A lo largo del presente reporte procuraremos brindar información sobre el derecho a la protección de datos personales y los recursos disponibles para facilitar su ejercicio, protegiendo así sus derechos, en el marco de la Ley N° 18.331 promulgada el 11 de agosto de 2008.
Por: Dra. Ximena Méndez Castillo (*)
La protección de los datos personales constituye un derecho humano fundamental, regulado por diversos instrumentos internacionales. En nuestro país, la Ley N° 18.331, de fecha 11 de agosto de 2008, consagró la protección de datos personales como un derecho esencial, consagrado en nuestra Constitución.
Además, estableció la Unidad Reguladora y de Control de Datos Personales (Urcdp) como el organismo encargado de garantizar este derecho. La normativa también prevé un régimen basado en principios y derechos que serán abordados con mayor detalle en las secciones siguientes de este documento.
En el ámbito subjetivo de la presente son protegidos las personas físicas y también las personas jurídicas. Es un derecho del ciudadano saber cuándo, quién y con qué motivo se sabe algo sobre él. El derecho a la protección de datos es una forma de libertad personal, ya que permite a las personas tener control sobre la información que se guarda y se comparte sobre ellas. Cada individuo tiene el derecho a conocer, controlar, corregir y agregar datos, tomar conocimiento de cuáles son aquellos que se recopilan, cómo se usan y quién puede acceder a ellos, garantizando así su privacidad y autonomía.
¿Qué son los datos personales?
Los datos personales son toda información que puede identificar a una persona de manera directa o en conjunto, es decir, que la hace reconocible. Cuando nos referimos a “forma directa” sería, por ejemplo, su nombre o su número de cédula de identidad, lo cual permite reconocer a una persona.
¿Cuál es el control y la protección de datos personales?
El control y la protección de los datos personales son fundamentales para garantizar la privacidad de las personas. La Urcdp es la autoridad encargada de supervisar el tratamiento de estos datos y de aplicar sanciones en caso de incumplimiento. Esto incluye a quienes manejan datos personales, ya sean personas físicas o jurídicas sujetas a la ley. Entre las sanciones más severas se encuentran la suspensión de la base de datos por un período de hasta cinco días y, en casos más graves, la clausura definitiva de la base de datos, la cual requiere una autorización previa de un juez.
¿En qué ámbitos se aplica la ley?
La ley abarca todos los datos personales que estén almacenados en cualquier tipo de soporte, ya sea digital, en papel o en formatos mixtos, y que puedan ser utilizados o tratados en el futuro. Esto incluye tanto el sector público como el privado. Además, la normativa se aplica a todas las personas que viven en la república y a cualquier tratamiento de datos personales que se realice dentro del territorio uruguayo.
¿Cómo puede un ciudadano hacer valer su derecho?
Los derechos que la ley reconoce para la protección de los datos personales permiten a las personas solicitar información sobre cómo se están manejando sus datos, acceder a ellos, pedir que se actualicen, corrijan o eliminen, y también obtener una explicación si sus datos están siendo tratados de forma automatizada. Para ejercer estos derechos, la persona debe presentar una solicitud ante las empresas, organismos públicos o particulares que tengan sus datos. Además, estas entidades tienen la obligación de responder a la solicitud en un plazo máximo de cinco días hábiles.
Principios de protección de datos personales
Para que la ley funcione correctamente, se deben seguir ciertos principios que establecen cómo, qué y en qué condiciones se pueden tratar los datos personales. Estos principios son los siguientes: legalidad, veracidad, finalidad, consentimiento informado previo, seguridad de datos, confidencialidad y responsabilidad proactiva.
Derechos referentes a la comunicación de datos
La comunicación de datos personales a terceros, requiere que sea para el cumplimiento de un interés legítimo tanto del que envía como del que recibe la información, además de contar con el consentimiento previo, informado y voluntario del titular de los datos. Sin embargo, hay algunas situaciones en las que no es necesario obtener ese consentimiento previo, como, por ejemplo:
- Cuando una ley de interés general lo establezca.
- En los casos previstos en el artículo 9° de la ley, refiere al consentimiento del titular de los datos.
- Cuando se trate de datos relacionados con la salud y la comunicación sea necesaria por motivos sanitarios, emergencias o para realizar estudios epidemiológicos, siempre y cuando se proteja la identidad de los titulares mediante mecanismos adecuados de disociación cuando sea pertinente.
- Si se ha aplicado un proceso de disociación de la información, de modo que los titulares no puedan ser identificados.
Además, tanto quien envía como quien recibe los datos son responsables de manera conjunta y solidaria de cumplir con las normas de protección de datos.
Aspectos especiales
No todos los datos personales son iguales ni reciben el mismo trato. Algunos tipos de información son considerados especialmente sensibles porque revelan detalles delicados sobre la persona.
Por ejemplo, datos que muestran el origen racial o étnico, las preferencias políticas, creencias religiosas o morales, afiliación sindical, o información relacionada con la salud o la vida sexual. La Ley N° 18.331 establece que para manejar este tipo de datos se necesita el consentimiento explícito y por escrito del titular.
Los datos relacionados con la salud también reciben un tratamiento especial, incluyendo información sobre la salud pasada, presente o futura, ya sea física o mental. En el ámbito laboral, el uso de datos personales está limitado al contrato de trabajo, y solo se recopilan los datos necesarios para cumplir con las funciones laborales.
Por último, los datos de telecomunicaciones también tienen reglas particulares, ya que se deben tomar medidas específicas para garantizar la seguridad en el uso de sus redes y servicios. Además, es obligatorio informar a los usuarios sobre posibles riesgos de seguridad en las redes públicas de comunicaciones electrónicas y las acciones que se tomarán para protegerlos.
Aspectos a destacar
Cuando se manejan datos personales, en ciertas situaciones es importante tomar precauciones adicionales. Esto puede ser necesario si el titular de los datos cumple ciertos requisitos o si la información se recopila de fuentes no humanas, por ejemplo.
También es fundamental tener cuidado con los datos de menores. En estos casos, se debe obtener el consentimiento de los padres o tutores antes de tratar esa información. Además, los responsables deben ser cuidadosos con el uso de estos datos, considerando siempre la finalidad y las medidas de seguridad necesarias.
El uso de cámaras de videovigilancia en espacios laborales también requiere atención. Estas pueden captar imágenes y sonidos, que son considerados datos personales protegidos por la ley. La instalación de cámaras en lugares cerrados debe respetar ciertos principios, evitando áreas como vestuarios, comedores, cocinas y baños, y asegurándose de que no se graben zonas fuera del ámbito laboral.
Un aspecto clave son las evaluaciones de impacto en protección de datos. Estas ayudan a las organizaciones a identificar y gestionar los riesgos asociados a sus actividades, proyectos o políticas que involucren datos personales, para proteger los derechos de las personas y cumplir con la normativa.
Por último, los delegados de protección de datos son figuras importantes que garantizan que la organización cumpla con las leyes de protección de datos.
Consideraciones finales
La Ley N° 18.331 establece un marco legal sólido para la protección de los datos personales en Uruguay, promoviendo el respeto por la privacidad y los derechos de los titulares. Al definir principios, obligaciones y mecanismos de control, la ley busca garantizar un tratamiento responsable y transparente de la información, adaptándose a los avances tecnológicos y a las necesidades de protección en la era digital. En conjunto, representa un paso importante para fortalecer la confianza en el manejo de datos y promover una cultura de protección de la privacidad en el país.
(*) Integrante del Equipo Legal de Galante & Martins
