueden incluir a la cultura y funcionamiento de la organización. Los datos personales forman parte de la mayoría de los flujos de datos de las organizaciones, y por ello es necesario abordar la privacidad con un equipo multidisciplinario, considerando las dimensiones de personas, procesos y tecnología.